Innominate mGuard - Innominate Security Technologies AG
Contents
1. Optionen Anti Virus Schutz f r HTTP Ja X Scannen bis zur Gr sse von EMP e Bei Virusdetektion Fehlermeldung an den Browser z Bei berschreiten der Gr ssenbegrenzung Daten blockieren ST Liste der HTTP Server SX Semer _serverPort __ Kommentar scannen Fk Jo 0 0 0 0 Jeo HTTP out to any J Scannen z Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r HTTP muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Das HTTP Protokoll wird von Web Browsern zur bertragung von Webseiten genutzt hat aber noch viele andere Anwendungen So wird es z B auch zum Download von Dateien wie z B Software Updates oder zur Initialisierung von Multimedia Streams genutzt e Bei aktiviertem Virenschutz erfolgt die Weiterleitung einer bertragenen Datei erst dann nachdem sie komplett geladen und gescannt wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindig keit zu Verz gerungen in der Reaktionszeit der Benutzer Software kommen e Um den Anti Virus Schutz f r HTTP zu testen bietet sich zun chst der ungef hrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse http www eicar org anti_virus_test_file htm heruntergeladen werden kann e Der Anti Virus Schutz wirkt f r HTTP Verbindungen die von einem Brow ser vom lokalen Netzwerk Interface des mGuards her zum WAN aufgebaut werden F r in anderen Richtu2. Verbindungstyp Tunnel Netz lt gt Netz Adresse des lokalen Netzes 192 168 2 0 24 Adresse des gegen berliegenden Netzes 0 0 0 0 0 Im Hauptgeb ude wird das entsprechende Gegenst ck der Verbindung konfigu 14 von 283 Typische Anwendungsszenarien Auflosen von Netz werkkonflikten riert Tunnelkonfiguration im Hauptgeb ude Verbindungstyp Tunnel Netz lt gt Netz Lokales Netz 0 0 0 0 Adresse des gegen berliegenden Netzes 192 168 2 0 24 Die Default Route eines mGuards f hrt normalerweise ber den WAN Port In diesem Fall jedoch ist das Internet ber den LAN Port erreichbar Default Gateway im Hauptgeb ude IP des Default Gateways 192 168 1 253 10 0 0 0 16 10 0 0 0 16 10 0 0 0 16 In der obigen Zeichnung sollen die Netzwerke auf der rechten Seite von dem Netzwerk oder Rechner auf der linken Seite erreichbar sein Aus historischen oder technischen Gr nden berschneiden sich jedoch die Netzwerke auf der rechten Seite Mit Hilfe der mGuards und ihrem 1 1 NAT Feature k nnen diese Netze nun auf andere Netze umgeschrieben werden so dass der Konflikt aufgel st wird 1 1 NAT kann im normalen Routing und in IPsec Tunneln genutzt werden 15 von 283 Bedienelemente und Anzeigen A Bedienelemente und Anzeigen 3 1 Versorgungsspannung 1 Power Supply 1 P1 Modem State LAN Rescue Taste Befindet sich
3. die Nennung des Namens erkennen k nnen wer sich bei ihm einw hlen will Nachdem der mGuard sich mit diesem Namen beim Internet Service Provider angemeldet hat vergleicht der Service Provider dann auch das angegebene Passwort f r die Client Authentifizierung s u Nur wenn der Name dem Ser vice Provider bekannt ist und das Passwort stimmt kann die Verbindung er folgreich aufgebaut werden Name der Gegenstelle Ein Name den der Internet Service Provider dem mGuard nennen wird um sich zu identifizieren Der mGuard wird keine Verbindung zum Service Pro vider aufbauen wenn dieser nicht den richtigen Namen nennt Passwort f r die Client Authentifizierung Passwort das zur Anmeldung beim Internet Service Provider angegeben wer den muss um Zugang zum Internet zu erhalten CHAP Server Authentifizierung Ja Nein Bei Ja Das nachfolge Eingabefeld wird eingeblendet Passwort f r die Server Authentifizierung Passwort das der mGuard beim Server abfragt Nur wenn der Server das ver abredete Passwort liefert erlaubt der mGuard die Verbindung Nachfolgend aufgef hrte Felder Siehe unter Wenn als Authentifizierung Keine festgelegt wird auf Seite 133 Wenn als Authentifizierung Keine festgelegt wird In diesem Fall werden die Felder ausgeblendet die die Authentifizierungsme thoden PAP oder CHAP betreffen Es bleiben dann nur die Felder unterhalb sichtbar die weitere Einstellungen festlegen Bedarfsweise Einwa
4. In diesem Fall wird nicht auf Viren berpr ft E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der SMTP Server Geben Sie an bei welchen Servern die Daten auf Viren gescannt werden sol len Durch Aktivierung bzw Deaktivierung der Anti Virus Funktion bei jedem einzelnen Eintrag bzw Server haben Sie z B die M glichkeit eine Ausnah meregel f r eine darauf folgende umfassende Regel zu setzen Dadurch ist die Angabe von trusted Servern m glich siehe unten abgebildetes Beispiel Beispiele Globale Aktivierung des Anti Virus Schutzes f r SMTP IS see serverron Kommentar scannen Scan eines Subnetzes Ausklammerung eines SMTP Servers gt see sewerpon Kammene scannen P w IEN 68 2 5 ps Berver mit eigenem AntiVirus Nicht Scannen vf ie EN 68 2 0 24 ps fanareifbare SMTP Server Scannen Scan f r einen einzelnen SMTP Server in einem Subnetz Eg see sermerpon Kommentar scannen TT IER 68 2 5 ps fangreifbarer SMTP Server Scannen E IER 68 2 0 24 ps Server mit eigenem AntiVirus Nicht Scannen v BO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese
5. Bei Ja kann zur Authentifizierung zus tzlich zum herk mmlichen Authenti fizierungsverfahren wie es auch bei Nein verwendet wird das X 509 Au thentifizierungsverfahren verwendet werden Bei Ja ist festzulegen a wie sich der mGuard gem X 509 beim SSH Client authentisiert b wie der mGuard den entfernten SSH Client gem X 509 authentifiziert X 509 Authentifizierung SSH Sever Zune es dE HR CA Zertifikat SI H HX X 509 Subject F r den Zugriff autorisiert als L Alle Benutzer 8x Client Zertifikat F r den Zugriff autorisiert als L x Alle Benutzer Diese Regeln gestatten es SSH Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beschten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Der SSH Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden gt a wie sich der mGuard beim SSH Client authentisiert SSH Server Zertifikat Legt fest wie sich der mGuard beim SSH Client ausweist In der Auswahlliste eines der Maschinenzertifikate ausw hlen oder den Ein trag Keines s u 69 von 283 Konfiguration Menti Verwaltung 70
6. Der mGuard authenti fiziert die Gegenstelle anhand von d d Alle CA Zertifikate die mit dem von der Gegen stelle vorgezeigten Zertifi kat die Kette bis zum Root CA Zertifikat bilden ggf PLUS Gegenstellenzertifikate wenn als Filter verwendet Siehe 6 2 1 Verwaltung Sys temeinstellungen Shell Zugang auf Seite 67 Gegenstellenzertifikat HTTPS Authentifizierung bei HTTPS Die Gegenstelle zeigt vor Zertifikat personenbezo gen von CA signiert Zertifikat personenbezo gen selbst signiert Der mGuard authenti fiziert die Gegenstelle anhand von d Alle CA Zertifikate die mit dem von der Gegen stelle vorgezeigtem Zerti fikat die Kette bis zum Root CA Zertifikat bilden ggf PLUS Gegenstellenzertifikate wenn als Filter verwendet Siehe 6 2 2 Verwaltung Web Einstellungen Zugriff auf Seite 75 d Gegenstellenzertifikat Die Gegenstelle kann zus tzlich Sub CA Zertifikate anbieten In diesem Fall kann der mGuard mit den angebotenen CA Zertifikaten und den bei ihm selber konfigurierten CA Zertifikaten die Vereinigungsmenge bilden um die Kette zu bilden Auf jeden Fall muss aber das zugeh rige Root CA Zertifikat auf dem mGuard zur Verf gung stehen Konfiguration Menti Authentifizierung VPN Authentifizierung bei VPN Die Gegenstelle zeigt Maschinenzertifikat von Maschinenzertifikat vor CA
7. Ja Nein enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung enterprise oid genericTrap specific trap additional Erl uterung enterprise oid genericTrap specific trap additional mGuardb enterpriseSpecific mGuardHTTPSLoginTrap 1 mGuardHTTPSLastAccessIP Dieser Trap wird gesendet wenn jemand versucht eine HTTPS Sitzung mit einem falschen Passwort zu ffnen Der Trap enthalt die IP Adresse des letzten fehlgeschlagenen Versuchs der Login Anfrage mGuard enterpriseSpecific mGuardShellLoginTrap 2 mGuardShellLastAccessIP Dieser Trap wird gesendet wenn jemand die Shell ffnet per SSH oder tiber die serielle Schnittstelle Der Trap enthalt die IP Adresse der Login Anfrage Wurde diese Anfrage ber die serielle Schnittstelle abgesetzt lautet der Wert von 0 0 0 0 mGuard enterpriseSpecific 23 mGuardHTTPSLastAccessMAC Dieser Trap wird gesendet wenn eine DHCP Anfrage von einem unbekannten Client eingegangen ist Hardwarebezogene Traps nur mGuard industrial RS und EAGLE mGuard e Chassis Stromversorgung Relais Traps aktivieren Ja Nein mGuardTrapSenderIndustrial enterpriseSpecific mGuardTrapIndustrialPowerStatus 2 mGuardTrapIndustrialPowerStatus Wird gesendet wenn das System einen Stromausfall reg
8. Aral Service ISDN Line Sees Line Service Klemmleiste unten _ _ 1 CMDACK TX TX RX RX p L a CMDACK TIPRING L 11 CMDACK mit ISDN Terminaladapter mit Analog Modem OHNE Modem ISDN TA mGuard industrial RS OHNE Modem ISDN Terminaladapter unterer Bereich der Service Frontblende mit L 1 CMDACK Klemmleiste Funktionserde Meldekontakt wird bei Fehler unterbrochen Taster ODER Ein Aus Schalter Signal LED 20 mA Service Kontakte L CMD ACK zum Aufbau einer vordefinierten VPN Verbindung 26 von 283 Inbetriebnahme m mGuard industrial RS mit Modem unterer Bereich der service Anal Frontblende mit L CMDACK TIPRING Klemmleiste Funktionserde Meldekontakt wie oben wie oben Service Kontakte Telefonleitung wie oben Analoganschluss mGuard industrial RS mit ISDN Terminaladapter unterer Bereich der r m r ISDN Line 7 Frontblende mit L CMDACK TX4TX RX RX Klemmleiste Funktionserde Meldekontakt wie oben wie oben Service Kontakte ISDN wie oben Funktionserde Kann fiir Zwecke des Benutzers verwendet werden Dieser Anschluss ist lei tend mit der Rtickseite des mGuard industrial RS verbunden Die Erdung des mGuard industrial RS erfolgt bei Montage auf einer Hutschiene mit der Me tallklemme ber die er ber seine R ckseite mit der Hutschiene verbunden
9. Dynamic Host Configuration Protocol TFTP Trivial File Transfer Protocol Installieren Sie den DHCP und TFTP Server falls notwendig siehe unten Falls Sie einen zweiten DHCP Server in einem Netzwerk installieren k nnte dadurch die Konfiguration des gesamten Netzwerks beeinflusst werden 268 von 283 Die Rescue Taste fiir Neustart Recovery Prozedur und Flashen der Firmware 7 3 1 DHCP und TFTP Server unter Windows oder Linux installieren Unter Windows Installieren Sie das Programm welches im Download Bereich von Innominates Web Site www innominate de zu finden ist Gehen Sie dazu wie folgt vor 1 Ist der Windows Rechner an einem Netzwerk angeschlossen trennen Sie ihn von diesem 2 Kopieren Sie die Software in einen beliebigen leeren Ordner des Windows Rechners Starten Sie das Programm TFTPD32 EXE 3 Die festzulegende Host IP lautet 192 168 10 1 Das muss auch die Adresse fiir die Netzwerkkarte sein Klicken Sie die Schaltfl che Browse um auf den Ordner zu wechseln wo die mGuard Imagedateien gespeichert sind install p7s jffs2 img p7s Falls durch das Flashen ein Major Release Upgrade der Firmware vorgenom men wird muss die f r das Upgrade erworbene Lizenz Datei unter dem Na men licence lic ebenfalls dort abgelegt werden Bitte stellen Sie sicher dass es sich um die Lizenzdatei handelt welche wirklich zum Ger t geh rt Siehe Verwaltung Up Reg auf Seite 85 BEE Current Directory Se Browse
10. H Selbstunterschriebene Zertifikate self signed sollten nicht die key usage Erweiterung verwenden Zum Installieren eines Zertifikats wie folgt vorgehen Voraussetzung Die Zertifikatsdatei ist auf dem angeschlossenen Rechner gespeichert 1 Durchsuchen klicken um die Datei zu selektieren 2 Importieren klicken Download Test Durch Klicken auf die Schaltfl che Download testen k nnen Sie testen ohne die ge nderten Parameter zu speichern oder das Konfigurationsprofil zu aktivieren ob die angegebenen Parameter funktionieren Das Ergebnis des Tests wird in der rechten Spalte angezeigt gt Stellen Sie sicher dass das Profil auf dem Server keine unerw nschten mit GAI PULL beginnenden Variablen enth lt welche die hier vorgenom mene Konfiguration berschreiben 6 2 8 Verwaltung Neustart Restart Verwaltung Neustart Restart Restart Hinweis Bitte geben Sie dem Gerat etwa 40 Sekunden fiir den Neustart Startet den mGuard neu Hat den selben Effekt als wenn Sie die Stromzufuhr vor bergehend unterbrechen so dass der mGuard aus und wieder eingeschaltet wird Ein Neustart Reboot ist erforderlich im Fehlerfall AuBerdem kann es erfor derlich sein nach einem Software Update 105 von 283 Konfiguration Menti Bladekontrolle nur blade Kontroller 6 3 Men Bladekontrolle nur blade Kontroller Dieses Men steht nur auf dem Kontroller Blade zur Verf gung 6 3
11. LAN Port Ethernet Stecker zum direkten Anschlie en an das zu sch tzende Ger t bzw Netz lo kales Ger t oder Netz USB Stecker zum Anschlie en an die USB Schnittstelle eines Rech ners Dient nur zur Stromversorgung WAN Port Buchse zum An schlie en an das externe Netz werk z B WAN Internet ber dieses Netz werden die Verbindungen zum entfernten Ge r t bzw Netz hergestellt Benutzen Sie ein UTP Kabel CAT 5 Wenn Ihr Rechner bereits an einem Netzwerk angeschlossen ist dann stek ken Sie den mGuard zwischen die Netzwerkschnittstelle des Rechners dessen Netzwerkkarte und das Netzwerk vorher Ch a Ch U Cy gt GEE nachher Links kann auch ein LAN sein DO Es ist keine Treiber Installation erforderlich BO Wir empfehlen aus Sicherheitsgriinden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Ma nahmen zu treffen a 30 von 283 Inbetriebnahme 4 3 mGuard blade installieren Schalter Stromversorgung Pl amp P2 Anschluss Stromversorgung Pl amp P2 mGuard bladeBase installieren mGuard blade installieren Kontrolleinheit CTRL Slot mGuard bladeBase mGuard blade Griffpl
12. Power Supply 1 p1 STATUS Power Supply 2 p2 FAULT Link Status Data 1 LAN Link Status Data 2 WAN Seriell V 24 Rescue Taste Ethernet LAN USB Ethernet WAN Seriell V 24 Erdungsanschluss LEDs Zustand Bedeutung pl p2 gr n leuchtend Die Stromversorgung 1 bzw 2 ist aktiv STATUS gr n blinkend Der mGuard bootet gr n leuchtend Der mGuard ist bereit gelb leuchtend Der mGuard ist bereit und Redundancy Master gelb griin blinkend Der mGuard ist bereit und Redundancy Slave FAULT rot Der Meldekontakt ist infolge eines Fehlers offen Siehe EAGLE mGuard installieren auf Seite 33 unter Meldekontakt LS DA 1 2 gr n Link vorhanden V 24 gelb blinkend Datentransfer 20 von 283 Bedienelemente und Anzeigen 3 6 mGuard delta Innominate S mGuard Power Status 6 O LAN SWITCH Strom Status reserviert Ethernet WAN Ethernet LAN LEDs Zustand Bedeutung Power ein Die Stromversorgung ist aktiv Status ein Der mGuard startet Heartbeat Der mGuard ist bereit aufleuchten aufleuchten Pause 1 2 Reserviert 3 WAN ein Link vorhanden blinkend Datentransfer 4 7 LAN ein Link vorhanden blinkend Datentransfer 21 von 283 Inbetriebnahme 4 Inbetriebnahme Um den ordnungsgem en Betrieb sicherzustellen und die Sicherheit der Umge bung und von Personen zu gew hrleisten muss der mGuard richtig instal
13. Server interface 192 168 10 1 zl Show Dir Titp Server DHCP server Revd DHCP Discover Msg for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 694 DHCP proposed address 192 168 10 200 26 11 09 41 19 694 Revd DHCP Rast Msg for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 704 Previously allocated address acked 26 11 09 41 19 714 Connection received from 192 168 10 200 on port 1024 26 11 09 41 19 774 Read request for file lt install p s gt Mode octet 26 11 09 41 19 774 lt install p s gt sent 4 blks 2048 bytes in 1 s 0 blk resent 26 11 09 41 20 786 Connection received from 192 168 10 200 on port 1024 26 11 09 43 17 053 Read request for file lt jffs2 img p s gt Mode octet 26 11 09 43 17 053 lt iffs2 img p s gt sent 14614 bk 7482368 bytes in 11 s 0 blk resent 26 11 09 43 28 008 gt Current Action Kits2img p7s gt sent 14614 biks 7482368 bytes in 11 s 0 blk resent 4 Wechseln Sie auf die Registerkarte Tun Server bzw DHCP Server und klik ken Sie dann die Schaltfl che Settings um im dann angezeigten Dialogfeld die Parameter wie folgt zu setzen Tftpd32 Settings xj r Base Directory E _Brome sl r Global Settings nr Syslog j seve Current Directory E my Browse IV TFTP Server 7 Syslog Server IT Save syslog message Server interface 192 168 10 1 7 Show pl I TFTP Client IV DHCP Server File l Titp Server DHCP server
14. 6 5 2 Authentifizierung Firewall Benutzer ensennsenesseesnenseenseennnnennns nenn 160 Frewall Benutzer 160 RADIUS SEIVER 2 Eu Ee ha ht thew Soe ie a 161 Al WEE 161 SIT ai REEE cues un EAR evush cungesus rer here Yanresnlehge tr uonguneredPincedaateneass 162 6 5 3 Authentifizierung Zertifikate 0 ccc cescescessceeseessecsteeeeceeeceeeeseecseceeesseeeeeeeaes 163 Erstellung von Zertifikaten cccccccscesscesecsecseceseceseesseeescenseceseceeeeeseesseeseesaeens 165 Authentifizierungsverfahren essen nenne 165 Zertifikatseinstellungen a deed an EE 167 M schmenzertifikate n 0n 0 einaie an iai aa R E AR 169 E EIA AnDi i SE E sinus sod ASSEN 171 OGegenstellenzertfkate cc ccceccccssccesesssceescesseceececeeeseeeeseeaeceseceeeseaeeeseenaeeaeeas 172 CREME Bananen E 175 5 von 283 Inhalt 6 6 6 7 6 8 6 9 6 10 6 11 6 von 283 Men Netzwerksicherheit nicht blade Kontroller cccceccecssesseeeteeeeceeeceeeeseeeseeneeees 177 6 6 1 Netzwerksicherheit a Paketfilter uneeneseseeesenseenneenneennennnenneenne ernennen 177 Eingangsregeln ee Bee eege 177 EE EE 179 Regelsatzei i ieena ea Eege eege eegen 180 Regelsatz 4 2 02 AGENTEN estedaiefossvagla eae inate 181 E EU EE 183 Erweiterte Einstellungen ccccesccessesscensesssecsecesecseesseessceaeceaecesesenesesecsaecnaeans 184 6 6 2 Netzwerksicherheit oa DoS Schutz ueesesseesseeessenseensennenennnnneenneennn nennen 188 Flood
15. Authentifizierung Firewall Benutzer auf Seite 160 192 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Firewall Regeln Netzwerksicherheit Benutzerfirewall Bereich A Template Benutzer Firewall Regeln Firewall Regeln Quell IP Prauthorized_ip ufm ufm00000 N2 0 328837 2551 1444 Sac4 000cde01052e Sg Log ID Bx ne Protoon Nach IP Nach port Kommentar too SEI TC R any 10 0 0 0 0 any Nein x Bitte beachten Sie Wenn das Template mit dynamischem Timeout konfiguriert ist verursachen TCP UDP und andere Netzwerkpakete au er ICMP die durch eine der hier definierten Firewallregeln zugelassen werden ein Zur cksetzen des dynamischen Timeouts auf den Ausgangswert F r eine genauere Beschreibung dieses Verhaltens konsultieren Sie bitte das Handbuch Firewall Regeln Quell IP IP Adresse von der aus Verbindungsaufbauten zugelassen werden Soll es die Adresse sein von der sich der Benutzer beim mGuard angemeldet hat sollte der Platzhalter authorized_ip verwendet werden BO Sind f r einen Benutzer mehrere Firewall Regeln definiert und aktiviert wer den diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Bei den Angaben haben Sie folgende M glichkeiten Protokoll All
16. D1 53 0C 13 28 CD E9 30 F2 3D Zertifikat Dateiname Durchsuchen Importieren hochladen Be Aktuelle Zertifikatsdatei herunterladen CN Wirth Nicola L MA QU Wartung O Beispiel Lieferant C DE CN Web SubCA 01 0 Sample Web Securities Inc C UK Fingerprint A 08 84 51 5F EC 40 BC E hochladen le Durchsuchen Importieren hochladen Fan herunterladen Aktuelle Zertifikatsdatei ES CN Web SubCA 01 0 Sample Web Securities Inc C UK Von Mar 20 19 14 11 2007 GMT bis Mar 20 19 14 11 2010 si 58 06 71 MDS D9 37 AA 7F 32 E1 59 A5 29 H SHA1 5A D7 33 EA 63 2A 15 F7 1A 4D 3E F DA Ze 4B FF 86 E3 Zertifikat Dateiname Importieren hochladen Zertihikat Aktuelle Zertifikatsdatei herunterladen CN Findig Petra L MA OU Wartung O Beispiel Lieferant C DE CN Web SubCA 01 0 Sample Web Securities Inc C UK Von Mar 20 1 5 2007 GMT bis Mar 20 19 14 15 2010 GMT Vertauenswirdige Gegenstellenzertifikate Zeigt die aktuell importierten Gegenstellenzertifikate an Um ein neues Zertifikat zu importieren gehen Sie wie folgt vor Neues Zertifikat importieren Voraussetzung Die Datei Dateinamen Erweiterung cer pem oder crt ist auf dem ange schlossenen Rechner gespeichert Gehen Sie wie folgt vor 1 Durchsuchen klicken um die Datei zu selektieren 2 Importieren klicken Nach dem Import ist unter Zertifikat das geladene Zertifikat zu sehen Bitte ver gessen Sie nicht das importierte Zerti
17. Kann mit kommentierendem Text gef llt werden 1 Extern 2 und Alle Externen nur bei Ger ten mit serieller Schnittstelle mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta Siehe Sekundar es externes Interface Extern 2 auf Seite 114 145 von 283 Konfiguration Menti Netzwerk 1 1 NAT Listet die festgelegten Regeln fiir 1 1 NAT Network Address Translation auf Bei 1 zu 1 NAT werden die Absender IP Adressen so ausgetauscht dass jede einzelne gegen eine bestimmte andere ausgetauscht wird und nicht wie beim IP Masquerading gegen eine f r alle Datenpakete identische So wird erm glicht dass der mGuard die Adressen des internen Netzes in das externe Netz spiegeln kann Beispiel Der mGuard ist ber seinen LAN Port an Netzwerk 192 168 0 0 24 angeschlos sen mit seinem WAN Port an Netzwerk 10 0 0 0 24 Durch das 1 1 NAT l sst sich der LAN Rechner 192 168 0 8 im externen Netz unter der IP Adresse 10 0 0 8 erreichen CJ 192 168 0 8 192 168 0 0 24 10 0 0 0 24 1 1 NAT kann nicht auf das Interface Extern 2 angewendet werden 1 1 NAT wird nur im Netzwerkmodus Router angewendet Werkseinstellung Es findet kein 1 1 NAT statt Bei den Angaben haben Sie folgende M glichkeiten Lokales Netzwerk Die Adresse des Netzwerks am LAN Port Externes Netzwerk Die Adresse des Netzwerks am WAN Port Netzmaske Die Netzmaske als Wert zwischen 1 und 32 f r die lokale und externe Netz werkadresse s
18. Vorg nge beim Aufbau von VPN Verbindungen im nicht fl chtigen Speicher des mGuard archiviert wenn die Verbindungsaufbauten wie folgt veranlasst werden ber den CMD Kontakt ODER ber das CGI Interface nph vpn cgi per Kommando synup siehe Application Note Diagnosis of VPN connections Application Notes ste hen im Download Bereich von www innominate com bereit Archivierte Logeintr ge berleben einen Neustart Sie k nnen als Bestandteil des Support Snapshots Men punkt Support Erweitert Registerkarte Snap shot heruntergeladen werden Der Innominate Support erh lt durch solch ei nen Snapshot erweiterte M glichkeiten effizienter nach Problemursachen zu suchen und diese zu finden als ohne die Archivierung m glich w re Archiviere Diagnosemeldungen nur bei Fehlern Ja Nein Nur sichtbar wenn Archivierung eingeschaltet ist Sollen nach Einschal ten der Archivierung nur solche Logeintr ge archiviert werden die bei fehlgeschlagenen Verbindungsaufbauversuchen erzeugt werden setzen Sie diesen Schalter auf Ja Bei Nein werden alle Logeintr ge archiviert Ist die Archivierung von Diagnosemeldungen eingeschaltet ist es nicht m glich die Funktion Virenschutz zu nutzen Das betrifft Virenschutz f r HTTP und FTP sowie Virenschutz bei E Mail f r POP3 und SMTP Men punkt Web Sicherheit und Men punkt E Mail Sicherheit TCP Kapselung Die Funktion dient dazu die ber eine VPN Verbindung zu bertra
19. den ansonsten wird diese IP Adresse mehreren MAC Adressen zuge ordnet Es sollte nur ein DHCP Server pro Subnetz verwendet werden DHCP Modus Relay Netzwerk DHCP Internes DHCP Modus DHCP Modus DHCP Relay Optionen DHCP Server zu denen weitergeleitet werden soll an Ist als DHCP Modus Relay ausgew hlt werden unten auf der Seite entspre chende Einstellm glichkeiten wie folgt eingeblendet 155 von 283 Konfiguration Menti Netzwerk Im Stealth Modus des mGuard wird der DHCP Modus Relay nicht unter st tzt Wird der mGuard im Stealth Modus betrieben und ist der DHCP Mo dus Relay ausgewahlt wird diese Einstellung ignoriert Aufgrund der Natur des Stealth Modus werden DHCP Anfragen des Client und die entspre chenden Antworten jedoch durchgeleitet DHCP Relay Optionen DHCP Server zu denen weitergeleitet werden soll Eine Liste von einem oder mehreren DHCP Servern an welche DHCP Anfra gen weitergeleitet werden sollen F ge Relay Agent Information Option 82 an Ja Nein Beim Weiterleiten k nnen zus tzliche Informationen nach RFC 3046 f r die DHCP Server angef gt werden an welche weitergeleitet wird 156 von 283 Konfiguration Menti Netzwerk 6 4 5 Netzwerk D Proxy Einstellungen HTTP S Proxy Einstellungen Netzwerk Proxy Einstellungen HTTP S Proxy Einstellungen HTTP S Proxy Einstellungen Proxy f r HTTP und HTTPS benutzen HTTP S Proxy Server Port
20. gehen Sie wie folgt vor Voraussetzung Die Zertifikatsdatei Dateiname pem cer oder crt ist auf dem ange schlossenen Rechner gespeichert Gehen Sie wie folgt vor 1 Durchsuchen klicken um die Datei zu selektieren 2 Hochladen klicken Danach wird der Inhalt der Zertifikatsdatei angezeigt 224 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller VPN Identifier Die nachfolgende Erklarung gilt wenn die Authentifizierung der VPN Gegen stelle anhand von CA Zertifikaten erfolgt ber VPN Identifier erkennen die VPN Gateways welche Konfigurationen zu der gleichen VPN Verbindung geh ren Wenn der mGuard CA Zertifikate heranzieht um eine VPN Gegenstellen zu au thentifizieren ist es m glich den VPN Identifier als Filter zu benutzen Dazu ist ins nachfolgende Feld Gegenstelle ein entsprechender Eintrag zu machen Lokal Standard leeres Feld Mit dem lokalen VPN Identifier k nnen Sie den Namen festlegen mit dem sich der mGuard bei der Gegenstelle meldet identifiziert Er muss mit den Angaben aus dem Maschinenzertifikat des mGuards bereinstimmen G ltige Werte sind Leer also kein Eintrag Voreinstellung Dann wird der Subject Eintrag fr her Distinguished Name des Maschinenzertifikats verwendet Der Subject Eintrag im Maschinenzertifikat Einen der Subject Alternative Names wenn die im Zertifikat aufgelistet sind Wenn das Zertifikat Subject Alternative Names enth lt w
21. ist Die Hutschiene muss geerdet sein Meldekontakt Sicherheitshinweis An den Meldekontakt d rfen nur SELV Spannungskrei se mit den Spannungsbeschr nkungen gem EN 60950 1 angeschlossen werden Der Meldekontakt dient der Funktions berwachung des mGuard industrial RS und erm glicht damit eine Ferndiagnose ber den potentialfreien Melde kontakt Relaiskontakt Ruhestromschaltung wird durch Kontaktunterbre chung folgendes gemeldet Der Ausfall mindestens einer der zwei Versorgungsspannungen Eine Grenzwertunterschreitung bei der Stromversorgung des mGuard industrial RS Versorgungsspannung 1 und oder 2 ist kleiner als 9 V Der fehlerhafte Linkstatus mindestens eines Ports Die Meldung des Link status kann beim mGuard industrial RS pro Port ber das Management maskiert werden Im Lieferzustand erfolgt keine Verbindungs berwachung Fehler beim Selbsttest B gt W hrend eines Neustarts ist der Meldekontakt unterbrochen bis der mGuard vollst ndig den Betrieb aufgenommen hat Das gilt auch wenn der Melde kontakt per Software Konfiguration manuell auf Geschlossen gestellt ist 27 von 283 Inbetriebnahme 28 von 283 a m m Service Kontakte Sicherheitshinweis Die Service Kontakte _ CMD ACK d rfen an keine externe Spanungsquelle angeschlossen werden sondern sind wie hier be schrieben zu verbinden Zwischen die Service Kontakte CMD und kann ein Taster oder ein Ein Aus Sch
22. l utert sind siehe Men Netzwerksicherheit nicht blade Kontroller Netzwerksicherheit Paketfilter Erweiterte Einstellungen auf Seite 184 BO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert DO Im Stealth Modus ist in den Firewallregeln die vom Client wirklich verwen dete IP Adresse zu verwenden oder aber auf 0 0 0 0 0 zu belassen da nur ein Client durch den Tunnel angesprochen werden kann B Ist auf der Registerkarte Global der Schalter Erlaube Paketweiterleitung zwi schen VPN Verbindungen auf Ja gesetzt werden f r die in den mGuard ein gehende Datenpakete die Regeln unter Firewall eingehend angewendet und f r die ausgehende Datenpakete die Regeln unter Firewall ausgehend Fallen die ausgehenden Datenpakete unter die selbe Verbindungsdefinition bei ei ner definierten VPN Verbindungsgruppe werden die Firewallregeln f r Eingehend und Ausgehend der selben Verbindungsdefinition angewendet Gilt f r die ausgehenden Datenpakete eine andere VPN Verbindungsdefiniti on werden die Firewallregeln f r Ausgehend dieser anderen Verbindungsde finition angewendet Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere
23. muss er bei lokal ange schlossenen Rechnern als Standardgateway festgelegt sein D h bei die sen Rechnern ist die IP Adresse des LAN Ports des mGuard als Adresse des Standardgateway anzugeben Wird der mGuard im Router Modus betrieben und stellt die Verbindung zum Internet her sollte NAT aktiviert werden Nur dann erhalten die Rechner im angeschlossenen lokalen Netz ber den mGuard Zugriff auf das Internet siehe Netzwerksicherheit DoS Schutz auf Seite 188 Ist NAT nicht aktiviert k nnen eventuell nur VPN Verbindungen genutzt werden Im Netzwerkmodus Router kann zus tzlich ein sekund res externes Interface konfiguriert werden siehe Sekund res externes Interface Extern 2 auf Seite 114 F r die weitere Konfiguration des Netzwerkmodus Router siehe a Netz werk Modus Router auf Seite 123 PPPoE Der PPPoE Modus entspricht dem Router Modus mit DHCP mit einem Un terschied F r den Anschluss ans externe Netzwerk Internet WAN wird das PPPoE Protokoll verwendet das von vielen DSL Modems bei DSL Inter netzugang verwendet wird Die externe IP Adresse unter der der mGuard von entfernten Gegenstellen aus erreichbar ist wird vom Provider festgelegt Wird der mGuard im PPPoE Modus betrieben muss bei lokal ange schlossenen Rechnern der mGuard als Standardgateway festgelegt sein D h bei diesen Rechnern ist die IP Adresse des LAN Ports des mGuard als Adresse des Standardgateway anzugeben Ar
24. r eine VPN Verbindung ist dass die IP Adressen der VPN Partner bekannt und zug nglich sind e Damit eine IPsec Verbindung erfolgreich aufgebaut werden kann muss die VPN Gegenstelle IPsec mit folgender Konfiguration unterst tzen Authentifizierung ber Pre Shared Key PSK oder X 509 Zertifikate ESP Diffie Hellman Gruppe 2 oder 5 DES 3DES oder AES encryption MDS oder SHA 1 Hash Algorithmen Tunnel oder Transport Modus Quick Mode Main Mode SA Lifetime 1 Sekunde bis 24 Stunden Ist die Gegenstelle ein Rechner unter Windows 2000 muss dazu das Micro soft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein e Befindet sich die Gegenstelle hinter einem NAT Router so muss die Gegen stelle NAT T unterst tzen Oder aber der NAT Router muss das IPsec Proto koll kennen IPsec VPN Passthrough In beiden F llen sind aus technischen Gr nden nur IPsec Tunnel Verbindungen m glich Liste aller VPN Verbindungen die definiert worden sind Jeder hier aufgef hrte Verbindungsname kann eine einzige VPN Verbindung oder eine Gruppe von VPN Verbindungskan len bezeichnen Denn es gibt die M glichkeit unter den Transport und oder Tunneleinstellungen des betref fenden Eintrags mehrere Tunnel zu definieren Sie haben die M glichkeit neue VPN Verbindungen zu definieren VPN Ver bindungen zu aktivieren deaktivieren die Eigenschaften einer VPN Verbin dung oder Verbindungsg
25. rierte Standardgateway erreichbar ist Im Netzwerkmodus Stealth kann zus tzlich ein sekund res externes Interface konfiguriert werden siehe Sekund res externes Interface Extern 2 auf Seite 114 F r die weitere Konfiguration des Netzwerkmodus Stealth siehe Netz werk Modus Stealth auf Seite 120 Router Werkseinstellung mGuard delta und blade Kontroller Befindet sich der mGuard im Router Modus arbeitet er als Gateway zwi schen verschiedenen Teilnetzen und hat dabei ein externes Interface WAN Port und ein internes Interface LAN Port mit jeweils mindestens einer IP Adresse WAN Port ber seinen WAN Port ist der mGuard ans Internet oder an Teile des LAN angeschlossen die als extern gelten e mGuard smart Der WAN Port ist die Ethernet Buchse LAN Port Uber seinen LAN Port ist der mGuard an ein lokales Netzwerk oder an einen Einzelrechner angeschlossen e mGuard smart Der LAN Port ist der Ethernet Stecker e mGuard PCI Im Treibermodus wird der LAN Port durch die Netzwerkschnittstelle des 111 von 283 Konfiguration Menti Netzwerk 112 von 283 Betriebssystems gebildet die das Betriebssystem zur Netzwerkkarte hier der mGuard PCI hat Im Power over PCI Modus ist der LAN Port durch die LAN Buchse des mGuard PCI gegeben Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall Vi renschutz und VPN zur Verfiigung Wird der mGuard im Router Modus betrieben
26. t fest Proxy Einstellungen HTTP Proxy Server Bei Verwendung eines HTTP Proxy Servers geben Sie hier dessen IP Adresse an sowie die Portnummer des von ihm benutzen Ports Ferner unter Login und Passwort die Zugangsdaten Benutzername bzw Passwort 88 von 283 Konfiguration Menti Verwaltung 6 2 5 Verwaltung Konfigurationsprofile Konfig u rations Verwaltung Konfigurationsprofile profi le Konfigurationsprofile Konfigurationsprofile O werkseinstellung 2 Home office O8 office Br em Se Hochladen einer Konfiguration als Profil ti CY Hochladen Speichere die aktuelle Konfiguration auf I dem ACA e Sie haben die M glichkeit die Einstellungen des mGuard als Konfigurationspro fil unter einem beliebigen Namen im mGuard zu speichern Sie k nnen mehrere solcher Konfigurationsprofile anlegen so dass Sie nach Bedarf zwischen ver schiedenen Profilen wechseln k nnen z B wenn der mGuard in unterschied lichen Umgebungen eingesetzt wird Dar ber hinaus k nnen Sie Konfigurationsprofile als Dateien auf ihrem Konfi gurationsrechner abspeichern Umgekehrt besteht die M glichkeit eine so er zeugte Konfigurationsdatei in den mGuard zu laden und zu aktivieren Zus tzlich haben Sie die M glichkeit jederzeit die Werkseinstellung wieder in Kraft zu setzen Konfigurationsprofile k nnen beim EAGLE mGuard auch auf einem externen Autokonfigurations Adapter ACA abgelegt werden der an die V 24 USB Buch
27. trusted HTTP Servers Eg see sererpon Kommentar scannen E ES 168 2 5 po Jungesichertes HTTP Nicht Scannen vj 195 von 283 Konfiguration Menti Web Sicherheit nicht blade Kontroller Scan eines einzelnen untrusted HTTP Servers in einem Subnetz Eg see sererpon Kommentar scannen f h192 168 2 5 ko esichertes HTTP Scannen x m h92 168 2 0724 fo lingesichertes HTTP Nicht Scannen BO Um den Anti Virus Schutz f r HTTP bzw FTP over HTTP Datenverkehr ber einen Proxy zu aktivieren f gen Sie eine neue Zeile in die Liste der Ser ver ein und ersetzen den voreingestellten Port 80 durch den Proxy Port wel cher in Ihrem Web Browser eingestellt ist Gebr uchliche Proxy Portnummern sind 3128 und 8080 B gt Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Nach Viren zu scannen kann ausgehende Verbindungen erlauben die bli cherweise durch die unter Netzwerksicherheit Paketfilter und Netzwerk sicherheit Benutzerfirewall definierten Firewallregeln unterbunden sind Bitte beachten Sie daher auch Auf Viren gescannte Verbindungen unterlie
28. um dort die IP Adresse nachzuschlagen die diesem Hostnamen zurzeit zugeordnet ist Die IP Adresse wird zur ck bertragen zum entfernten Rechner und jetzt von diesem als Ziel adresse benutzt Diese f hrt jetzt genau zum gew nschten Rechner Allen Internetadressen liegt dieses Verfahren zu Grunde Zun chst wird eine Verbindung zum DNS hergestellt um die diesem Hostnamen zugeteilte IP Adresse zu ermitteln Ist das geschehen wird mit dieser nachgeschlagenen IP Adresse die Verbindung zur gew nschten Gegenstelle eine beliebige Internet pr senz aufgebaut Jeder Host oder Router im Internet Intranet hat eine eindeutige IP Adresse IP Internet Protocol Die IP Adresse ist 32 Bit 4 Byte lang und wird geschrieben als 4 Zahlen jeweils im Bereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Eine IP Adresse besteht aus 2 Teilen die Netzwerk Adresse und die Host Adresse Netzwerk Adresse Host Adresse Alle Hosts eines Netzes haben dieselbe Netzwerk Adresse aber unterschiedliche 273 von 283 Glossar IPsec Host Adressen Je nach Gr e des jeweiligen Netzes man unterscheidet Netze der Kategorie Class A Bund C sind die beiden Adressanteile unterschiedlich gro 1 Byte 2 Byte 3 Byte 4 Byte Class A Netz Adr Host Adr Class B Netz Adr Host Adr Class C Netz Adr Host Adr Ob eine IP Adresse ein Ger t in einem Netz der Kategorie Class A B
29. 1 199 Ist als DHCP Modus Server ausgew hlt werden unten auf der Seite entspre 255 255 255 0 192 168 1 255 192 168 1 1 10 0 0 254 192 168 1 2 MAC Adresse des Clients IP Adresse des Clients 00 00 00 00 00 00 0 0 0 0 chende Einstellm glichkeiten wie folgt eingeblendet DHCP Server Optionen Dynamischen IP Adresspool aktivieren Ja Nein Setzen Sie diesen Schalter auf Ja wenn sie den weiter unten durch DHCP Bereichsanfang bzw DHCP Bereichsende angegebenen IP Adresspool ver wenden wollen siehe unten Setzen Sie diesen Schalter auf Nein wenn nur statische Zuweisungen anhand der MAC Adressen vorgenommen werden sollen siehe unten Bei aktiviertem dynamischen IP Adresspool Bei aktiviertem DHCP Server und aktiviertem dynamischem IP Adresspool k nnen Sie die Netzwerkparameter angeben die vom Rechner benutzt wer den sollen DHCP Bereichsanfang Anfang und Ende des Adressbereichs aus dem der DHCP Server des mGuard den lokal angeschlossenen Rechnern IP Adres sen zuweisen soll DHCP Bereichsende DHCP Lease Dauer Zeitin Sekunden f r die eine dem Rechner zugeteilte Netzwerkkonfiguration g ltig ist Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfiguration erneuern Ansonsten wird diese u U ande ren Rechnern zugeteilt Lokale Netzmaske Legt die Netzmaske der Rechner fest Voreingestellt ist 255 255 255 0 Broadcast Adresse Legt die Broadcas
30. 2006 08 21 15 2006 08 21_15 Allgemein IV Netzwerksicherheit IV IPsec VPN V Gehe zur Firewallregel Je nachdem welche Funktionen des mGuard aktiv gewesen sind werden unter halb der Log Eintr ge entsprechende Kontrollk stchen zum Filtern der Eintr ge nach Kategorien angezeigt Damit eine oder mehrerer Kategorien angezeigt werden aktivieren Sie das die Kontrollk stchen der gew nschten Kategorie n und klicken dann auf die Schalt fl che Aktualisiere Logs Log Eintr ge die den anderen Kategorien nicht zugeordnet werden k nnen Netzwerksicherheit Ist bei Festlegung von Firewall Regeln das Protokollieren von Ereignissen fest gelegt Log Ja dann k nnen Sie hier das Log aller protokollierten Ereignisse einsehen Log ID und Nummer zum Auffinden von Fehlerquellen Log Eintr ge die sich auf die nachfolgend aufgelisteten Firewall Regeln bezie hen haben eine Log ID und eine Nummer Anhand dieser Log ID und Nr ist es m glich die Firewall Regel ausfindig zu machen auf die sich der betreffende Log Eintrag bezieht und die zum entsprechenden Ereignis gef hrt hat Firewall Regeln und ihre Log ID e Paketfilter Men Netzwerksicherheit Paketfilter Eingangsregeln Ausgangsregeln Log ID w incoming bzw fw outgoing e Firewall Regeln bei VPN Verbindungen Men IPsec VPN Verbindungen Firewall eingehend ausgehend Log ID vpn fw in bzw vpn fw out e Firewall Regeln bei Web Zugriff auf den mGuard ber
31. Administrator vorgegeben B gt Wenn das lokale Netz dem externen Router nicht bekannt ist z B im Falle einer Konfiguration per DHCP dann sollten Sie unter Netzwerksicherheit NAT Ihr lokales Netz angeben siehe Netzwerksicherheit Do Schutz auf Seite 188 Interne Netzwerke Die Konfiguration der internen Netzwerke ist unter Netzwerk Modus Router PPPoE PPTP oder Modem Eingebautes Modem auf Seite 128 erkl rt 124 von 283 Konfiguration Menti Netzwerk Netzwerk Modus P PPo E Allgemein Netzwerk Status Externe IP Adresse Status des Netzwerkmodus Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Wenn als Netzwerk Modus PPPoE PPPoE Login ausgew hlt ist PPPoE Passwort PPPoE Automatischer Reconnect Reconnect taglich um Interne Netzwerke Interne IPs IP Netzmaske Verwende VLAN VLAN ID gesicherter Port 192 168 1 1 255 255 255 0 nen Zus tzliche interne Routen Gateway PPPoE F r Zugriffe ins Internet gibt der Internet Service Provider ISP dem Benutzer einen Benutzernamen Login und ein Passwort Diese werden abfragt wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Login Benutzername Login den der Internet Service Provider ISP anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet
32. Anforde rungen vorliegen dann k nnen Sie den Wert erh hen Erlaube TCP Verbindungen nur mit SYN Ja Nein SYN ist ein spezielles Datenpaket im TCP IP Verbindungsaufbau das den Anfang des Verbindungsaufbaus markiert Nein Standard Der mGuard erlaubt auch Verbindungen deren Anfang er nicht registriert hat D h der mGuard kann bei Bestehen einer Verbindung ei nen Neustart durchf hren ohne dass die Verbindung abrei t Ja Der mGuard muss das SYN Paket einer bestehenden Verbindung regis triert haben Sonst baut er die Verbindung ab D h falls der mGuard w hrend des Bestehens einer Verbindung einen Neustart durchf hrt wird diese Ver bindung getrennt Damit werden Angriffe auf bestehende Verbindungen und das Entf hren bestehender Verbindungen erschwert Timeout f r aufgebaute TCP Verbindungen Wird eine TCP Verbindung ber den hier angegebenen Zeitraum hinaus nicht verwendet so werden ihre Verbindungsdaten gel scht Eine durch NAT um geschriebene Verbindung nicht 1 1 NAT muss danach erneut aufgebaut werden Die Voreinstellung sind 432000 Sekunden 5 Tage FTP Ja Nein Wird beim FTP Protokoll eine ausgehende Verbindung hergestellt um Daten abzurufen gibt es zwei Varianten der Daten bertragung Beim aktiven FTP stellt der angerufene Server im Gegenzug eine zus tzliche Verbindung zum Anrufer her um auf dieser Verbindung die Daten zu bertragen Beim pas siven FTP baut der Client diese zus tz
33. BE 01 0E DS 10 1 200 1 WAN port ga mguard Extern WAN Interface Mit LLDP Link Layer Discovery Protocol IEEE 802 1AB D13 kann mit ge eigneten Abfragemethoden die Ethernet Netzwerk Infrastruktur automatisch ermittelt werden Auf Ethernet Ebene Layer 2 werden dazu periodisch Multi casts versandt Aus deren Antworten werden dann Tabellen der ans Netz ange schlossenen Systeme erstellt die ber SNMP abgefragt werden k nnen LLDP Modus Eingeschaltet Ausgeschaltet Der LLDP Service bzw Agent kann hier global ein bzw ausgeschaltet wer den Ist die Funktion eingeschaltet wird das oben auf der Registerkartenzun ge durch ein gr nes Signalfeld angezeigt Ist das Signalfeld auf Rot ist die Funktion ausgeschaltet Intern LAN Interface und Extern WAN Interface Ger te ID Eine eindeutige ID des gefundenen Rechners blicherweise eine seiner MAC Adressen IP Adresse IP Adresse des gefundenen Rechners ber die der Rechner per SNMP admi nistriert werden kann Portbeschreibung Ein Text welcher die Netzwerkschnittstelle beschreibt ber welche der Rechner gefunden wurde Systemname Hostname des gefundenen Rechners Schaltfl chen Aktualisieren Um gegebenenfalls die angezeigten Daten auf den aktuellen Stand zu bringen auf die Schaltfl che Aktualisieren klicken 101 von 283 Konfiguration Menti Verwaltung 6 2 7 Verwaltung Zentrale Verwaltung Konfiguration holen Verwaltung Zentrale Verw
34. Dateiname Browse Importieren hochladen Passwort STELLE Aktuelle Zertifikatsdatei herunterladen ec y ven endpunkt Maschine 01 L HH 0 Beispiel Lieferant c DE CN VPN SubCA 01 0 Beispiel Lieferant C DE Von Mar 20 18 38 00 2007 GMT bis Mar 20 18 38 00 2010 GMT 37 8D 96 FD 96 7B F7 1E EC 11 2E 78 D1 67 44 F1 u 0 84 C8 6C 01 00 88 C7 57 61 1E E0 26 B0 1A 20 04 EE BF B8 Endpunkt Maschine 01 EE 0 2t iname Browse Importieren Maschinenzertifikate Zeigt die aktuell importierten X 509 Zertifikate an mit dem sich der mGuard ge gentiber Gegenstellen z B anderen VPN Gateways ausweist Um ein neues Zertifikat zu importieren gehen Sie wie folgt vor Neues Maschinenzertifikat importieren Voraussetzung Die PKCS 12 Dateiname p12 oder pfx ist auf dem angeschlossenen Rechner gespeichert Gehen Sie wie folgt vor 1 Durchsuchen klicken um die Datei zu selektieren 2 In das Feld Passwort geben Sie das Passwort ein mit dem der private Schl ssel der PKCS 12 Datei gesch tzt ist 3 Importieren klicken 169 von 283 Konfiguration Menti Authentifizierung 170 von 283 Nach dem Import ist unter Zertifikat das geladene Zertifikat zu sehen Bitte ver gessen Sie nicht das importierte Zertifikat samt der anderen Eingaben durch ei nen Klick auf die Schaltflache Ubernehmen abzuspeichern Kurzname Beim Importieren eines Maschinenzertifikats wird das CN Attribu
35. Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information ber deren Verbleib erh lt Kommentar Ein frei w hlbarer Kommentar f r diese Regel 137 von 283 Konfiguration Menti Netzwerk Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Ja Nein Bei Ja werden alle Verbindungsversuche protokolliert die nicht von den vo ranstehenden Regeln erfasst werden Ausgangsregeln Port Firewallregeln f r ausgehende PPP Verbindungen vom LAN Interface Die Parameter entsprechen denen von Eingangsregeln PPP s 0 Diese Ausgangsregeln gelten f r Datenpakete die bei einer durch PPP Einwahl initiierten Datenverbindung nach drau en gehen 138 von 283 Konfiguration Menti Netzwerk Modem Konsole Nur mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta Nutzungsarten der seriellen Schnittstelle Netzwerk Interfaces Allgemein Ethernet Ausgehender ruf Eingehender rut _ sole Serielle Konsole Baudrate 57600 Hardware handshake RTS CTS EE EE Bitte beachten Sie Auf si niger Ee Ali erg ien
36. Einstellungen unter Netzwerk Sicherheit Paketfilter Eingangsregeln Portweiterleitung Bei den Angaben haben Sie folgende M glichkeiten Protokoll TCP UDP Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll Von IP Absenderadresse f r die Weiterleitungen durchgef hrt werden sollen 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Von Port Absenderport f r den Weiterleitungen durchgef hrt werden sollen any bezeichnet jeden beliebigen Port Er kann entweder ber die Port Nummer oder ber den entsprechenden Ser vicenamen angegeben werden z B pop3 f r Port 110 oder http f r Port 80 Eintreffend auf IP Geben Sie hier die externe IP Adresse oder eine der externen IP Adressen des mGuard an ODER Falls ein dynamischer Wechsel der externen IP Adresse des mGuard erfolgt so dass diese nicht angebbar ist verwenden Sie folgende Variable extern 1 Extern 2 nur bei Ger ten mit serieller Schnittstelle Siehe Netzwerk Inter faces auf Seite 109 147 von 283 Konfiguration Menti Netzwerk 148 von 283 Die Angabe von extern bezieht sich bei der Verwendung von mehreren statischen IP Adressen f r den WAN Port immer auf die erste IP Adresse der Liste Eintreffend auf Port Original Ziel Port der in eingehenden Datenpaketen angegeben ist Er kann entweder b
37. Einstellungen zu beziehen O IP Adresse automatisch beziehen IP Adresse Subnetzmaske Standardgateway Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server OK Abbrechen Falls in diesem Dialogfeld keine IP Adresse des Standardgateway angegeben ist z B weil IP Adresse automatisch beziehen aktiviert ist dann geben Sie eine IP Adresse manuell ein Dazu aktivieren Sie zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 DO Auf keinen Fall dem Konfigura Subnetzmaske 255 255 255 0 tions Rechner eine Adresse wie Standardgateway 192 168 1 1 1 1 1 2 geben Auf DOS Ebene Men Start Alle Programme Zubeh r Eingabeauffor derung geben Sie ein arp s lt IP des Standardgateway gt 00 aa aa aa aa aa Beispiel Sie haben als Standardgateway Adresse ermittelt oder festgelegt 192 168 1 1 Dann lautet der Befehl arp s 192 168 1 1 00 aa aa aa aa aa Zur Konfiguration stellen Sie jetzt die Konfigurationsverbindung her siehe Lokale Konfigurationsverbindung herstellen auf Seite 53 Nach der Konfiguration stellen Sie das Standardgateway wieder zur ck Dazu entweder den Konfigurations Rechner neu starten oder auf DOS Ebene folgendes Kommando eingeben arp d B Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal
38. Gegenstelle den Browser des von entfernt zugreifenden Benutzers zu authentifizieren Dazu in der Auswahlliste eines der Gegenstellenzertifikate ausw hlen Die Auswahlliste stellt die Gegenstellenzertifikate zur Wahl die in den mGuard unter Men punkt Authentifizierung Zertifikate geladen worden sind F r den Zugriff autorisiert als root admin netadmin audit user Legt fest welche Nutzer bzw Administratorrechte dem aus der Ferne zugrei fenden Bediener einger umt werden F r eine Beschreibung der Berechtigungsstufen root admin und user siehe Authentifizierung Lokale Benutzer auf Seite 158 Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte mit dem Innominate Device Manager 81 von 283 Konfiguration Menti Verwaltung 6 2 3 Verwaltung Lizenzierung bersicht EEN mGuard Flash ID 000b000e40ffe4cf 062a Feature Lizenz Lizenz mit Prioritat 1148898587 I licence_id 0 licence_date 2006 05 29T10 29 47 flash_id 000b000e40ffe4cf serial_number 16529009 hardware_revision 00000dee licence_order product_code vpn_channels Ip server snmp remote_syslog mau_management gt Ab Version 5 0 des mGuard bleiben Lizenzen auch nach Flashen der Firm ware installiert Beim Flashen von Ger ten mit lteren Firmware Versionen auf Versionen 5 0 0 oder sp ter werden weiterhin Lizenzen gel scht Dann muss vor dem Flashen erst die Lizenz f r die Nutzung des neuen
39. HTTPS 256 von 283 Konfiguration Menti Logging Menii Verwaltung Web Einstellungen Zugriff Log ID fw https access Firewall Regeln bei Zugriff auf den mGuard tiber SNMP Men Verwaltung SNMP Abfrage Log ID fw snmp access Firewall Regeln bei SSH Fernzugriff auf den mGuard Men Verwaltung Systemeinstellungen Shell Zugang Log ID fw ssh access Firewall Regeln der Benutzerfirewall Men Netzwerksicherheit Benutzerfirewall Firewall Regeln Log ID ufw Regeln f r NAT Port Weiterleitung Men Netzwerk NAT Portweiterleitung Log ID fw portforwarding Firewall Regeln fiir serielle Schnittstelle Menii Netzwerk Interfaces Serielle Schnittstelle Eingangsregeln Log ID fw serial incoming Ausgangsregeln Log ID fw serial outgoing Suche nach Firewall Regel auf Grundlage eines Netzwerksicherheits Logs Blade Ist das Kontrollk stchen Netzwerksicherheit aktiviert sodass die betreffenden Log Eintr ge angezeigt werden wird unterhalb der Schaltfl che Aktualisiere Logs das Suchfeld Gehe zur Firewallregel angezeigt Gehen Sie wie folgt vor wenn Sie die Firewall Regel ausfindig machen wollen auf die sich ein Log Eintrag der Kategorie Netzwerksicherheit bezieht und die zum entsprechenden Ereignis gef hrt hat Beim betreffenden Log Eintrag die Passage markieren die die Log ID und Nummer enth lt z B fw https access 1 1ec2c133 dcal 1231 bfa5 000cbe01010a 1231 bfa5
40. Internet Service Providers benutzt der den Zugang zum Internet zur Verf gung stellt W hlen Sie diese Einstel lung nur dann wenn der mGuard im PPPoE im PPTP Modem Modus oder im Router Modus mit DHCP arbeitet Benutzerdefiniert unten stehende Liste Ist diese Einstellung gew hlt nimmt der mGuard mit den Domain Name Ser vern Verbindung auf die in der Liste Benutzer definierte Nameserver aufge f hrt sind 149 von 283 Konfiguration Menti Netzwerk Benutzerdefinierte Nameserver In dieser Liste k nnen Sie die IP Adressen von Domain Name Servern erfas sen Sollen diesen vom mGuard benutzt werden muss oben unter Zu benut zende Nameserver die Option Benutzer definiert unten stehende Liste eingestellt sein Lokale Aufl sung von Hostnamen Sie k nnen zu verschiedenen Domain Namen jeweils mehrere Eintr ge mit Zu ordnungspaaren von Hostnamen und IP Adressen konfigurieren Sie haben die M glichkeit Zuordnungspaare von Hostnamen und IP Adressen neu zu definieren zu ndern editieren und zu l schen Ferner k nnen Sie f r eine Domain die Aufl sung von Hostnamen aktivieren oder deaktivieren Und Sie k nnen eine Domain mit all ihren Zuordnungspaaren l schen Tabelle mit Zuordnungspaaren f r eine Domain anlegen Eine neue Zeile ffnen und in dieser auf die Schaltfl che Editieren klicken Zuordnungspaare die zu einer Domain geh ren ndern oder l schen In der betreffenden Tabellenzeile auf Editieren k
41. Legt fest in welcher Ma einheit die weiter unten unter Garantiert und Obergrenze anzugebenden Zahlenwerte zu verstehen sind Verwende VLAN Ja Nein Ist ein VLAN eingerichtet kann die betreffende VLAN ID angegeben wer den damit die betreffenden Datenpakete passieren d rfen Dazu muss dieser Schalter auf Ja stehen VLAN ID Legt fest dass die Datenpakete des VLANs das diese VLAN ID hat passie ren d rfen Dazu muss der Schalter Verwende VLAN auf Ja stehen Ethernet Protokoll Legt fest dass nur Datenpakete des angegebenen Ethernet Protokolls passie ren d rfen M gliche Eintr ge ARP IPV4 any Anderer Angaben m s sen hexadezimal bis zu 4 Ziffern eingetragen werden Bei den Angaben handelt es sich um die Kennung des betreffenden Proto kolls die im Ethernet Header steht Kann in den Ver ffentlichungen des be treffenden Standards nachgeschlagen werden IP Protokoll Alle TCP UDP ICMP ESP Legt fest dass nur Datenpakete des ausgew hlten IP Protokolls passieren d r fen Mit Alle findet keine Filterung nach IP Protokoll statt Von IP Legt fest dass nur Datenpakete passieren d rfen die von der angegebenen IP Adresse kommen Die Angabe 0 0 0 0 0 steht f r alle Adressen d h in diesem Fall findet keine Filterung nach IP Adresse des Absenders statt Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 241 von 283 Ko
42. Quell und Ziel IP Adresse Ist ein Rechner an ein Netzwerk angeschlossen erstellt das Betriebssystem intern eine Routing Tabelle Darin sind die IP Adressen aufgelistet die das Betriebssystem von den angeschlossenen Rechnern und den gerade verf gbaren Verbindungen Routen ermittelt hat Die Routing Tabelle enth lt also die m g liche Routen Ziele f r den Versand von IP Paketen Sind IP Pakete zu ver schicken vergleicht das Betriebssystem des Rechners die in den IP Paketen angegebenen IP Adressen mit den Eintr gen in der Routing Tabelle um die 272 von 283 Glossar DynDNS Anbieter IP Adresse richtige Route zu ermitteln Ist ein Router am Rechner angeschlossen und ist dessen interne IP Adresse d h die IP Adresse des LAN Ports des Routers als Standardgateway dem Betriebssystem mitgeteilt bei der TCP IP Konfiguration der Netzwerkkarte wird diese IP Adresse als Ziel verwendet wenn alle anderen IP Adressen der Routing Tabelle nicht passen In diesem Fall bezeichnet die IP Adresse des Routers die Default Route weil alle IP Pakete per Default standardm ig zu diesem Gateway geleitet werden deren IP Adressen in der Routing Tabelle sonst keine Entsprechung d h keine Route finden Auch Dynamic DNS Anbieter Jeder Rechner der mit dem Internet verbunden ist hat eine IP Adresse IP Internet Protocol Ist der Rechner ber die Tele fonleitung per Modem per ISDN oder auch per ADSL online wi
43. Routen Netzwerk IP Adresse 192 168 15 2 192 168 15 3 192 168 15 4 192 168 15 5 192 168 15 0 24 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Gateway 192 168 11 2 Netz C Netzwerk Rechner C1 CH C3 CA 192 168 27 0 24 Gateway IP Adresse 192 168 27 1 192 168 27 2 192 168 27 3 192 168 27 4 192 168 11 2 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 264 von 283 Die Rescue Taste fiir Neustart Recovery Prozedur und Flashen der Firmware 7 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware Die Rescue Taste wird benutzt um das Ger t in einen der folgenden Zust nde zu bringen 7 1 Neustart durchf hren Ziel Aktion Das Ger t neu starten mit den konfigurierten Einstellungen Rescue Taste f r ca 1 5 Sekunden dr cken e mGuard industrial RS bis die Error LED leuchtet e smart Bis die mittlere LED in Rot aufleuchtet e blade PCI bis beide roten LEDs aufleuchten e EAGLE mGuard bis die Status LED und die Link LEDs auf h ren zu leuchten e delta bis die Status LED aufh rt zu blinken ODER e Die Stromzufuhr vor bergehend unterbrechen e mGuard PCI Den Computer welcher die mGuard PCI Karte enth lt neu starten 7 2 Recovery Prozedur ausf hren Ziel Weil auf den mGuard nicht mehr zugegriffen werden kann soll die Netzwerkkonfiguration in den Auslieferungszustand zur ckge setzt we
44. Ruf auf Seite 136 Es gibt folgende M glichkeiten A Andie serielle Schnittstelle des mGuard ein Modem anschlie en das am Telefonnetz Festnetz oder GSM Netz angeschlossen ist Beim mGuard industrial RS mit eingebautem Modem oder ISDN Termi naladapter erfolgt der Anschluss ans Telefonnetz ber die Klemm leiste unten am Ger t Dann kann von einem entfernten PC der ebenfalls mit einem Modem oder ISDN Adapter am Telefonnetz angeschlossen ist zum mGuard eine PPP W hlverbindung PPP Point to Point Protocol aufgebaut werden Diese Verwendungsart wird als PPP Einwahloption bezeichnet Sie kann f r den Zugriff ins LAN benutzt werden das sich hinter dem mGuard befindet oder f r die Konfiguration des mGuard In Firewall Auswahllisten wird f r diese Verbindungsart die Interface Bezeich nung Einwahl verwendet Damit Sie mit einem Windows Rechner ber die W hlverbindung auf das LAN zugreifen k nnen muss auf diesem Rechner eine Netzwerk verbindung eingerichtet sein in der die W hlverbindung zum mGuard definiert ist Au erdem muss f r diese Verbindung die IP Adresse des mGuard oder dessen Hostname als Gateway definiert werden damit die Verbindungen ins LAN dar ber geroutet werden Um auf die Web Konfigurationsoberfl che des mGuard zuzugreifen m ssen Sie in die Adressenzeile des Web Browser die IP Adresse des mGuard oder dessen Hostname eingeben B Die serielle Schnittstelle des mGuard mit der seriellen Schnittstelle
45. Schl ssels den 277 von 283 Glossar Protokoll Ubertra gungsprotokoll Service Provider Spoofing Antispoofing Symmetrische Ver schlusselung TCP IP Transmission Control Protocol Internet Protocol 278 von 283 Daten tiber seinen Inhaber und aus weiteren Daten erzeugt die CA eine individu elle Bitfolge die bis zu 160 Bit lang sein kann den sog HASH Wert Diesen ver schl sselt die CA mit ihrem privaten Schl ssel und f gt ihn dem Zertifikat hinzu Durch die Verschl sselung mit dem privaten Schl ssel der CA ist die Echtheit belegt d h die verschl sselte HASH Zeichenfolge ist die digitale Unterschrift der CA ihre Signatur Sollten die Daten des Zertifikats missbr uchlich ge ndert werden stimmt dieser HASH Wert nicht mehr das Zertifikat ist dann wertlos Der HASH Wert wird auch als Fingerabdruck bezeichnet Da er mit dem priva ten Schl ssel der CA verschl sselt ist Kann jeder der den zugeh rigen ffentli chen Schl ssel besitzt die Bitfolge entschl sseln und damit die Echtheit dieses Fingerabdrucks bzw dieser Unterschrift berpr fen Durch die Heranziehung von Beglaubigungsstellen ist es m glich dass nicht je der Schl sseleigent mer den anderen kennen muss sondern nur die benutzte Be glaubigungsstelle Die zus tzlichen Informationen zu dem Schl ssel vereinfachen zudem die Administrierbarkeit des Schl ssels X 509 Zertifikate kommen z B bei Email Verschl sselung mittels S MIME oder
46. Stick ist ein Produkt der Firma team2work www team2work de Der SEC Stick ist praktisch ein Schl ssel Der Benutzer steckt ihn in den USB Port eines irgendwo in der Welt befindlichen Rechners mit Internetanbindung und kann dann eine verschl sselte Verbindung zum mGuard aufbauen um sicher auf defininierte Dienste im Netzwerk des B ros oder daheim zuzugreifen Zum Beispiel kann das Remote Desktop Protokoll innerhalb der verschl sselten und sicheren SEC Stick Verbindung benutzt werden um den PC im B ro oder zu Hause fernzusteuern als s e er direkt davor Damit das funktioniert ist der Zugang zum Gesch fts PC durch den mGuard ge sch tzt und der mGuard muss f r den SEC Stick konfiguriert sein damit dieser den Zugang ffnen kann Denn der Benutzer des entfernten Rechners in den der SEC Stick eingesteckt ist authentisiert sich beim mGuard mit den Daten und der Software die auf seinem SEC Stick gespeichert sind Der SEC Stick stellt eine SSH Verbindung zum mGuard her In diese k nnen weitere Kan le eingebettet sein z B TCP IP Verbindungen SEC Stick Global O Zugriff Zugriff ber SEC Stick SEC Stick Dienst einschalten nein Ei Aktviere SEC Stick Femzugang Ier Ei Port f r SEC Stick Verbindungen nur Fernzugang 22002 CH Erlaubte Netzwerke Log ID fw secstick access N2 00000000 0000 0000 0000 00000000 SX vom RE aktion __kommense 100 St 6 0 0 070 Extern E Annehmen Nein Diese Regeln ges
47. Sub CA Zertifikat handelt also ein CA Zertifikat ausgestellt von einer Sub CA Sub Certificate Authority was normalerweise der Fall ist 271 von 283 Glossar Client Server Datagramm Default Route kann das CA Zertifikat der bergeordneten CA benutzt werden um das CA Zertifikat der ihr untergeordneten Instanz zu berpr fen Und gibt es f r diese bergeordnete CA eine weitere CA die ihr wiederum bergeordnet ist kann deren CA Zertifikat benutzt weren um das CA Zertifikat der ihr untergeordne ten Instanz zu pr fen usw Diese Kette des Vertrauens setzt sich fort bis zur Wurzelinstanz die Root CA Root Certificate Authority Die CA Datei der Root CA ist zwangsl ufig selbst signiert Denn diese Instanz ist die h chste und der Anker des Vertrauens liegt letztlich bei ihr Es ist niemand mehr da der dieser Instanz bescheinigen kann dass sie die Instanz ist f r die sie sich ausgibt Eine Root CA ist daher eine staatliche oder staatlich kontrollierte Orga nisation Der mGuard kann die in ihn importierten CA Zertifikate benutzen um die von Gegenstellen vorgezeigten Zertifikate auf Echtheit zu berpr fen Bei VPN Verbindungen z B kann die Authentifizierung der Gegenstelle ausschlie lich durch CA Zertifikate erfolgen Dann m ssen im mGuard alle CA Zertifikate installiert sein um mit dem von der Gegenstelle vorgezeigten Zertifikat eine Kette zu bilden neben dem CA Zertifikat der CA deren Signatur i
48. TOS Minimize Costs funverandet Aror ITC VPN via Intern Einstellung fur Egress Queue Zuordnungen QoS Egress Zuordnungen VPN ven via intern VPN via Etern ven via extern ven vie Emwoni Standard Standard Queue Debt SR Zuordnungen EE DN wert Queuename Kommentar 4 fa e A o0 0 0 0 any o 0 0 0 0 any Jos Minimize Delay unver ndert MO Yoret H 2 e 2 ae 0 0 000 Ev o 0 0 0 0 Ev Tos Maximize Reliability unver ndert important FE 3 fale 5 0 0 0 0 0 any 0 0 0 0 0 any TOS Minimize Cost Unver ndert Low Priority E VPN via Extern Einstellung fur Egress Queue Zuordnungen QoS Egress Zuordnungen VPN ven via Bem ven via Bern 2 Usage Standard Standard Queue oro SIE Zuordnungen EE EES sEm ae A Mfo 0 0 0 0 any 0 0 0 0 0 rem Tos Minimize Delay unver ndert HN Tere AN St 2 ale E P 0 0 0 0 Pny 0 0 070 Ev Tos Maximize Reliability unver ndert zl important zl Gala A ER 0 0 070 any 0 0 0 0 0 any TOS Minimize Cost EI Unver ndert z Low Priority E VPN via Extern 2 Einstellung f r Egress Queue Zuordnungen QoS Egress Zuordnungen VPN VPN via Intern ven via extern VPN via Extern 2 VPN via Einwahl Standard Standard Queue a Tee Zuordnungen ez CL CC DER 38 0 in f 00 00 ZS lee Minimize Deler ine uA ua ay St 2 ate E o 0 0 0 0 Ba 6 0 0 070 any Tos Maximize Reliability Unverandert
49. Updates erworben werden damit beim Flashen die erforderliche Lizenz Datei zur Verf gung steht Das gilt f r Major Release Upgrades also z B bei einem Upgrade von Ver sion 4 x y zu Version 5 x y zu Version 6 x y usw Siehe Flashen der Firm ware auf Seite 266 Feature Lizenz Zeigt an welche Funktionen die eingespielten mGuard Lizenzen beinhalteten z B die Anzahl der erm glichten VPN Tunnel ob Remote Logging unterst tzt wird usw 82 von 283 Konfiguration Menti Verwaltung Installieren Verwaltung Lizenzierung Automatische Lizenzinstallation Vouchernummer Voucherschlissel Online Lizenzabruf Lizenzen wiederherstellen Online Lizenzwiederherstellung Manuelle Lizenzinstallation Bestelle Lizenz Editiere Lizenzformular Dateiname Installiere Lizenzdatei Sie k nnen nachtr glich Ihre erworbene mGuard Lizenz um weitere Funktionen erg nzen Im Voucher den Sie beim Kauf des mGuard erhalten oder zus tzlich erworben haben finden Sie eine Voucher Seriennummer und einen Voucher Schl ssel Damit k nnen Sie 1 die erforderliche Feature Lizenzdatei anfordern und dann 2 die Lizenzdatei die Sie daraufhin erhalten installieren Automatische Lizenzinstallation Vouchernummer V oucherschl ssel Geben Sie hier die Seriennummer die auf dem Voucher aufgedruckt ist so wie den dazugeh rigen Voucherschl ssel ein und klicken Sie anschlie end Online Lizenzabruf Folge Der
50. VLAN ID Eine VLAN ID zwischen 1 und 4095 Eine Erl uterung des Begriffes VLAN befindet sich im Glossar auf Seite 279 Falls Sie Eintr ge aus der Liste l schen wollen Der erste Eintrag kann nicht gel scht werden Zus tzliche interne Routen Sind am lokal angeschlossen Netz weitere Subnetze angeschlossen k nnen Sie zus tzliche Routen definieren Netzwerk Das Netzwerk in CIDR Schreibweise angeben siehe CIDR Classless In ter Domain Routing auf Seite 263 Gateway Das Gateway ber welches dieses Netzwerk erreicht werden kann L Siehe auch Netzwerk Beispielskizze auf Seite 264 Konfiguration Menti Netzwerk Ethernet Netzwerk Interfaces ARP Timeout sae Timeout ee MTU Einstellungen HTU des eren i PTU des ener reechen E TU des externen interface o PTU des externen Interface f r vuan MTU des Management nace o PTU des Management interface for VAN MAU Konfiguration Port Medientyp _ Linkstatus_ Automatische Konfiguration Manuelte Konfiguration Aktuelle Betriebsart Extern 10 100 BASE T RJ45 Nicht verbunden Ja z 100 Mbit s FDX x a E Intern 10 100 BASE T RJ45 Verbunden Ja z 100 Mbit s FDX 100 Mbit s FDX Ja z ARP Timeout ARP Timeout Lebensdauer der Eintr ge in der ARP Tabelle in Sekunden MTU Settings MTU des Interface Die Maximum Transfer Unit MTU beschreibt die maximale IP Paketl nge die beim betreffenden Interface benutzt wer
51. VPN Verbindungen konfiguriert und aufgelis 206 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller Nur bei mGuard industrial RS tet werden diese in der Auswahlliste angezeigt Soll eine davon manuell auf Tastendruck bzw durch Schalterbet tigung aufgebaut und wieder abgebaut werden k nnen w hlen Sie diese hier aus Ist das Starten und Stoppen der VPN Verbindung ber den CMD Kon takt eingeschaltet hat ausschlie lich der CMD Kontakt das Recht dazu D h die Einstellung des Schalters Aktiv f r die gesamte VPN Verbin dung hat keine Wirkung Ist am CMD Kontakt ein Taster statt eines Schalters siehe unten angeschlossen kann der Verbindungsaufbau und abbau aber auch gleichberechtigt und konkurrierend ber die Kommandos des CGI Skriptes nph vpn cgi erfolgen Bei Aus ist diese Funktion ausgeschaltet Ist an den Service Kontakten des mGuard ein Taster oder Ein Aus Schalter angeschlossen dann hat dessen Be t tigung keine Wirkung Am CMD Kontakt angeschlossener Schaltertyp Taster Ein Aus Schalter Der mGuard industrial RS verf gt ber Anschl sse an die ein externer Tas ter Schalter und eine Signal LED angeschlossen werden k nnen W hlen Sie den Schaltertyp aus der an den entsprechenden Service Kontakten des mGuard industrial RS angeschlossen ist Mehr dazu siehe mGuard industrial RS installieren auf Seite 24 unter Ser vice Kontakte Dort wird auch die unterschiedliche Bedienun
52. Zertifikat der CA deren Signatur im zu berpr fenden von der Ge genstelle vorgezeigten Zertifikat steht auch das CA Zertifikat der ihr bergeordneten CA usw bis hin zum Root Zertifikat Siehe im Glossar unter CA Zertifikat 164 von 283 Konfiguration Menti Authentifizierung Erstellung von Zertifikaten Authentifizierungs verfahren Die Authentifizierung anhand von CA Zertifikaten macht es m glich den Kreis m glicher Gegenstellen ohne Verwaltungsaufwand zu erweitern weil nicht f r jede m gliche Gegenstelle deren Gegenstellenzertifikat installiert werden muss F r die Erstellung eines Zertifikats wird zun chst ein privater Schl ssel und der dazu geh rige ffentliche Schl ssel ben tigt Zum Erstellen dieser Schl ssel gibt es Programme mit denen das jeder selbst tun kann Ein zugeh riges Zertifikat mit dem zugeh rigen ffentlichen Schl ssel kann man sich ebenfalls selbst erzeu gen wenn ein selbst signiertes Zertifikat entstehen soll Hinweise zum Selbst ausstellen gibt ein Dokument welches von der Webseite www innominate de aus dem Download Bereich heruntergeladen werden kann Es ist als Application Note unter dem Titel How to obtain X 509 certificates ver ffentlicht Ein zugeh riges von einer CA Certificate Authority signiertes Zertifikat muss bei einer CA beantragt werden Damit der private Schl ssel zusammen mit dem zugeh rigen Zertifikat in den mGuard importiert werden k nnen m ssen di
53. Zusammenhang wird in der obiger Zeichnung durch zwei schwarze Kugeln verdeutlicht Eine dritte IP Adresse wird f r die Schnittstelle des mGuard zum WAN verwen det ber diese geht die Verbindung zu einem externen Netz z B Internet 38 von 283 Inbetriebnahme Power over PCl Modus Stealth Modus im Power over PCI Modus Netzwerkkarte 192 168 1 1 1 1 1 1 mGuard PCI A externe IP Da im Power over PCI Modus die Netzwerkkarten Funktionalit t des mGuard PCI ausgeschaltet ist wird f r ihn keine Treibersoftware installiert An den LAN Port des mGuard PCI wird eine bereits installierte Netzwerkkarte angeschlossen die sich im gleichen oder in einem anderen Computer befindet Siehe Einbau der Hardware auf Seite 40 Im Stealth Modus wird die IP Adresse die f r die Netzwerkschnittstelle des Betriebssystems LAN Port konfiguriert ist vom mGuard auch f r seinen WAN Port bernommen Somit tritt der mGuard f r den Datenverkehr vom und zum Rechner als eigenes Ger t mit eigener Adresse gar nicht in Erscheinung DO Im Stealth Modus ist es nicht m glich PPPoE oder PPTP zu verwenden Router Modus im Power over PCI Modus GO H Netzwerkkarte D 192 168 1 2 gt _ rm I 192 168 1 1 mGuard PCI ee Tr IP Befindet sich der mGuard im Router Modus oder PPPoE oder PPTP Modus arbeiten der mGuard und die an seiner LAN Buchse angeschlossene Netzwerkkarte installiert im s
54. an dieser Stelle eingesetzt Falls die Regeln des eingesetzten Regelsatzes nicht angewendet und mit Annehmen Ab weisen oder Verwerfen durchgesetzt werden k nnen wird mit der Abar beitung der Regel fortgefahren die auf die folgt aus der der Regelsatz referenziert wurde DO Im Stealth Modus entspricht Abweisen der Aktion Verwerfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder nicht Log auf Nein setzen werkseitige Voreinstellung BO Regels tze werden nur angewendet wenn sie auf der Registerkarte Eingangs regeln bzw Ausgangsregeln referenziert sind Nur wenn alle Kriterien einer Firewall Regel erf llt werden wird ein Regel satz der in dieser Firewall Regel referenziert wird angewendet Konfiguration Menti Netzwerksicherheit nicht blade Kontroller MAC Filter Netzwerksicherheit Paketfilter Eingangsregeln sregeln ai MAC Filter Erweiterte Einstellungen Eingehend Dx Quell MAC Ziel MAC SESE SI xX CEO nor x rer XO any Annehmen Ethernet Protokoll ist entweder any IPv4 ARP Length oder ein hexadezimaler Wert Bitte beachten Sie Diese Regeln gelten nur im Stealth Modus Bitte beachten Sie Management Zugriff auf die 1 1 1 1 ben tigt ARP Zugriff zum Standard Gateway Beschr nkungen im ARP Verkehr zum Standard Gateway k nnen zu Zu
55. angeschlossenen Rechners bzw Netzes entsprechend anpassen 49 von 283 Konfiguration vorbereiten 5 2 2 mGuard delta Bei Auslieferung oder nach Zurticksetzen auf die Werkseinstellung oder Flashen des mGuards ist der mGuard delta tiber die LAN Schnittstellen 4 bis 7 unter der IP Adresse 192 168 1 1 innerhalb des Netzwerks 192 168 1 0 24 erreichbar F r einen Zugriff auf die Konfigurationsoberfl che kann es daher n tig sein die Konfiguration Ihres Computers anzupassen Unter Windows XP gehen Sie dazu wie folgt vor Start Systemsteuerung Netzwerkverbindungen klicken Das Symbol des LAN Adapters mit der rechten Maustaste klicken so dass sich das Kontextmen ffnet Im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Regi sterkarte Allgemein unter Diese Verbindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren Dann die Schaltfl che Eigenschaften klicken so dass folgendes Dialogfenster angezeigt wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen O IP Adresse automatisch beziehen Foig en IP Adresse 192 168 1 2 2 Subnetzmaske 255 255 255 0 Standardgateway 12168 1 1 Folgende
56. au er Kraft gesetzt VPN Verbindungen sind nicht betroffen weil die Anti Virus Funktion bei VPN Verbindungen nicht zur Verf gung steht Stealth Modus Erlaube Weiterleitung von GVRP Paketen Ja Nein Das GARP VLAN Registration Protocol GVRP wird von GVRP f higen Switches verwendet um Konfigurationsinformationen miteinander auszutau schen Ist dieser Schalter auf Ja gesetzt dann k nnen GVRP Pakete den mGuard im Stealth Modus passieren Erlaube Weiterleitung von STP Paketen Ja Nein Das Spanning Tree Protocol STP 802 1d wird von Bridges und Switches verwendet um Schleifen in der Verkabelung zu entdecken und zu ber cksich tigen Ist dieser Schalter auf Ja gesetzt dann k nnen STP Pakete den mGuard im Stealth Modus passieren Erlaube Weiterleitung von DHCP Paketen Ja Nein Bei Ja wird dem Client erlaubt ber DHCP eine IP Adresse zu beziehen un abh ngig von den Firewallregeln f r ausgehenden Datenverkehr Die Voreinstellung f r diesen Schalter ist Ja 185 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller 186 von 283 Connection Tracking Maximale Zahl gleichzeitiger Verbindungen Dieser Eintrag legt eine Obergrenze fest Diese ist so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht wird Bei Angriffen kann sie dage gen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere
57. auf Ein oder Aus 130 von 283 Konfiguration Menti Netzwerk Ausgehender Ruf PPP Optionen abgehender Ruf Anzurufende Telefonnummer Authentifizierung Bedarfsweise Einwahl Verbindungstrennung nach Leerlauf Leerlaufzeit Sekunden Lokale IP Entfernte IP Netzmaske Nur mGuard industrial RS mGuard blade gt Ist nur dann zu konfigurieren wenn der mGuard EAGLE mGuard ber das prim re externe Interface Netzwerkmodus Modem oder Einge mGuard delta bautes Modem ODER ber das sekund re externe Interface zus tzlich im Netzwerkmodus Stealth oder Router verf gbar eine Datenverbindung ins WAN Internet herstellen k nnen soll Ausge hender Ruf PPP Optionen abgehender Ruf Anzurufende Telefonnummer Telefonnummer des Internet Service Providers Nach Herstellung der Tele fonverbindung wird dar ber die Verbindung ins Internet hergestellt Befehlssyntax Zusammen mit dem bereits vorangestellten Modemkommando ATD zum Wahlen ergibt sich f r das angeschlossene Modem z B folgende W hlse quenz ATD765432 Standardm ig wird das kompatiblere Pulswahlverfahren benutzt das auf je den Fall funktioniert Es k nnen W hlsonderzeichen in die W hlsequenz aufgenommen werden Siehe dazu die nachfolgende Tabelle HAYES W hlsonderzeichen W Weist das Modem an an dieser Stelle eine W hlpause einzulegen bis das Freizeichen zu h ren ist Wird verwendet wenn das Modem an einer Nebens
58. auf Synchronisation der Systemzeit Nein Angaben in Zertifikaten und CRLs ber deren G ltigkeitszeitraum wer den vom mGuard ignoriert Warte auf Synchronisation der Systemzeit Der in Zertifikaten und CRLs angegebene G ltigkeitszeitraum wird vom mGuard erst dann beachtet wenn dem mGuard die aktuelle Zeit Datum und Uhrzeit bekannt ist entweder durch die eingebaute Uhr bei mGuard industrial RS und mGuard delta oder durch Synchronisierung der Systemzeit siehe Zeit und Datum auf Seite 63 Bis zu diesem Zeitpunkt werden alle zu pr fenden Zertifikate sicherheitshal ber als ung ltig erachtet CRL Pr fung einschalten Ja Nein Bei Ja Bei eingeschalteter CRL Pr fung zieht der mGuard die CRL Certifi cate Revocation Liste Zertifikats Sperrliste heran und pr ft ob die dem mGuard vorliegenden Zertifikate gesperrt sind oder nicht CRLs werden von den CAs herausgegeben und enthalten die Seriennummern von Zertifikaten die gesperrt sind z B weil sie als gestohlen gemeldet wor den sind Auf der Registerkarte CRL siehe CRL auf Seite 175 geben Sie an von wo der mGuard die Sperrlisten bekommt B gt Bei eingeschalteter CRL Pr fung ist es notwendig dass zu jedem ssuer von Zertifikaten im mGuard eine CRL konfiguriert sein muss Fehlende CRLs f hren dazu dass Zertifikate als ung ltig betrachtet werden BO Sperrlisten werden mit Hilfe eines entsprechenden CA Zertifikats vom mGuard auf Echtheit
59. ausf llt aus welchen Gr nden auch immer geht der mGuard davon aus dass das gerade in Kraft gesetzte neue Konfigu rationsprofil fehlerhaft ist F r Identifizierungszwecke merkt sich der mGuard dessen MD5 Summe Dann f hrt der mGuard ein Rollback durch Rollback bedeutet dass die letzte funktionierende Konfiguration wiederher gestellt wird Das setzt voraus dass in der neuen nicht funktionierenden Konfiguration die Anweisung steht ein Rollback durchzuf hren wenn ein neues geladenes Konfigurationsprofil sich in dem oben beschriebenen Pr fungsverfahren als fehlerhaft erweist Wenn nach der im Feld Schedule und Zeitgesteuert festgelegten Zeit der mGuard erneut und zyklisch versucht ein neues Konfigurationsprofil zu ho len wird er ein solches nur unter folgendem Auswahlkriterium annehmen Das zur Verf gung gestellte Konfigurationsprofil muss sich unterscheiden von dem Konfigurationsprofil das sich f r den mGuard zuvor als fehlerhaft erwiesen hat und zum Rollback gef hrt hat Dazu vergleicht der mGuard die bei ihm gespeicherte MD5 Summe der alten f r ihn fehlerhaften und verwor fenen Konfiguration mit der MD5 Summe des angebotenen neuen Konfigu rationsprofils Wird dieses Auswahlkriterium erf llt d h es wird ein neueres Konfigura tionsprofil angeboten holt sich der mGuard dieses Konfigurationsprofil setzt es in Kraft und pr ft es gem des oben beschriebenen Verfahrens und setzt es bei nicht bestandener
60. bei mGuard industrial RS mit eingebautem Modem oder ISDN Termi naladapter Wird der Netzwerk Modus Eingebautes Modem gew hlt wird die externe Ethernet Schnittstelle des mGuard deaktiviert und der Datenverkehr vom und zum WAN l uft ber das im mGuard eingebaute Modem bzw den ein gebauten ISDN Terminaladapter Dieses bzw dieser muss am Telefonnetz angeschlossen sein Die Anbindung ans Internet erfolgt dann ber das Tele fonnetz Nach Auswahl von Eingebautes Modem werden die Felder zur Festlegung der Parameter f r eine Modemverbindung eingeblendet F r die weitere Konfiguration des Netzwerkmodus Zingebautes Modem Mo dem siehe a Netzwerk Modus Modem Eingebautes Modem auf Seite 127 113 von 283 Konfiguration Menti Netzwerk Sekund res externes Interface Extern 2 gt Nur bei Netzwerkmodus Stealth oder Router Nur bei Nur bei mGuard industrial RS mGuard blade EAGLE mGuard mGuard mGuard industrial RS delta mGuard blade EAGLE mGuard In diesen Netzwerkmodi kann die serielle Schnittstelle des mGuard als zu mGuard delta s tzliches sekund res externes Interface konfiguriert werden ber das sekund re externe Interface kann permanent oder aushilfsweise Da tenverkehr ins externe Netz WAN gef hrt werden Bei aktiviertem sekund rem externen Interface gilt Folgendes Im Netzwerkmodus Stealth Nur der vom mGuard erzeugte Datenverkehr wird dem Routing unterzo gen das f r das sekund re e
61. betreffenden Benutzers langer als die hier festgelegte Timeout Zeit muss er sich neu anmelden Timeout Typ statisch dynamisch Bei statischem Timeout werden Benutzer automatisch abgemeldet sobald die eingestellte Timeout Zeit verstrichen ist Bei dvnamischem Timeout werden Benutzer automatisch abgemeldet nachdem die Verbindungen durch den Be nutzers geschlossen wurden oder aber auf dem mGuard abgelaufen sind und anschlie end die hier eingestellte Timeout Zeit verstrichen ist Eine Verbindung gilt auf dem mGuard dann als abgelaufen wenn ber die folgenden Zeitr ume hinaus keine Daten mehr f r diese Verbindung vorla gen Protokoll Ablaufzeitraum der Verbindung nach Nichtbenutzung TCP 5 Tage Dieser Wert ist einstellbar siehe Timeout f r aufgebaute TCP Verbindungen auf Seite 186 Hinzukommen zus tzliche 120s nach Schlie en der Verbin dung Diese 120s gelten auch nach dem Schlie en durch den Benutzer UDP 30s nach Datenverkehr in einer Richtung 180s nach Datenverkehr in beide Richtungen ICMP 30s Andere 10min 191 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Template Benutzer Netzwerksicherheit Benutzerfirewall unnamed Template Benutzer Benutzer Benutzer Benutzer Geben Sie die Namen von Benutzern an Die Namen miissen denen entspre chen die unter Men Benutzerauthentifizierung Firewall Benutzer festge legt sind siehe
62. bzgl Amtsholung Nein Niedrige Lautst rke Lausprechernutzung Lautsprecher soll bis zur Erkennung des Tragertons an sein danach aus EN mit eingebautem Mo Lautst rke eingebauter Lautsprecher dem analog Externes Modem Wie beim mGuard industrial RS ohne eingebautes Modem mGuard blade EAGLE mGuard und mGuard delta Konfiguration wie oben f r Externes Modem siehe oben unter Externes Mo dem auf Seite 140 Eingebautes Modem analog Staat Hier muss der Staat angegeben werden in dem der mGuard mit seinem ein gebautem Modem betrieben wird Nur dann ist gew hrleistet dass sich das eingebaute Modem gem der in diesem Staat g ltigen Fernmeldevor schriften verh lt und z B Rufton und W hlton richtig erkennt und entspre chend reagiert Nebenstelle bzgl Amtsholung Ja Nein Bei Nein erwartet der mGuard bei Anschaltung ans Telefonnetz den W hlton wenn der mGuard die Gegenstelle anw hlen will 142 von 283 Konfiguration Menti Netzwerk Zus tzlich beim mGuard industrialRS mit eingebautem Mo dem ISDN Bei Ja erwartet der mGuard keinen W hlton sondern beginnt gleich mit der Anwahl der Gegenstelle Dieses Verhalten kann notwendig sein wenn das eingebaute Modem des mGuard an einer privaten Nebenstellenanlage ange schlossen ist bei der beim Abheben kein W hlton ausgegeben wird Wenn zur Anwahl nach drau en Amtsholung eine bestimmte Nummer z B 0 gew hlt wer
63. changed to yes 87729 kernel fw https access 1 1ec2c133 deal 1231 bfa5 000cbe01010a act ACCEPT IN ethO OUT 86944 kernel fw https access 1 1ec2c133 deal 1231 bfa5 000cbe01010a act ACCEPT IN eth0 OUT 99599 ntpd 2137 no servers reachable 15168 kernel fw https access 1 1ec2c133 deal 1231 bfa5 000cbe01010a act ACCEPT IN ethO OUT oll i D 21 87995 pluto 2215 ike_alg_register_enc Activating OAKLEY_DES CBC Ok ret 0 i o 122 05442 pluto 2215 ike_alg_register_enc Activating OAKLEY_AES CBC Ok ret 0 ptime 0 days 22 16021 pluto 2215 Changing to directory etc ipsec d cacerts ptime 0 days 22 16281 pluto 2215 Changing to directory etc ipsec d crls time 0 days 122 16648 pluto 2215 listening for IKE messages ptime 0 days 22 16822 pluto 2215 adding interface ipsec0 eth0 10 1 0 158 ptime 0 days 22 16947 pluto 2215 adding interface ipsecO ethO 10 1 0 158 4500 ptime 0 days 22 22162 pluto 2215 loading secrets from etc ipsec secrets time 0 days 22 41056 pluto 2215 loading secrets from etc ipsec secrets ptime 0 days 22 41327 pluto 2215 Changing to directory etc ipsec d cacerts ptime 0 days S i z2 SS z2 SS 22 2 2 2 2 2 2 2 41581 pluto 2215 Changing to directory etc ipsec d crls 2 5 5 5 5 ptime 0 days 2006 08 21_14 2006 08 21_14 2006 08 21_14 006 08 21_14 2006 08 21 15 2006 08 21 15 2006 08 21 15 2006 08 21_15 006 08 21_15 2006 08 21_15 2006 08 21 15 006 08 21_15
64. der Rescue Taste WAN Rot Leuchtcodes Siehe Die Rescue Taste f r Neustart Recovery Prozedur und LAN Gr n Flashen der Firmware auf Seite 265 Beim mGuard PCI befindet sich die Rescue Taste auf der Platine siehe Einbau der Hardware auf Seite 40 18 von 283 Bedienelemente und Anzeigen 3 4 mGuard blade Seriell WAN rot WAN griin LAN rot LAN griin Rescue Taste Innominate LEDs Zustand Bedeutung WAN Rot blinkend Bootvorgang Nach dem Starten oder Neustarten des LAN Rot Rechners WAN Rot blinkend Systemfehler B F hren Sie einen Neustart durch Dazu die Rescue Taste kurz 1 5 Sek dr cken Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 265 oder wenden Sie sich an den Support WAN Gr n leuchtend oder Ethernetstatus Zeigt den Status vom LAN bzw WAN Inter LAN Gr n blinkend face Sobald das Ger t angeschlossen ist zeigt kontinuierliches Leuchten an dass eine Verbindung zum Netzwerk Partner besteht Bei der bertragung von Datenpaketen erlischt kurzzeitig die LED WAN Gr n div LED Recovery Modus Nach Dr cken der Rescue Taste WAN Rot Leuchtcodes Siehe Die Rescue Taste f r Neustart Recovery Prozedur und LAN Gr n Flashen der Firmware auf Seite 265 19 von 283 Bedienelemente und Anzeigen 3 5 EAGLE mGuard
65. die Liste der Filterregeln kurz sein Sonst k nnte die Zeit die zum Ausfiltern gebraucht wird l nger sein als der durch das Ausfiltern erzielte Zeitgewinn Es ist zu beachten dass nicht alle angebbaren Filterkriterien sinnvoll kombiniert werden k nnen Zum Beispiel macht es keinen Sinn bei Angabe des Ethernet Protokolls ARP im selben Regelsatz zus tzlich ein IP Protokoll anzugeben Oder bei Angabe des Ethernet Protokolls IPX hexadezimal anzugeben die IP Adres sen von Sender oder Absender vorzugeben Aktivierung Aktiviere Ingress QoS Ma einheit Filter Re sven FOE Fr E Alle 0 0 0 0 0 0 0 0 0 0 Alle 100 unlimited Intern Einstellung f r Ingress Filter an der LAN Schnittstelle 240 von 283 Konfiguration Men QoS Aktivierung Aktiviere Ingress QoS MaBeinheit Filter 1 Nein 0 0 0 0 0 0 0 0 0 0 Extern Einstellung f r Ingress Filter an der WAN Schnittstelle Aktivierung Filter Aktiviere Ingress QoS Ja Nein Nein Standard Das Feature ist ausgeschaltet Falls Filterregeln definiert sind werden sie ignoriert Ja Das Feature ist eingeschaltet Datenpakete d rfen nur dann passieren und werden der Weitervermittlung und verarbeitung des mGuard zugef hrt wenn sie den nachfolgend festgelegten Filterregeln entsprechen Filter k nnen f r den LAN Port Registerkarte Intern und den WAN Port Re gisterkarte Extern gesetzt werden Ma einheit kbit s Pakete s
66. die auch passen w rden werden diese ignoriert Netzwerksicherheit Paketfilter Eingangsregeln i Erweiterte Einstellungen Eingehend 00000000 0000 0000 0000 000000000000 wx SS ee ee en SI Extern TCP 0 0 0 0 0 0 0 0 0 0 Er annehmen Nein Diese Regeln geben an welcher Verkehr von on au en Bitte beschten Sie Port Angaben werden nur f r TCP un gt UDP sst Eingehend Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten verbindungen die von extern initiiert wurden Istkeine Regel gesetzt werden die Datenpakete aller eingehenden Verbindungen au er VPN verworfen Werkseinstellung Bei den Angaben haben Sie folgende M glichkeiten 177 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller 178 von 283 Interface Extern Extern 2 Alle Externen Gibt an tiber welches Interface die Datenpakete eingehen damit sich die Re gel auf sie bezieht Mit Alle Externen sind die Interfaces Extern und Extern 2 gemeint Diese Interfaces stehen nur bei mGuard Modellen mit von au en zug nglicher serieller Schnittstelle zur Verf gung Protokoll TCP UDP ICMP Alle Von IP Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Adressenbereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden be
67. entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert Server Port Hier geben Sie bitte die Nummer des Ports f r das FTP Protokoll an Der FTP Standardport 21 ist bereits voreingestellt Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert 199 von 283 Konfiguration Menti E Mail Sicherheit nicht blade Kontroller 6 8 Menu E Mail Sicherheit nicht blade Kontroller 6 8 1 E Mail Sicherheit POP3 Virenschutz Optionen Voraussetzungen Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Anti Virus Lizenz Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Verwaltung Lizenzierung auf Seite 82 e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensi gnaturen siehe Abschnitt Verwaltung Update auf Seite 85 E Mail Sicherheit POP3 Virenschutz Optionen Der PS E Mail Abholung Bei Virusdetektion Fehlermeldung an den E Mail Client 7 Bei berschreiten der Gr ssenbegrenzung E Mail blockieren FO Liste der POP3 Se
68. f r IPsec Voreinstellung ist 16260 Die Option zur Vermeidung bergro er IKE Datenpakete die von defekten Routern auf dem bertragungsweg nicht korrekt weitergeleitet werden k nnten gibt es auch f r IPsec Datenpakete Um unter der oft durch DSL ge 210 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller DynDNS Uberwachung setzten Obergrenze von 1500 Bytes zu bleiben wird ein Wert von 1414 Bytes empfohlen so dass auch f r zus tzliche Header gen gend Platz bleibt Wenn Sie diese Option nutzen wollen legen Sie einen niedrigeren Wert als die Voreinstellung fest IPsec VPN Global DynDNS berwachung Abfrageintervall Sekunden Erl uterung zu DynDNS siehe DynDNS auf Seite 152 DynDNS berwachung Hostnamen von VPN Gegenstellen berwachen Ja Nein Ist dem mGuard die Adresse einer VPN Gegenstelle als Hostname angegeben siehe VPN Verbindung VPN Verbindungskan le definieren auf Seite 214 und ist dieser Hostname bei einem DynDNS Service registriert dann kann der mGuard regelm ig berpr fen ob beim betreffenden DynD NS eine nderung erfolgt ist Falls ja wird die VPN Verbindung zu der neu en IP Adresse aufgebaut Abfrageintervall Sekunden Standard 300 211 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 6 9 2 IPsec VPN Verbindungen Verbindungen Voraussetzungen f r eine VPN Verbindung Generelle Voraussetzung f
69. gepr ft Darum m ssen alle zu einer Sperrliste geh renden CA Zertifikate alle Sub CA Zertifikate und das Root Zertifikat auf dem mGuard importiert sein Ist die Echtheit einer Sperrliste nicht pr fbar wird sie vom mGuard so behandelt als w re sie nicht vorhanden Bo Ist die Verwendung von Sperrlisten aktiviert und zus tzlich die Beachtung ih rer G ltigkeitszeitr ume aktiviert gelten Sperrlisten als nicht vorhanden wenn ihre G ltigkeit laut Systemzeit abgelaufen oder noch nicht eingetreten ist CRL Download Intervall Ist CRL Pr fung einschalten auf Ja gesetzt s 0 w hlen Sie hier aus nach welchen Zeitabst nden die Sperrlisten heruntergeladen und in Kraft gesetzt werden sollen Aufder Registerkarte CRL siehe CRL auf Seite 175 geben Sie an von wo der mGuard die Sperrlisten bekommt Ist die CRL Pr fung eingeschaltet der CRL Download aber auf Nie gesetzt muss die CRL manuell in den mGuard geladen worden sein damit die CRL Pr fung gelingen kann Konfiguration Menti Authentifizierung Maschinen zertifikate Mit einem Maschinenzertifikat das in den mGuard geladen ist authentisiert sich dieser mGuard bei der Gegenstelle Das Maschinenzertifikat ist sozusagen der Personalausweis eines mGuard mit dem er sich bei der jeweiligen Gegenstelle ausweist Weitere Erl uterungen siehe Authentifizierung Zertifikate auf Seite 163 Durch das Importieren einer PKCS 12 Datei erh lt der mGuard einen privat
70. her ausschieben BO Die mGuard bladeBase braucht beim Ein und Ausbau eines mGuard blade nicht ausgeschaltet zu werden Direkt neben den beiden Stromversorgungen befindet sich der CTRL Slot Ein darin betriebener mGuard blade arbeitet als Kontroller f r alle anderen mGuard blades Bei der ersten Installation eines mGuard blade in den CTRL Slot konfiguriert sich das blade in eine Kontrolleinheit wie folgt um e Die Benutzeroberfl che wird f r den Betrieb als Kontroller umkonfiguriert e Er schaltet sich in den Router Modus mit der lokalen IP 192 168 1 1 e Die Funktionen Firewall Anti Virus und VPN werden zur ckgesetzt und deaktiviert 31 von 283 Inbetriebnahme Anschluss mGuard blade Serial Port Rechner im Patchfeld Patchfeld Switch mGuard blade vorher nachher Wenn Ihr Rechner bereits an einem Netzwerk angeschlossen ist dann patchen Sie das mGuard blade zwischen die bereits bestehende Netzwerkverbindung Beachten Sie bitte dass die Konfiguration zun chst nur vom lokalen Rechner aus ber das LAN Interface erfolgen kann und die Firewall des mGuard allen IP Da tenverkehr vom WAN zum LAN Interface unterbindet DO Es ist keine Treiber Installation erforderlich BO Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern Sicherheitshinweis Die serielle Schnittstelle RJ12 Buchse darf nicht direkt mit Fer
71. hren Sie folgende Schritte in der angege benen Reihenfolge aus Ziel Seite Zum Lieferumfang geh ren auf Seite 23 2 Ger t anschlie en mGuard industrial RS installieren auf Seite 24 mGuard smart anschlie en auf Seite 30 mGuard blade installieren auf Seite 31 EAGLE mGuard installieren auf Seite 33 mGuard delta anschlie en auf Seite 36 mGuard PCI installieren auf Seite 37 Das Ger t konfigurieren soweit erforderlich Gehen Sie dazu die einzelnen Men optionen durch die Ihnen der mGuard mit seiner Konfigu rationsoberfl che bietet Lesen Sie deren Erl u terungen in diesem Handbuch um zu entscheiden welche Einstellungen f r Ihre Be triebsumgebung erforderlich oder gew nscht sind Lokale Konfiguration Bei Inbetriebnahme auf Seite 48 22 von 283 Inbetriebnahme Zum Lieferumfang gehoren Pr fen Sie vor Inbetriebnahme die Lieferung auf Vollst ndigkeit e Das Ger t mGuard industrial RS mGuard blade delta PCI smart oder EAGLE mGuard e Quick Installation Guide Zum mGuard industrial RS geh ren zus tzlich e Klemmblock f r den Stromanschluss aufgesteckt e Klemmblock f r den Meldekontakt Taster sowie optionalen ISDN oder Telefonanschluss Zum mGuard bladePack geh ren zus tzlich e Die 19 mGuard bladeBase e 1 mGuard blade als Kontroller e 2 Netzteile e 2 Netzkabel e 12 Leerblenden e 12 Beschriftungspl tchen MI bis M12 e Sch
72. if one is available Do you want to continue the installation Yes 4 No More Info 5 Klicken Sie auf Ja Found New Hardware Wiza L Completing the Found New Hardware Wizard EZ Innominate mGuardPCl Windows has finished installing the software for this device To close this wizard click Finish lt Back Cancel 6 Klicken Sie auf Fertigstellen 44 von 283 Inbetriebnahme Unter Linux Der Linuxtreiber ist im Sourcecode verf gbar und muss vor Verwendung ber setzt werden e Bauen und bersetzen Sie zun chst den Linuxkernel 2 4 25 im Verzeichnis usr sre linux e Entpacken Sie die Treiber des ZIP Archivs ins Verzeichnis usr sre pci driver e F hren Sie die folgenden Kommandos aus e cd usr sre pei driver e make LINUXDIR usr sre linux e install m0644 mguard o lib modules 2 4 25 kernel drivers net e depmod a e Der Treiber kann nun mit dem folgenden Kommando geladen werden e modprobe mguard 45 von 283 Konfiguration vorbereiten 5 Konfiguration vorbereiten 5 1 Anschlussvoraussetzungen mGuard industrial RS mGuard smart mGuard PCI mGuard blade EAGLE mGuard 46 von 283 Der mGuard industrial RS muss an mindestens einem aktivem Netzteil ange schlossen sein Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss an der LAN Buchse des mGuard angeschlossen sein Bei Fernkonfiguration Der mGuard muss so konfiguriert se
73. imom 2 Sala 3186000 mn lfo 0 0 070 Sm lee Minimize Cost sd Unveranden Aow Eech MIT 1 VPN via Einwahl Einstellung f r Egress Queue Zuordnungen Alle oben aufgef hrten Registerkarten f r Egress Zuordnungen in Bezug auf die Interfaces Intern Extern Extern 2 Einwahl sowie f r VPN Verbindungen die ber diese Interfaces gef hrt werden bieten die gleichen Einstellm glichkeiten In allen F llen beziehen sich die Einstellungen auf die Daten die von der jewei ligen Schnittstelle gesehen vom mGuard nach au en ins Netz gehen Standard Standard Queue Namen der Egress Queues benutzerdefiniert Angezeigt werden die Namen der Queues wie sie unter Egress Queues auf den Registerkarten Intern Extern VPN via Extern angezeigt oder festgelegt sind Standardm ig sind das folgende Namen Default Urgent Important Low Priority 247 von 283 Konfiguration Men QoS 248 von 283 Traffic der nicht nachfolgend unter Zuordnungen einer bestimmten Egress Queue zugeordnet wird bleibt der Standard Queue zugeordnet ber diese Auswahlliste legen Sie fest welche Egress Queue als Standard Queue gelten soll Zuordnungen Die Zuordnung bestimmten Daten Traffics zu einer Egress Queue erfolgt ber eine Liste von Kriterien Treffen die Kriterien einer Zeile auf ein Datenpaket zu wird es in die dort benannte Egress Queue eingeordnet Beispiel Sie haben f r zu bertragende Audio Daten unter QoS Egres
74. mGuarddelta a a aa EE Ee 47 5 2 Lokale Konfiguration Bei Inbetriebnahme 0 0 0 0 cc ceecccesceeeeeseeseeneeeeeeeseeeaeecaeeneeeeeeesees 48 5 2 1 mGuard industrial RS mGuard smart mGuard blade und EAGLE mGuard 48 Bei konfigurierter Netzwerkschnittstelle 00 0 0 ccccecccesseesseeseceteeeeceeeeeseeeeeceenteenaes 48 Bei nicht konfigurierter Netzwerkschnittstelle eesesnene 48 3 22 E KE en annamt Ein arel iR Mies aa sen 50 5 23 ee D E NEE 51 Inst llieren der PC1 K rte u 202 0 aaa nal 51 Tnstallieren der Treiber ss 20 22 anne Ren 51 Konfiguration der Netzwerkschnittstelle useesesnsnensennneennn nenne 51 ee ele 51 5 3 Lokale Konfigurationsverbindung herstellen cccceccccsseeseceseceeeeeseeescenseceaeceeeeseeeeeenaees 53 Web basierte Administratoroberfl che nennen 53 Bei erfolgreichem VMerbmdungsaufbau 54 3 4 Rerokontgugattmg Eeer ee Ee eier eege aaoo Ee deel 56 K EE 56 Femkonfeurapon 56 6 Konfiguration secesesicsccsciccsssensccenceccasstescoonsesecessecaccenndccenseccsedensodenasoddaceesndcossoedscbecetcessuaddeasecdcedsendces 57 GL Bedienung Eege 57 6 2 Men Verwaltung fects facies Sekten de 60 6 2 1 Verwaltung Systemeinstellungen u ueseeseenseenseesnenssennnennnennnennnnnnnnsennenanenn 60 Hostels ar dee le 60 Meldekontakt nur mGuard industrial RS EAGLE mMGuard sesssseeeeeeeeeeeeeeee 62 Zeit und Datum 00 cccccecccesseessecsecesee
75. mGuards her zum WAN aufge baut werden F r in anderen Richtungen aufgebaute Verbindungen wird der Anti Virus Schutz nicht angewendet Optionen Anti Virus Schutz f r FTP Ja Nein Bei Ja werden empfangene und ausgehende Dateien vom mGuard auf Viren gescannt sofern sie ber FTP Verbindungen bertragen werden die unten in der Liste der FTP Server definiert sind Scannen bis zur Gr sse von Voreingestellt 5 MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Dateien die gr er sind werden nicht gescannt In diesem Fall wird abh ngig von der Einstellung bei berschreiten der Gr enbe grenzung eine Fehlermeldung an den Client gesendet oder automatisch in den Durchlassmodus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software des Benutzers ausgegeben und ein Eintrag m Anti Virus Log vorgenommen In diesem Fall haben Sie folgende Opti onen 197 von 283 Konfiguration Men Web Sicherheit nicht blade Kontroller e Sie k nnen versuchen den Download Upload zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren Sie k nnen die Option f r den automatischen Durchlassmodus akti vieren Bei Virusdetektion FTP Fehlermeldung Erkennt der Virenfilter einen Virus innerhal
76. nger durch eine Feh lermeldung an den E Mail Client benachrichtigt wenn er versucht E Mail abzuholen SF Ist f r die E Mail Client Software die Option Gelesene E Mails auf dem Server l schen aktiviert so wird bei der Einstellung Benachrich tigung per E Mail die infizierte Mail auf dem Server gel scht da der E Mail Client davon ausgeht dass die E Mail erfolgreich bertragen wurde Ist dies nicht gew nscht wenn z B die infizierte E Mail auf anderem Weg heruntergeladen werden soll sollte ausschlie lich die Option Fehlermeldung an den E Mail Client genutzt werden bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchlassmodus wenn die eingestellte Dateigr e berschritten wird In diesem Fall findet keine berpr fung auf Viren statt E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der POP3 Server Geben Sie an von welchen Servern die Daten auf Viren gescannt werden sol len Durch Aktivierung bzw Deaktivierung der Anti Virus Funktion bei jedem einzelnen Eintrag bzw Server haben Sie z B die M glichkeit eine Ausnah meregel f r eine darauf folgende umfassende Regel zu setzen Dadurch ist die Angabe von trusted Servern m glich siehe unten abgebildetes Beispiel 201 von 283 Konfiguration Menti E Mail Sicherhe
77. oder C be zeichnet ist am ersten Byte der IP Adresse erkennbar Folgendes ist festgelegt Wert des Bytes f r die Bytes f r die 1 Byte Netzadresse Host Adresse Class A 1 126 1 3 Class B 128 191 2 2 Class C 192 223 3 1 Rein rechnerisch kann es nur maximal 126 Class A Netze auf der Welt geben jedes dieser Netze kann maximal 256 x 256 x 256 Hosts umfassen 3 Bytes Adressraum Class B Netze k nnen 64 x 256 mal vorkommen und k nnen je weils bis zu 65 536 Hosts enthalten 2 Bytes Adressraum 256 x 256 Class C Netze k nnen 32 x 256 x 256 mal vorkommen und k nnen jeweils bis zu 256 Hosts enthalten 1 Byte Adressraum Subnetz Maske Einem Unternehmens Netzwerk mit Zugang zum Internet wird normalerweise nur eine einzige IP Adresse offiziell zugeteilt z B 123 456 789 21 Bei dieser Beispiel Adresse ist am 1 Byte erkennbar dass es sich bei diesem Unterneh mens Netzwerk um ein Class B Netz handelt d h die letzten 2 Byte k nnen frei zur Host Adressierung verwendet werden Das ergibt rein rechnerisch einen Adressraum von 65 536 m glichen Hosts 256 x 256 Ein so riesiges Netz macht wenig Sinn Hier entsteht der Bedarf Subnetze zu bil den Dazu dient die Subnetz Maske Diese ist wie eine IP Adresse ein 4 Byte lan ges Feld Den Bytes die die Netz Adresse repr sentieren ist jeweils der Wert 255 zugewiesen Das dient vor allem dazu sich aus dem Host Adressenbereich einen Teil zu borgen um diesen zur A
78. trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung mGuardTrapAv enterpriseSpecific mGuardTrapAvUpdateError 2 mGuardTResA vUpdateError Trap bei Fehler w hrend der Durchf hrung des AV Updates mGuardTrapAv enterpriseSpecific mGuardTrapAvFailed 5 mGuardTResAvFailed Trap bei allgemeinem AV Fehler e Virus gefunden oder Nichtpr fung von Datei Traps aktivieren Ja Nein enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung Redundanz Traps mGuardTrapAv enterpriseSpecific mGuardTrapAvVirusDetected 3 mGuardTResAvVirusDetected Trap bei Auffinden eines Virus durch die AV Funktion mGuardTrapAv enterpriseSpecific mGuardTrapAvFileNotScanned 4 mGuardTResAvFileNotScanned Trap wenn die Datei nicht nach Viren gescannt worden ist e Status nderung Traps aktivieren Ja Nein enterprise oid genericTrap specific trap additional mGuardTrapRouterRedundancy enterpriseSpecific mGuardTrapRouterRedStatusChange TRAP TYPE 1 mGuardTResRedundancyState Konfiguration Menti Verwaltung Erl uterung enterprise oid genericTrap specific trap additional Erl uterung mGuardTResRedundancyReason Trap nach Wechsel des aktuellen HA Cluster Status mGuardTrapRouterRedundancy enterpriseSpecific mGuardTrapR
79. unter Hostnamen Modus die Option Provider definiert z B via DHCP ausgewahlt ist wird ein Eintrag in diesem Feld ignoriert Domain Suchpfad Erleichtert dem Benutzer die Eingabe eines Domain Namens Gibt der Benut zer den Domain Name gek rzt ein erg nzt der mGuard seine Eingabe um den angegebenen Domain Suffix der hier unter Domain Suchpfad festgelegt wird SNMP Information Systemname Ein fiir Verwaltungszwecke frei vergebbarer Name f r den mGuard z B Hermes Pluto Unter SNMP sysName Standort Frei vergebbare Bezeichnung des Installationsortes z B Halle IV Flur 3 Besenkammer Unter SNMP sysLocation Kontakt Angabe einer f r den mGuard zust ndigen Kontaktperson am besten mit Te lefonnummer unter SNMP sysContact HiDiscovery HiDiscovery ist ein Protokoll zur Unterst tzung der initialen Inbetriebnahme von neuen Netzwerkger ten und ist im Stealth Modus f r das lokale Interface LAN des mGuard verf gbar Lokale HiDiscovery Unterst tzung Aktiviert Das HiDiscovery Protokoll ist aktiviert Nur lesend Das HiDiscovery Protokoll ist aktiviert der mGuard kann jedoch nicht dar ber konfiguriert werden Deaktiviert Das HiDiscovery Protokoll ist deaktiviert HiDiscovery Frame Durchleitung Ja Nein Steht diese Option auf Ja dann werden HiDiscovery Frames vom LAN Port nach au en ber den WAN Port weitergeleitet 61 von 283 Konfiguration Menti Verwaltung Meldekontak
80. unter denen der mGuard von Ger ten erreichbar ist die sich auf Seiten des WAN Ports befinden Findet hier der bergang zum Internet statt wird die externe IP des mGuard vom Internet Service Provider ISP vorge geben BO Nur die erste der hier angegebenen externen IP Adressen wird zur Abwick lung von VPN Verbindungen verwendet IP Netzmaske IP Adresse und Netzmaske des WAN Ports Verwende VLAN Ja Nein Wenn die IP Adresse innerhalb eines VLANs liegen soll ist diese Option auf Ja zu setzen VLAN ID Eine VLAN ID zwischen 1 und 4095 Eine Erl uterung des Begriffes VLAN findet sich auf Seite 279 Falls Sie Eintr ge aus der Liste l schen wollen Der erste Eintrag kann nicht gel scht werden 123 von 283 Konfiguration Menti Netzwerk Zusatzliche externe Routen Zusatzlich zur Default Route tiber das unten angegebene Default Gateway Standardgateway k nnen Sie weitere externe Routen festlegen Netzwerk Gateway Siehe auch Netzwerk Beispielskizze auf Seite 264 IP des Default Gateways Hier kann die IP Adresse eines Ger tes im lokalen Netz angeschlossen am LAN Port oder die IP Adresse eines Ger tes im externen Netz angeschlos sen am WAN Port angegeben werden Wenn der mGuard den bergang zum Internet herstellt wird diese IP Adres se vom Internet Service Provider ISP vorgegeben Wird der mGuard inner halb des LANs eingesetzt wird die IP Adresse des Default Gateways vom Netzwerk
81. ur Verf gun ng Dia a oligan n Ein eaten mg n werden nur f r den admi ar SE hall Zils ngewendet wof r eine vielle Schnittstelle angeschlo t Solche rife s r icht m glich w oder mall pae GOR emt Beien REED Externes Modem Hardware handshake RTS CTS SN Baudrate 57600 KE Verwende das Modem transparent nur bei Ewa za Modem Initialisierungssequenz arra OK E Einige mGuard Modelle verf gen ber eine von au en zug ngliche serielle Schnittstelle der mGuard industrial RS optional zus tzlich ber ein eingebautes Modem siehe Netzwerk Interfaces auf Seite 109 Die serielle Schnittstelle kann alternativ wie folgt genutzt werden Als prim res externes Interface wenn unter Netzwerk Interfaces auf der Registerkarte Allgemein als Netzwerkmodus Modem eingestellt ist siehe Netzwerk Interfaces Allgemein auf Seite 110 In diesem Fall wird der Datenverkehr nicht tiber den WAN Port Ethernet Schnitt stelle abgewickelt sondern tiber die serielle Schnittstelle ODER Als sekund res externes Interface wenn unter Netzwerk Interfaces Registerkarte Allgemein das sekund re externe Interface aktiviert und Modem ausgew hlt ist siehe Netzwerk Interfaces Allgemein auf Seite 110 In diesem Fall wird Datenverkehr permanent oder aushilfs weise ber die serielle Schnittstelle abgewickelt ODER F r Einwahl ins LAN oder f r Konfigurationszwecke Siehe auch Ein gehender
82. von 283 Keines Bei Auswahl von Keines authentisiert sich der SSH Server des mGuard nicht per X 509 Zertifikat gegentiber dem SSH Client sondern er benutzt einen Server Schl ssel und ist damit kompatibel mit lteren Versionen des mGuard Wird eines der Maschinenzertifikate ausgew hlt wird dem SSH Client das zus tzlich angeboten so dass dieser es sich aussuchen kann ob er das her k mmliche Authentifizierungsverfahren oder das gem X 509 anwenden will Die Auswahlliste stellt die Maschinenzertifikate zur Wahl die in den mGuard unter Mentipunkt Authentifizierung Zertifikate geladen worden sind siehe in diesem Handbuch unter Authentifizierung Zertifikate auf Seite 163 gt b wie der mGuard den SSH Client authentifiziert Nachfolgend wird festgelegt wie der mGuard die Authentizit t des SSH Clients pr ft Die Tabelle unten zeigt welche Zertifikate dem mGuard zur Authentifizierung des SSH Clients zur Verf gung stehen m ssen wenn der SSH Client bei Ver bindungsaufnahme eines der folgenden Zertifikatstypen vorzeigt ein von einer CA signiertes Zertifikat e ein selbst signiertes Zertifikat Zum Verst ndnis der nachfolgenden Tabelle siehe Kapitel 6 5 3 Authentifi zierung Zertifikate auf Seite 163 Authentifizierung bei SSH Die Gegenstelle zeigt Zertifikat personenbezo Zertifikat personenbezo vor gen von CA signiert gen selbst signiert Der mGuard authenti fiziert die Gegenste
83. von GVRP Paketen Nein Erlaube Weiterleitung von STP Paketen Erlaube Weiterleitung von DHCP Paketen Connection Tracking Maximale Zahl gleichzeitiger Verbindungen Erlaube TCP Verbindungen nur mit SYN nach einem Reboot m ssen Verbindungen neu aufgebaut werden Timeout f r aufgebaute TCP Verbindungen 1432000 Timeout f r geschlossene TCP Verbindungen IRC a E H 323 Nein IS Die Einstellungen betreffen das grundlegende Verhalten der Firewall Konsistenzpr fungen Maximale L nge f r Ping Pakete ICMP Echo Request Bezieht sich auf die L nge des gesamten Paketes inklusive Header Norma lerweise betr gt die Paketl nge 64 Byte kann aber auch gr er sein Sollen bergro e Pakete verhindert werden um Verstopfungen zu vermeiden kann ein maximaler Wert angegeben werden Dieser sollte aufjeden Fall ber 64 liegen damit normale ICMP Echo Requests nicht blockiert werden Aktiviere TCP UDP ICMP Konsistenzpr fungen Ja Nein Wenn auf Ja gesetzt f hrt der mGuard eine Reihe von Tests auf falsche Pr f summen Paketgr en usw durch und verwirft Pakete die die Tests nicht be stehen Werkseitig ist dieser Schalter auf Ja gesetzt 184 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Netzwerkmodi Router PPTP PPPoE ICMP via prim rem externen Interface f r den mGuard ICMP via sekund rem externen Interface f r den mGuard Mit dieser Option k nnen Sie das Verhalten be
84. wenden Sie sich an den Support State Error abwechselnd Bootvorgang Nach Anschluss des Ger tes an die Stromversorgungs blinkend gr n quelle Nach einigen Sekunden wechselt diese Anzeige zu Heartbeat rot LAN gr n leuchtend Ethernetstatus Zeigt den Status des LAN bzw WAN Ports Sobald WAN gr n leuchtend das Ger t am entsprechenden Netzwerk angeschlossen ist zeigt kon tinuierliches Leuchten an dass eine Verbindung zum Netzwerk Partner im LAN bzw WAN besteht Beim bertragen von Datenpaketen erlis cht kurzzeitig die LED 16 von 283 Bedienelemente und Anzeigen 3 2 mGuard smart Rescue Taste Befindet sich in der Offnung Kann z B mit einer aufgeboge nen B roklammer be t tigt werden LED 1 LED 2 LED3 LEDs Farbe Zustand Bedeutung 2 Rot Gr n rot gr n blinkend Bootvorgang Nach Anschluss des Ger tes an die Stromversorgungsquelle Nach einigen Sekunden wechselt diese Anzeige zu Heartbeat Gr n blinkend Heartbeat Das Ger t ist korrekt angeschlossen und funktioniert Rot blinkend Systemfehler B F hren Sie einen Neustart durch Dazu die Recovery Taste kurz 1 5 Sek dr cken ODER Das Ger t von der Stromversorgung kurz trennen und dann wieder anschlie en Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 265 oder wenden Sie sich an den Support 1 und 3 Gr n leuchtend o
85. werden soll oder aber f r den gesamten Datenverkehr gilt Bei Auswahl von TCP oder UDP Protokoll Tcp e Lokaler Port Mall all f r alle Ports eine Nummer zwischen 1 und 65535 oder any um den Vorschlag dem Client zu berlassen Remote Port all f r alle Ports oder eine Nummer zwischen 1 und 65535 Lokaler Port Mit all Standard wird festgelegt dass alle Ports benutzt werden k nnen Soll ein bestimmer Port verwendet werden geben Sie dessen Nummer an Mit any legen Sie fest dass die Auswahl des Ports dem Client berlassen ist Remote Port Mit all Standard wird festgelegt dass alle Ports benutzt werden k nnen Soll ein bestimmer Port verwendet werden geben Sie dessen Nummer an Einstellung f r Tunneleinstellung IPsec L2TP Wenn sich Clients per IPsec L2TP ber den mGuard verbinden sollen dann ak tivieren Sie den L2TP Server und machen in den nachfolgend aufgelisteten Feld ern die jeweils dahinter stehenden Angaben Typ Transport Protokoll UDP Lokaler Port all Remote Port all 221 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Authentifizierung Authentisierung Authentisierungsverfahren X 509 Zertifikat Lokales X 509 Zertifikat Remote CA Zertifikat Alle bekannten CAs Gegenstellenzertifikat VPN Identifier Lokal 1 Authentisierung Authentisierungsverfahren Es gibt 2 M glichkeiten X 509 Zertifikat Standard Pre Shar
86. wie folgt vor Neues CA Zertifikat importieren Voraussetzung Die Datei Dateinamen Erweiterung cer pem oder crt ist auf dem ange schlossenen Rechner gespeichert Gehen Sie wie folgt vor 1 Durchsuchen klicken um die Datei zu selektieren 2 Importieren klicken Nach dem Import ist unter Zertifikat das geladene Zertifikat zu sehen Bitte ver gessen Sie nicht das importierte Zertifikat samt der anderen Eingaben durch ei nen Klick auf die Schaltfl che Ubernehmen abzuspeichern Kurzname Beim Importieren eines CA Zertifikats wird das CN Attribut aus dem Sub ject Feld des Zertifikats hier als Kurzname vorgeschlagen sofern das Feld Kurzname bis jetzt leer ist Dieser Name kann bernommen oder frei ge ndert werden Sie m ssen einen Namen vergeben den vorgeschlagenen oder einen anderen Und Namen m ssen eindeutig sein d rfen also nicht doppelt vergeben wer den 171 von 283 Konfiguration Menti Authentifizierung Gegenstellen zertifikate 172 von 283 Verwendung des Kurznamens Bei der Konfiguration von SSH Men Verwaltung Systemeinstellungen Shell Zugang von HTTPS Men Verwaltung Web Einstellungen Zugriff und von VPN Verbindungen Men Psec VPN Verbindungen werden die in den mGuard importierten Zertifikate per Auswahlliste angebo ten In dieser werden die Zertifikate jeweils unter dem Kurznamen angezeigt den Sie hier auf dieser Seite den einzelnen Zertifikaten ge
87. 000cbe01010a ja actsACCEPT IN eth0 OUT 0a act ACCEPT IN eth0 OUT IN ethO OUT t ACCEPT IN eth0 OUT kopieren nas Ss p I Pa Allgemein V Netzwerksicherheit IV IPsec VPN Aktualisere Logs Ee op Diese Passage tiber die Zwischenablage ins Feld Gehe zur Firewallregel kopieren Auf die Schaltflache Suchen klicken Folge Es wird die Konfigurationsseite mit der Firewall Regel angezeigt auf die sich der Log Eintrag bezieht Auf dem Bladekontroller werden neben Fehlermeldungen die folgenden Mel dungen ausgegeben Die mit lt und gt umklammerten Bereiche sind in den Log Eintr gen durch die 257 von 283 Konfiguration Menti Logging jeweiligen Daten ersetzt Allgemeine Meldungen blade daemon lt version gt starting Blade lt bladenr gt online Blade lt bladenr gt is mute Blade lt bladenr gt not running Reading timestamp from blade lt bladenr gt Beim Aktivieren eines Konfigurationsprofils auf einem Blade Push configuration to blade lt bladenr gt reconfiguration of blade lt bladenr gt returned lt returncode gt blade lt bladenr gt lt text gt Beim Holen eines Konfigurationsprofils vom Blade Pull configuration from blade lt bladenr gt Pull configuration from blade lt bladenr gt returned lt returncode gt Anti Virus Das Virus Log enth lt folgende Meldungen des Virenfilters e Gefundene Viren mit Angabe von Details Name des Virus Name de
88. 1 Biladekontrolle bersicht Bladekontrolle bersicht bersicht Stromversorgung Pill Stromversorgung P2 H Blade Ger t status wan Lan Seriennummer Version ejr 01 blade XL E GEER en 27500134 4 0 0 pre18 defa blade 27500040 4 0 0 prei6 beta blade XL 27500140 4 0 0 prei8 defa blade 27500038 3 1 0 sophia blade 27500085 3 1 0 sophia blade 27500077 3 1 0 pre05 blade 27500072 4 0 0 prei3 defa blade XL 27500139 4 0 0 preiS beta Unknown blade 27500054 4 0 0 pre07 defa blade 27500003 3 1 1 pre0S defa Unknown B Automatische Konfigurationssicherung ist aktiviert deaktiviert R Automatische Neukonfigurierung nach Bladeaustausch ist aktiviert deaktiviert Rack ID Die ID des Racks in dem sich der mGuard befindet Auf dem Kontroller kann dieser Wert f r alle blades konfiguriert werden Stromversorgung P1 P2 Status der Netzteile Pl und P2 es OK e Gezogen e Defekt e Fataler Fehler Blade Nummer des Slots in welchem das mGuard blade steckt Ger t Name des Ger ts z B blade oder blade XL Status Funktioniert Das Ger t in dem Slot ist funktionsbereit Gesteckt Das Ger t ist vorhanden aber noch nicht bereit z B weil es ge rade beim Starten ist Gezogen In dem Slot wurde kein Ger t entdeckt WAN Status des WAN Ports LAN Status des LAN Ports Seriennummer Seriennummer des mGuards Version Softwareversion des mGuards 106 von 283 Konfiguration Menti Bladekontr
89. 1500 V Potentialdifferenz zwischen 36 VDC Eingangsspannung und Gehause Leistungsaufnahme maximal 4 W bei 24 VDC Uberstromschutz am nicht wechselbare Schmelzsicherung Eingang Abmessungen 45 mm x 100 mm x 111 mm Bx H x T Masse 250 g Umgebungstemperatur Umgebende Luft 0 C bis 55 C Relative Luftfeuchtigkeit 10 bis 95 nicht kondensierend Verschmutzungsgrad 2 280 von 283 Technische Daten EMV St rfestigkeit Entladung statischer Elektrizit t Kontaktentladung EN 61000 4 2 Luftentladung EN 61000 4 2 Elektromagnetische Felder EN 61000 4 3 Schnelle Transienten EN 61000 4 4 Sto spannungen symmetrisch EN 61000 4 5 Sto spannungen unsymmetrisch EN 61000 4 5 Leitungsgebundene HF St rungen EN 61000 4 6 Alle Angaben jeweils ermittelt mit den Pr fsch rfegraden die gem EN 61131 2 2003 f r Speicherprogrammierbare Steuerungen f r den Einsatz in industriellen Umgebungen der Zone B erforderlich sind EMV St raussendung EN 55022 2006 Class A CFR 47 FCC Part 15 2005 4 Class A Festigkeit Schwingungspr fung sinusf rmig nach EN 61131 2 2003 und DIN EN 60068 2 6 1996 Pr fparameter gem Punkt 4 2 1 Schwingungen und Punkt 6 2 1 Schwingungspr fungen zu den normalen Betriebsbedin gungen der EN 61131 2 2003 Schockpr fung nach EN 61131 2 2003 und DIN EN 60068 2 27 1996 Pr fparameter gem Punkt 4 2 2 Schocken und Punkt 6 2 2 Schocks Typ
90. 4 95 f6 f9 34 9f f8 43 Exponent 65537 0x10001 X509v3 extensions X509v3 Subject Alternative Name email xyz anywhere com Netscape Comment mod_ssl generated test server certificate Netscape Cert Type SSL Server Signature Algorithm md5WithRSAEncryption 12 ed f7 b3 5e a0 93 3f a0 1d 60 cb 47 19 7d 15 59 9b 3b 2c a8 a3 6a 03 43 d0 85 d3 86 86 2f e3 aa 79 39 e7 82 20 ed f4 11 85 a3 41 5e 5c 8d 36 a2 7 1 b6 6a 08 f9 cc 1e da c4 78 05 75 8f 9b 10 f0 15 f0 9e 67 a0 4e a1 4d 3f 16 4c 9b 19 56 6a f2 af 89 54 52 4a 06 34 42 0d d5 40 25 6b b0 c0 a2 03 18 cd d1 07 20 b6 e5 c5 1e 21 44 e7 c5 09 d2 d5 94 9d 6c 13 07 2f 3b 7c 4c 64 90 bf ff 8e Der Subject Distinguished Name kurz Subject identifiziert den Zertifikatsinha ber eindeutig Der Eintrag besteht aus mehreren Komponenten Diese werden At tribute genannt siehe das Beispiel Zertifikat oben Die folgende Tabelle listet die m glichen Attribute auf In welcher Reihenfolge die Attribute in einem X 509 Zertifikat aufgef hrt sind ist unterschiedlich Abk rzung Name Erl uterung CN Common Name Identifiziert die Person oder das Objekt zu der dem das Zertifikat geh rt Beipeil CN serverl 275 von 283 Glossar NAT Network Address Translation Port Nummer 276 von 283 Abk rzung Name Erl uterung E E Mail Adresse Gibt die E Mail Adresse des Zer tifikatsinhabers an OU Organizational Unit Gibt die Abteilung innerhalb einer Organis
91. 77 gestiegenen Rechenleistung der Computer als nicht mehr sicher gilt 3DES ist eine Variante von DES Es arbeitet mit drei mal gr eren Schl sseln die also 168 Bit lang sind Sie gilt heute noch als sicher und ist unter anderem auch Teil des IPsec Standards Das NIST National Institute of Standards and Technology entwickelt in Zusammenarbeit mit Industrie Unternehmen seit Jahren den AES Verschl sse lungsstandard Diese symmetrische Verschl sselung soll den bisherigen DES Standard abl sen Der AES Standard spezifiziert drei verschiedene Schl ssel gr en mit 128 192 und 256 Bit 1997 hatte die NIST die Initiative zu AES gestartet und ihre Bedingungen f r den Algorithmus bekannt gegeben Von den vorgeschlagenen Verschl sse lungsalgorithmen hat die NIST f nf Algorithmen in die engere Wahl gezogen und zwar die Algorithmen MARS RC6 Rijndael Serpent und Twofish Im Oktober 2000 hat man sich f r Rijndael als Verschl sselungsalgorithmus ent schieden Wie vertrauensw rdig ist ein CA Zertifikat und die CA Certificate Authority die es ausgestellt hat gt X 509 Zertifikat Ein CA Zertifikat kann herangezo gen werden um ein Zertifikat zu berpr fen das die Signatur dieser CA tr gt Diese Pr fung macht nur dann Sinn wenn davon auszugehen ist dass das CA Zertifikat aus authentischer Quelle stammt also selber echt ist Wenn dar ber Zweifel bestehen kann das CA Zertifikat selber berpr ft werden Wenn es sich um ein
92. 8 Men Netzwerk EE 109 6 4 1 Netzwerk Interfaces _ uuennesennsenenessneesnennsennnennnnnnnennnnnnennnenseennnnnn nn esnnsn nn 109 Eller eege E Ee EE 110 Netzwerk Modus Stealth ccccccccecssessecesecesceeeeeeseeseecseseecseeceseeessececseesaeeens 120 Netzwerk Modus Router 123 Netzwerk Modus PPPOE c ccccccssesssesseceseceeeeeeeeesecseecaaenseeseeeeseecseecseseseenaeeags 125 Netzwerk Modus PPTPusaseenae are see a a 126 Netzwerk Modus Modem Eingebautes Modem s nsnonsssnsssosresesseeseesessee1ee 127 Netzwerk Modus Router PPPoE PPTP oder Modem Eingebautes Modem 128 Etherneti egener eee DRS ee ie ner paper einer 129 A sgehender Ruf ses ra deed deed tes 131 Eingehender Ruf 34 8 2 272222 RER EIER IR Eh 136 Modem K Ons le ist ssscicctstchvecd ust a a a a Rennens 139 64 2 Netzwerk NAT ns REES Demut 145 Masoueradung 145 Portwe terleitung 2 2 2222 22ER alee Heal ee eR ee aa 147 6 4 3 Netzwerk DNS u a EEN Meet dene 149 DNS SEVER EE 149 DynDNS EE 152 644 Netzwerk gt DECH un ee nk een Gier 153 Internes Externes DH CPs 4230545288 rk is eeirakken en 153 6 4 5 Netzwerk Proxy Einstellungen uuusessennsenseeennnenneennnneenne nn nen nn 157 HTTP S Proxy Einstellungen sesseseessesseseessesseseossesersrosssseesronesseosessesseosessessee 157 Men Authentifizierung osien a e aa e i a eE 158 6 5 1 Authentifizierung Lokale Benutzer essen 158 P ssworte EE 158
93. Angaben bzw Einstellungen machen Netzwerk DHCP Internes DHCP Modus DHCP Modus Deaktiviert DHCP Modus Deaktiviert Server Relay Setzen Sie diesen Schalter auf Server wenn der mGuard als eigenstandiger DHCP Server arbeiten soll Dann werden unten auf der Registerkarte entspre chende Einstellm glichkeiten eingeblendet siehe DHCP Modus Server auf Seite 154 Setzen Sie ihn auf Relay wenn der mGuard DHCP Anfragen an einen ande ren DHCP Server weiterleiten soll Dann werden unten auf der Registerkarte entsprechende Einstellm glichkeiten eingeblendet siehe DHCP Modus Relay auf Seite 155 DO Im Stealth Modus des mGuard wird der DHCP Modus Relay nicht unter st tzt Wird der mGuard im Stealth Modus betrieben und ist der DHCP Mo dus Relay ausgew hlt wird diese Einstellung ignoriert Aufgrund der Natur des Stealth Modus werden DHCP Anfragen des Rechners und die entspre chenden Antworten jedoch durchgeleitet Steht der Schalter auf Deaktiviert beantwortet der mGuard keine DHCP An fragen 153 von 283 Konfiguration Menti Netzwerk 154 von 283 DHCP Modus Server Netzwerk DHCP Internes DHCP Modus DHCP Modus DHCP Server Optionen Dynamischen IP Adresspool aktivieren DHCP Lease Dauer DHCP Bereichsanfang DHCP Bereichsende Lokale Netzmaske Broadcast Adresse Default Gateway DNS Server WINS Server Statische Zuordnung 14400 192 168 1 100 192 168
94. Beispiel CN VPN Endpunkt 01 O Beispiel GmbH C DE Sollen bestimmte Attribute des Subjects ganz bestimmte Werte haben damit der mGuard die VPN Gegenstelle akzeptiert muss dies entsprechend spezifi 225 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller 226 von 283 ziert werden Die Werte der anderen Attribute die beliebig sein k nnen wer den dann durch das Wildcard Sternchen angegeben Beispiel CN O Beispiel GmbH C DE mit oder ohne Leerzeichen zwischen Attributen Bei diesem Beispiel m sste im vorgezeigten Zertifikat im Subject das Attri but O Beispiel GmbH und das Attribut C DE stehen Nur dann w rde der mGuard den Zertifikatsinhaber Subject als Kommunikationspartner akzeptieren Die anderen Attribute k nnten in den zu filternden Zertifikaten beliebige Werte haben LB Wird ein Subject Filter gesetzt muss die Anzahl und auch die Reihen folge der angegebenen Attribute mit der bereinstimmen wie sie in den Zertifikaten gegeben ist auf die der Filter angewendet werden soll Auf Gro und Kleinschreibung ist zu achten gt Bei Authentisierungsverfahren Pre Shared Secret PSK IPsec VPN Verbindungen Athen Authentisierung Authentisierungsverfahren Pre Shared Secret PSK Pre Shared Secret Key PSK Fomplcated_ike SDy0qo0_end_iong SS VPN Identifier Gegenstelle Lokal Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen unter st tzt Dabei a
95. D Ei Sofern Sie f r einen vom mGuard unterst tzten DynDNS Service registriert sind k nnen Sie in diesem Dialogfeld die entsprechenden Angaben machen Diesen mGuard bei einem DynDNS Server anmelden Ja Nein W hlen Sie Ja wenn Sie beim DynDNS Anbieter entsprechend registriert sind und der mGuard den Service benutzen soll Dann meldet der mGuard die aktuelle IP Adresse die gerade dem eigenen Internet Anschluss vom Internet Service Provider zugewiesen ist an den DynDNS Service Meldeintervall Sekunden Standard 420 Sekunden Immer wenn sich die IP Adresse des eigenen Internet Anschlusses ndert in formiert der mGuard den DynDNS Service ber die neue IP Adresse Aus Zu verl ssigkeitsgr nden erfolgt diese Meldung zus tzlich in dem hier festgelegten Zeitintervall Bei einigen DynDNS Anbietern wie z B DynDNS org hat diese Einstellung keine Wirkung da dort ein zu h ufiges Melden zur L schung des Accounts f hren kann DynDNS Anbieter Die zur Auswahl gestellten Anbieter unterst tzen das Protokoll das auch der mGuard unterst tzt W hlen Sie den Namen des Anbieters aus bei dem Sie registriert sind z B DynDNS org TinyDynDNS DNS4BIZ DynDNS Server Name des Servers des oben ausgew hlten DynDNS Anbieters DynDNS Login DynDNS Passwort Geben Sie hier den Benutzernamen und das Passwort ein das Ihnen vom DynDNS Anbieter zugeteilt worden ist DynDNS Hostname Der f r diesen mGuard gew hlt
96. DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server OK Abbrechen Aktivieren Sie zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 Subnetzmaske 255 255 255 0 Standardgateway 192 168 1 1 DO Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 50 von 283 Konfiguration vorbereiten 5 2 3 mGuard PCI Installieren der PCI Karte Installieren der Treiber Konfiguration der Netzwerkschnitt stelle Standardgateway Wenn Sie die PCI Karte noch nicht in ihrem Computer installiert haben folgen Sie bitte zun chst den unter Einbau der Hardware auf Seite 40 beschriebenen Schritten Wenn Sie den mGuard f r den Treibermodus konfiguriert haben stellen Sie bit te sicher dass die Treiber wie unter Treiberinstallation auf Seite 41 beschrie ben installiert sind Wenn Sie den mGuard e im Treibermodus betreiben und die LAN Schnittstelle Netzwerkschnitt stelle des Computers noch nicht konfiguriert wurde ODER e im Power over PCI Modus betreiben und die Netzwerkschnittstelle des Computers der am LAN Interface des mGuards angeschlossenen ist noch nicht konfiguriert wurde dann m ssen Sie diese Netzwerkschnittstelle konfigurieren bevor Sie den mGuard konfigurieren k nnen Un
97. Die Ger te an den Tunnelenden sorgen f r die Ver bzw Entschl sselung der Datagramme auf der Tunnelstrek ke d h auf dem bertragungsweg ber ein ffentliches Netz bleiben die eigent lichen Datagramme vollst ndig gesch tzt In einem Zertifikat werden von einer Zertifizierungsstelle CA Certificate Au thority die Zugeh rigkeit des Zertifikats zu seinem Inhaber best tigt Das ge schieht indem bestimmte Eigenschaften des Inhabers best tigt werden ferner dass der Inhaber des Zertifikats den privaten Schl ssel besitzt der zum 6ffentli chen Schl ssel im Zertifikat passt gt X 509 Zertifikat Beispiel Certificate Data Version 3 0x2 Serial Number 1 0x1 Signature Algorithm md5WithRSAEncryption Issuer C XY ST Austria L Graz O TrustMe Ltd OU Certificate Authority CN CA Email ca trustme dom Validity Not Before Oct 29 17 39 10 2000 GMT gt Subject CN anywhere com E doctrans de C DE ST Hamburg L Hamburg O Innominate OU Security Subject Public Key Info Public Key Algorithm rsaEncryption RSA Public Key 1024 bit Modulus 1024 bit 00 c4 40 4c 6e 14 1b 61 36 84 24 b2 61 c0 b5 d7 e4 7a a5 4b 94 ef d9 5e 43 7f c1 64 80 fd 9f 50 41 6b 70 73 80 48 90 f3 58 bf f0 4c b9 90 32 81 59 18 16 3f 19 f4 5f 11 68 36 85 f6 1c a9 af fa a9 a8 7b 44 85 79 b5 f1 20 d3 25 7d 1c de 68 15 0c b6 bc 59 46 0a d8 99 4e 07 50 0a 5d 83 61 d4 db c9 7d c3 2e eb 0a 8F 62 8f 7 00 1 37 67 3f 36 d5 04 38 44 44 77 e9 f0 b
98. Ger t erst neu gestartet werden um sie nutzen zu k nnen Virtuelle IP nur Stealth Modus Virtuelles lokales Netz IPsec Tunnel EEE eem wee Seet Client s virtuelle _ IP C mGuard e ki AA a d Clients VPN Gateway Netz re Int t wirkliche IP ne gegen ber gegen ber ZN lt Im Stealth Modus wird das lokale Netz des VPNs durch den mGuard simu liert Innerhalb dieses virtuellen Netzes ist der Client unter der hier einzutra genden virtuellen IP Adresse bekannt und ansprechbar 218 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller Allgemein gt Weitere Einstellungen nach Klicken auf Mehr Optionen NAT e Verbindungstyp Tunnel IPsec VPN Verbindungen Tunnel Settings Optionen Aktiv Kommentar Tunnel Typ Lokal 192 168 1 1 32 Remote 192 168 254 1 32 NAT NAT f r IPsec Tunnel Verbindungen Aktiviere 1 zu 1 NAT des lokalen Netzwerkes in ein internes Netz Interne Netzwerkaddresse f r lokales 1 zu 1 NAT 192 168 2 1 Aktiviere 1 zu 1 NAT des gegen berliegenden Netzwerks in ein anderes Netz Netzwerkaddresse f r gegen berliegendes 1 zu 1 NAT 192 168 2 1 Protokoll Protokoll Lasel Aktiv Ja Nein Wie oben Kommentar Frei einzugebender kommentierender Text Kann leer bleiben Typ Tunnel Transport Wie oben Bei Wechsel auf Transport werden die nachfolgenden Felder bis auf Protokoll ausgeblendet weil diese Para
99. IP Protokolle 227 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 228 von 283 Von IP Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Rou ting auf Seite 263 Eingehend Von IP die IP Adresse im VPN Tunnel Nach IP die 1 zu 1 NAT Adresse bzw die reale Adresse Ausgehend Von IP die 1 zu 1 NAT Adresse bzw die reale Adresse Nach IP die IP Adresse im VPN Tunnel Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir 110 Aktion Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zurtickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja set
100. IPsec zum Einsatz Ger te die miteinander kommunizieren m ssen dieselben Regeln dazu verwen den Sie m ssen dieselbe Sprache sprechen Solche Regeln und Standards be zeichnet man als Protokoll bzw bertragungsprotokoll Oft benutze Protokolle sind z B IP TCP PPP HTTP oder SMTP Anbieter Firma Institution die Nutzern den Zugang zum Internet oder zu einem Online Dienst verschafft In der Internet Terminologie bedeutet Spoofing die Angabe einer falschen Adresse Durch die falsche Internet Adresse t uscht jemand vor ein autorisierter Benutzer zu sein Unter Anti Spoofing versteht man Mechanismen die Spoofing entdecken oder verhindern Bei der symmetrischen Verschl sselung werden Daten mit dem gleichen Schl s sel ver und entschl sselt Beispiele f r symmetrische Verschl sselungsalgorith men sind DES und AES Sie sind schnell jedoch bei steigender Nutzerzahlnur aufwendig administrierbar Netzwerkprotokolle die f r die Verbindung zweier Rechner im Internet verwen det werden IP ist das Basisprotokoll UDP baut auf IP auf und verschickt einzelne Pakete Diese k nnen beim Emp f nger in einer anderen Reihenfolge als der abgeschickten ankommen oder sie k nnen sogar verloren gehen TCP dient zur Sicherung der Verbindung und sorgt beispielsweise daf r dass die Datenpakete in der richtigen Reihenfolge an die Anwendung weitergegeben wer den UDP und TCP bringen zus tzlich zu den IP Adressen Port Nummern z
101. Innominate mGuard Benutzerhandbuch Software Release 6 1 0 Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Tel 49 0 30 6392 3300 contact innominate de www innominate de Copyright 2008 Innominate Security Technologies AG September 2008 Innominate und mGuard sind registrierte Handelsnamen der Innominate Security Technologies AG Die mGuard Technologie ist durch die Patente 10138865 und 10305413 erteilt durch Deutsches Patent und Markenamt gesch tzt Weitere Patente sind angemeldet Weder das Gesamtdokument noch Teile davon d rfen ohne schriftliche Genehmigung bertragen oder kopiert werden Die Innominate Security Technologies AG beh lt sich das Recht vor jederzeit und ohne Benachrichtigung dieses Dokument zu ver ndern Die Innominate Security Technologies AG bernimmt ferner keine Haftung f r Fehler im vorliegenden Dokument sowie f r zuf llige oder Folgesch den im Zusammenhang mit der Lieferung Leistung oder Verwendung dieser Unterlagen Ohne die vorherige schriftliche Zustimmung der Innominate Security Technologies AG darf dieses Handbuch weder teilweise noch vollst ndig fotokopiert vervielf ltigt oder in eine andere Sprache bersetzt werden Innominate Dokumentennummer UG206001108 014 Inhalt Inhalt 1 TE LTE 9 Netzwerk Featurese Ee Seege ee Ee 9 Fire Wall DE TEE 9 Antt Vumus Features 9 K ME E 10 Weitere FEaturesiees secs Hcocecb teen la
102. Kale 219 Authentifizierung eeh Seet ee B ikentnhuesnnndaeenuehhanse 222 Firewall en ar DS RnB late 227 IKE Optionen a senessen inegensiesairen EE EET E 229 6 9 4 IPsec VPN gt E2TP ber IPG naar a E E EE EE EE 232 NNEN 232 6 9 5 IPsec VPN IPsec Status snosi a A aE E i Ea 233 Mengt Stick era a E E a E a a 235 6 101 Elei CEET 235 JA Tea u DEE 235 6210 2 Verbindungen nr BR In Reen 238 SEC Stick Verbindungen ea nina Rn lan 238 Menu OU 240 6 11 1 Ingress Elter nn 240 Intern Externe rin Eeer 240 6 1 1 2 Egress QUEUES nina SH nina e 243 Intern Extern Extern 2 Einwahl uesseesensennnennensnnensennsnennenn een 243 611 3 Egress Queues VEN 2 22 22 22 EHRE O E E S 244 VPN via Intern VPN via Extern VPN via Extern 2 VPN via Einwahl 244 6 1 1 4 Egress Zuordn ngen ege EENS edel Ri En Bl 246 Inhalt Intern Extern Extern2 Einwahl uussesseessseenseensensensennnsnnennennne ernennen 246 6 11 5 Egress Zuordnungen VPN eiieeii r a a ii 247 VPN via Intern VPN via Extern VPN via Extern2 VPN via Einwahl 247 6 12 Men Redundanz 0 ccccccccsesssesssesecsecesceeeeseeeeseecseeesecsseceseceseessecaecseseeeeeeeteeeneeeeeegs 250 6 12 1 Firewall Redundanz cccccccsssssscesssecsssecessceccsescsesesnsesnsessaceeecensecssceaseessenasenes 250 Redundanz 322 028 Rn Rast A Rn dee 251 ICMP e 252 6 12 2 Ring Netzkopplung 0 0 ec cccecsseesccesecesceesecssecnscs
103. NMP Uberwachung ist erlaubt ber Intern VPN und Einwahl Zugriffe ber Extern und Extern 2 werden verwehrt Legen Sie die berwachungsm glichkeiten nach Bedarf fest Vorsicht Wenn Sie Zugriffe ber Intern VPN oder Einwahl verwehren wollen m ssen Sie das explizit durch entsprechende Firewallregeln bewirken in der Sie als Aktion z B Verwerfen festlegen Damit Sie sich nicht aussperren m ssen Sie eventuell gleichzeitig den Zugriff ber ein anderes Interface explizit mit An nehmen erlauben bevor Sie durch Klicken auf die bernehmen Schaltfl che die neue Einstellung in Kraft setzen Sonst muss bei Aussperrung die Revo very Prozedur durchgef hrt werden Aktion M glichkeiten e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zurtickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werkseitige Voreinst
104. Nein x proxy example com Proxy Authentifizierung Login Passwort Si E N F r folgende vom mGuard selbst ausgef hrte Aktivit ten kann hier ein Proxy Server angegeben werden e CRL Download e Firmware Update e regelm iges Holen des Konfigurationsprofils von zentraler Stelle e Wiederherstellung von Lizenzen HTTP S Proxy Einstellungen Proxy f r HTTP und HTTPS benutzen Ja Nein Bei Ja gehen Verbindungen bei denen das Protokoll HTTP oder HTTPS ver wendet wird ber einen Proxy Server dessen Adresse und Port in den n chs ten beiden Feldern festzulegen ist HTTP S Proxy Server Hostname oder IP Adresse des Proxy Servers Port Nummer des zu verwendenden Ports z B 3128 Proxy Authentifizierung Login Benutzername zur Anmeldung beim Proxy Server Passwort Passwort zur Anmeldung beim Proxy Server 157 von 283 Konfiguration Menti Authentifizierung 6 5 Menu Authentifizierung 6 5 1 Authentifizierung Lokale Benutzer Passworte Unter okale Benutzer sind die Benutzer zu verstehen die je nach Berechtigungs stufe das Recht haben den mGuard zu konfigurieren Berechtigungsstufe Root und Administrator oder zu benutzen Berechtigungsstufe User Benutzerauthentifizierung Lokale Benutzer admin Administratorpasswort Account admin user Deaktiviere das VPN bis sich der Benutzer ber HTTP authentifiziert Benutzerpasswort Um sich auf der entsprechenden Stufe anzum
105. P Adresse s u der mGuards als Standardgateway konfiguriert werden Die folgenden Funktionen k nnen bei aktivierter Redundanz genutzt werden siehe Men Netzwerksicherheit nicht blade Kontroller e Eingehende ausgehende Firewall Regeln e NAT IP Masquerading d h ausgehender Netzwerkverkehr wird auf die externe virtuelle IP umgeschrieben 1 Extern 2 nur bei Ger ten mit serieller Schnittstelle Siehe Netzwerk Inter faces auf Seite 109 250 von 283 Konfiguration Menti Redundanz Redundanz Allgemein e 1 1 NAT e Port Weiterleitung f r Eingehend auf IP muss die externe virtuelle IP konfiguriert werden e MAC Filter Modus Virtual Router ID Routermodus Externe Virtual Router ID Stealth Modus Management IP des 2ten Ger tes Routermodus Externe IP des 2ten Ger tes Router Modus Interne Virtual Router ID Interne IP des 2ten Ger tes 192 168 1 1 Externe virtuelle IP 10 0 0 100 Interne virtuelle IP 192 168 1 100 Redundanz Status Zeigt den aktuellen Status an Aktiviere Redundanz Ja Nein Redundanz aktivieren deaktivieren Redundanz Start Status Status des mGuards bei Aktivierung der Redundanz Master oder Backup Priorit t Entscheidet welcher mGuard als Master fungiert Sind die Priori ten unterschiedlich gesetzt so arbeitet der mGuard mit der h heren Priorit t als Master solange er nicht ausf llt Haben beide mGuards die gleiche Priorit t und wird im Fehlerf
106. PS Server abfragt Server Zertifikat Das Zertifikat mit dem der mGuard pr ft dass das vom Konfigurations Ser ver vorgezeigte Zertifikat echt ist Es verhindert dass von einem nicht au torisierten Server falsche Konfigurationen auf dem mGuard installiert werden Hier darf entweder ein selbst signiertes Zertifikat des Konfigurations Servers angegeben wer den also das Gegenstellenzertifikat des selbst signierten Maschinenzertifi kats des Konfigurations Servers ODER das Wurzelzertifikat der CA Certification Authority welche das Zertifikat des Servers ausgestellt hat Das gilt dann wenn es sich beim Zertifikat des Konfigurations Servers um ein von einer CA signiertes Zertifikat handelt statt um ein selbst signiertes Wenn die hinterlegten Konfigurationsprofile auch den privaten VPN Schl ssel f r die VPN Verbindung oder VPN Verbindungen mit PSK Konfiguration Menti Verwaltung enthalten sollten folgende Bedingungen erf llt sein e Das Passwort sollte aus mindestens 30 zuf lligen Gro und Klein buchstaben sowie Ziffern bestehen um unerlaubten Zugriff zu ver hindern e Der HTTPS Server sollte ber den angegebenen Login nebst Pass wort nur Zugriff auf die Konfiguration dieses einen mGuard erm gli chen Ansonsten k nnten sich die Benutzer anderer mGuards Zugriff verschaffen Die unter Server angegebene IP Adresse bzw der Hostname muss im Server Zertifikat als Common Name CN angegeben sein
107. Pr fung per Rollback wieder au er Kraft Wird dieses Auswahlkriterium nicht erf llt weil immer noch das selbe Kon figurationsprofil angeboten wird bleibt f r die weiteren zyklischen Abfra gen dieses Auswahlkriterium so lange in Kraft wie in diesem Feld Anzahl der Zyklen festgelegt ist Ist die hier festgelegte Anzahl von Zyklen abge laufen ohne dass das auf dem Konfigurations Server angebotene Konfigura tionsprofil ver ndert wurde setzt der mGuard das unver nderte neue fehlerhafte Konfigurationsprofil ein weiteres Mal in Kraft obwohl es sich als fehlerhaft erwiesen hatte Das geschieht um auszuschlie en dass das Misslingen der Pr fung durch u ere Faktoren z B Netzwerkausfall be dingt war Der mGuard versucht dann erneut auf Grundlage der erneut ein gesetzten neuen Konfiguration die Verbindung zum Konfigurations Server herzustellen und erneut das neue jetzt in Kraft gesetzte Konfigurationsprofil herunterzuladen Wenn das misslingt erfolgt wieder ein Rollback und f r die weiteren Zyklen zum Laden einer neuen Konfiguration wird erneut das Aus wahlkriterium in Kraft gesetzt so oft wie in diesem Feld Anzahl der Zy klen festgelegt ist 103 von 283 Konfiguration Menti Verwaltung 104 von 283 Wird im Feld Anzahl der Zyklen als Wert 0 Null festgelegt hat das zur Folge dass das Auswahlkriterium das angebotene Konfigurationsprofil wird ignoriert wenn es unver ndert geblieben ist niemal
108. Protection 2 u2 2 2 22 ees E aa e ee 188 6 6 3 Netzwerksicherheit oa Benutzerfirewall cccccccecsseeseceseceeeeeseeeseceteceeeseeseneenaes 190 Benutzerbrewall Template 190 Benutzerfirewall Template editeren ccc cccceeccesseeseeesseeteceeceeeeeeeeeseesaeenaeens 190 Allgemein 2 Pa ee ae daced EE A E tees 191 Template Benutzer es i5350ctoisaceleaea ded siedscdovaadudeough daens ish a 192 Firewall Regeln nase neh detresse 193 Men Web Sicherheit nicht blade Kontroller c ccc ecccecseesseesteeeeceeeeeseeeeeeeeneeneeees 194 DCH Web Sicherhet HTTP n ceccis ceccivedecetvedacei ted estate ann 194 Ate EE 194 6 72 Web Sicherheit y FUR eit e e th scent seats E ee anoe sans 197 Kat EE 197 Men E Mail Sicherheit nicht blade Kontroller ueeseeensennennenneeenneennnnen 200 6 8 1 E Mail Sicherheit oa POP 200 KA E EE 200 6 8 2 E Mail Sicherheit SMTP oo cececccesssessecsteceeeeeeceeeeesaecsaenseeneeceseecseecseeneeeeeeaes 203 Virensch tz anze en eeh et 203 Men IPsec VPN nicht blade Kontroller 0 cccccccecsccesseecceseeesecseeeeceeeeeeeeeseeeeeeeenaeenes 206 GH IPsec VPN Global a denn air Res 206 Optionen Ravel elie eho oh bel cel Seles tee oad eta ea rates 206 RE TEE 211 6 9 2 IPsec VPN Verbindungen nn 212 Verbind ngen so ches cds EE E A E A ATE SSE 212 6 9 3 WPN Verbindung VPN Verbindungskan le definieren ee 214 Allgemein EE oss esa EE bebe a End EE eg 214
109. S IP pool starting address r TFTP Security TFTP configuration na 192 168 10 200 Size of pool IEN None S S Standard Timeout seconds 3 Boot File 5 an jar Max Retransmit 5 WINS DNS Server 0 0 0 0 SR High Titp port e Default router 0 0 00 ME C Read Only Mask 255 255 255 0 Domain Name r Advanced TFTP Options IV Option negotiation T Hide Window at startup About Hei VW Show Progress bar I Create dir txt files I Translate Unix file names IT Beep for long tranfer JV Use Tftpd32 only on this interface I Use anticipation window of Bytes T Allow NV As virtual root Default Help Cancel 269 von 283 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware Unter Linux 270 von 283 Alle aktuellen Linux Distributionen enthalten DHCP und TFTP Server Instal lieren Sie die entsprechenden Pakete gem der Anleitung der jeweiligen Distri bution Konfigurieren Sie den DHCP Server indem Sie in der Datei ete dhepd conf folgende Einstellungen vornehmen subnet 192 168 134 0 netmask 255 255 255 0 range 192 168 134 100 192 168 134 119 option routers 192 168 134 1 option subnet mask 255 255 255 0 option broadcast address 192 168 134 255 Diese Beispiel Konfiguration stellt 20 IP Adressen 100 bis 119 bereit Es wird angenommen dass der DHCP Server die Adresse 192 168 134 1 hat Ein stellungen f r ISC DHCP 2 0 Der ben tigte TFTP Server wird in folgender Datei k
110. SDN Terminaladapter verf gt optional Nur mGuard industrial RS mGuard blade Bei allen oben aufgef hrten Ger ten wird im Netzwerk Modus Modem bzw Ein EAGLE mGuard gebautes Modem der Datenverkehr statt ber den WAN Port des mGuard ber mGuard delta die serielle Schnittstelle geleitet und von dort A entweder ber die von au en zug ngliche serielle Schnittstelle Serial Port an die ein externes Modem angeschlossen werden muss ODER B ber das eingebaute Modem den eingebauten ISDN Terminaladapter beim mGuard industrial RS wenn dieser entsprechend ausgestattet ist Sowohl bei M glichkeit A als auch bei B wird per Modem bzw ISDN Ter minaladapter ber das Telefonnetz die Verbindung zum Internet Service Pro vider und damit ins Internet hergestellt Im Netzwerkmodus Modem steht die serielle Schnittstelle des mGuard nicht f r f r die ppp Einwahloption und nicht f r Konfigurationszwecke zur Verf gung siehe Modem Konsole auf Seite 139 Netzwerk Interfaces Netzwerk Status Externe IP Adresse Status des Netzwerkmodus Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Interne Netzwerke een IP Netzmaske v Gesi er Zus tzliche interne Routen Nach Auswahl des Netzwerkmodus Modem geben Sie auf der Registerkarte Ausgehender Ruf und oder Eingehender Ruf die f r die Modemverbindung er forderlichen Parameter an Siehe Ausgehender Ruf auf Seite 131 un
111. Server e Statusanzeige mGuard industrial RS die State LED leuchtet kontinuierlich smart Die mittlere LED Heartbeart leuchtet kontinuierlich blade PCI blinken die gr nen LEDs und die rote LAN LED gleich zeitig durchgehend EAGLE mGuard die LEDs 1 2 und V 24 sind aus die LEDs pl p2 und Status leuchten kontinuierlich gr n delta die Status LED leuchtet kontinuierlich Die neue Software wird entpackt und konfiguriert Das dauert ca 20 Minuten Sobald die Prozedur beendet ist geschieht Folgendes mGuard industrial RS Die LEDs Modem State und LAN blinken gleichzeitig griin smart Alle 3 LEDs blinken gleichzeitig griin blade PCI PCI Der mGuard startet neu blade Die LEDs WAN gr n LAN gr n und WAN rot blinken gleichzeitig EAGLE mGuard Die LEDs 1 2 und V 24 blinken gleichzeitig griin delta Die Status LED blinkt einmal pro Sekunde 3 Starten Sie den mGuard neu Dies ist beim mGuard blade und PCI nicht erforderlich Dr cken Sie dazu kurz die Rescue Taste ODER Unterbrechen Sie seine Stromversorgung und schlie en Sie ihn dann wieder an smart per USB Kabel das ausschlie lich zur Stromversorgung dient Folge Der mGuard befindet sich im Auslieferungs Zustand Konfigurieren Sie ihn neu siehe Lokale Konfigurationsverbindung herstellen auf Seite 53 Zum Flashen der Firmware muss auf dem lokal angeschlossenen Rechner ein DHCP und TFTP Server installiert sein DHCP
112. Statische Routen Die folgenden Einstellungen betreffen die vom mGuard erzeugten Netzwerkpakete Route folgende Netzwerke ber alternative Gateways A X Netzwerk Gateway i 192 168 101 0 24 10 1 0 253 Netzwerk Das Netzwerk in CIDR Schreibweise angeben siehe CIDR Classless In ter Domain Routing auf Seite 263 Gateway Das Gateway tiber welches dieses Netzwerk erreicht werden kann Die hier festgelegten Routen gelten f r Datenpakete die der mGuard selber erzeugt als unbedingte Routen Diese Festlegung hat Vorrang vor sonstigen Einstellungen Siehe auch Netzwerk Beispielskizze auf Seite 264 Statische Stealth Konfiguration IP Adresse des Clients Die IP Adresse des am LAN Port angeschlossenen Rechner MAC Adresse des Clients Das ist die physikalische Adresse der Netzwerkkarte des lokalen Rechners an dem der mGuard angeschlossen ist Die MAC Adresse ermitteln Sie wie folgt Auf der DOS Ebene Men Start Alle Programme Zubeh r Eingabe aufforderung folgenden Befehl eingeben ipconfig all Die Angabe der MAC Adresse ist nicht unbedingt erforderlich Denn der mGuard kann die MAC Adresse automatisch vom Client erfragen Hierf r muss die MAC Adresse 0 0 0 0 0 0 eingestellt werden Zu beachten ist dass der mGuard aber erst dann Netzwerkpakete zum Client hindurchleiten kann nachdem er die MAC Adresse vom Client ermitteln konnte Ist im statischen Stealth Modus weder eine Stealth Management IP Adresse noc
113. Status LED aus 3 Dr cken Sie anschlie end erneut die Resuce Taste langsam 6 mal 4 Bei Erfolg vollzieht das Ger t nach 2 Sekunden einen Neustart und schaltet sich dabei auf den Stealth Modus mGuard delta und blade Kontroller Router Modus Es ist dann wieder unter folgender Adresse zu erreichen https 1 1 1 1 mGuard delta und blade Kontroller https 192 168 1 1 7 3 Flashen der Firmware 266 von 283 Ziel Aktion Die gesamte Software des mGuard soll neu ins Ger t geladen wer den B Alle konfigurierten Einstellungen werden gel scht Der mGuard wird in den Auslieferungszustand versetzt Ab Version 5 0 0 des mGuard bleiben die im mGuard installier ten Lizenzen nach Flashen der Firmware erhalten Sie m ssen also nicht erneut eingespielt werden B gt Beim mGuard industrial RS ist nur die Firmware ab Version 5 1 0 installierbar M gliche Gr nde zum Flashen der Firmware e Das Administrator und Root Passwort sind verloren gegangen Gehen Sie wie folgt vor Sie d rfen w hrend der gesamten Flash Prozedur auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte anson sten besch digt werden und nur noch durch den Hersteller reaktiviert werden Voraussetzungen e Sie haben die Software des mGuard vom Innominate Support oder von der Web Site www innominate com bezogen und auf dem Konfigurations Rech ner gespeichert e Falls die Ihnen vorliegende Software Version h her ist als
114. TP Server 268 7 3 1 DHCP und TFTP Server unter Windows oder Linux installieren 269 Unter Windows 2 2 2 2 22 18 tas vette veces eet 269 Unter opgereegt eet eet reet 270 8 E 271 Asymmetrische Verschlesselung 271 BIS EE 271 PES REEL EOS ERTEILT PETE TER ERETETERE NE ebe 271 CAsZertifikat unse bannen aE A E ehren weni 271 Eent aere Ee EE EE 272 Data Starman eu ee Hanne de cascade viguadecegeedeGeovlsaeeuutbevs 272 Default E 272 Rod RK E 273 IS 273 IPSEC HR ae edd dee 274 Subject Zertifikat 2 222 282 Is SIEB nen 275 NAT Network Address Translapon 276 Port Nummer EH 276 EE ee een 277 PPPOE ics se cast ee nee ae EE EE 277 PRFP nennen iin as linie 277 Omer use Peet eae areata Eeer 277 d CC EE 277 X 209 Zertifikat dans a Kasten gran Tice Sierras 277 Protokoll bertragungsprotokoll u u une aaann na 278 7 von 283 Inhalt Service Provider nn na RD Nahe ee lee re 278 Spoofing Antispoofing esse ennee nennen 278 Symmetrische Verschl sselung ccccccccsccessceseeeseeeeeeeceseceseeeseessecsseceteneneeess 278 TCP IP Transmission Control Protocol Internet Protocolt 278 KAREN 279 VPN Virtuelles Privates Netzwerk cccccccscsccesscesseeseeescenseceseceeeeeneeeseeaeeteees 279 9 Technische Daten oursussonssonssonssonssnnssnnsnnnsnnnssnnsnnssnnnsnnnsnnnssnnsnnssnnssnnssonssnnssnnsnnnsnnnssnnssnnsnnnee 280 Allgemein eege rasen nr EE 280 mGuUard Be
115. TP Server zum HTTP Client dann wird eine Fehlermeldung an den HTTP Client gesendet Die Darstellung dieser Fehlermeldung h ngt vom je weiligen HTTP Client ab Ein Web Browser wird die Fehlermeldung in Form einer HTML Seite darstellen Ist eine innerhalb einer HTML Seite nachgela dene Datei z B eine Bilddatei infiziert so wird diese Datei im Browser nicht angezeigt Wird ein Dateidownload per HTTP mittels Download Mana ger vorgenommen so wird die Fehlermeldung im Download Manager ange zeigt Bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchlassmodus wenn die eingestellte Dateigr e berschritten wird In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der HTTP Server Geben Sie an von welchen Servern die Daten auf Viren gescannt werden sol len Durch Aktivierung bzw Deaktivierung der Anti Virus Funktion bei jedem einzelnen Eintrag bzw Server haben Sie z B die M glichkeit eine Ausnah meregel f r eine darauf folgende umfassende Regel zu setzen Dadurch ist die Angabe von trusted Servern m glich siehe unten abgebildetes Beispiel Beispiele Globale Aktivierung des Anti Virus Schutzes f r HTTP IS ser sererron kommentar scannen Scan eines Subnetzes Ausklammerung eines
116. U Montage Sicherheitshinweis Die serielle Schnittstelle RJ12 Buchse darf nicht direkt mit Fernmeldeanschl ssen verbunden werden Zum Anschluss eines seriellen Terminals oder eines Modems ist ein serielles Kabel mit RJ12 Stecker zu ver wenden Die maximale Leitungsl nge des seriellen Kabels betr gt 30m Der Serial Port serielle Schnittstelle kann so benutzt werden wie es unter Se rial Port auf Seite 29 beschrieben ist Doch die Belegung der Kontakte ist un terschiedlich wie es die folgende Abbildung zeigt Pin Belegung der RJ12 Buchse Serial Port RTS Pin6 RXD Pin5 GND Pin4 TXD Pin3 not connected Pin 2 d CTS Pin1 Das Ger t wird in betriebsbereitem Zustand ausgeliefert F r die Montage ist fol gender Ablauf zweckm ig Ziehen Sie den Klemmblock vom EAGLE mGuard ab und verdrahten Sie die Versorgungsspannungs und Meldeleitungen Montieren Sie den EAGLE mGuard auf einer 35 mm Hutschiene nach DIN EN 50 022 H ngen Sie die obere Rastf hrung des EAGLE mGuard in die Hutschiene ein und dr cken Sie den EAGLE mGuard dann nach unten gegen die Hut schiene so dass er einrastet Schlie en Sie das Ger t an das lokale Netz oder den lokalen Rechner an das der gesch tzt werden soll LAN ber die Buchse zum Anschlie en an das externe Netzwerk WAN den Anschluss ans externe Netzwerk vornehmen z B Internet ber dieses Netzwerk werden die Verbindungen zum entfernten Ger t bzw entfe
117. VPN via Extern 2 Einstellung f r Egress Queues Qos Egress Queues VPN VPN via intern ven via extern ven via extern 2 IJ ven via Einwant Aktivierung Aktiviere Egress QoS Gesamtbandbreite rate Movietone ae Queues PE e o name O O Garantiert _ _______Obergrene _ ___ Prorktt Kommentar rial fon 1 10 A betreie Foch zl Bel Important I i I onimted I e O TEE rear Ee Jonimted 7 feed E RH 0 H JLow Priority 10 unlimited Niedrig E VPN via Einwahl Einstellung f r Egress Queues Alle oben aufgef hrten Registerkarten f r Egress Queues bei den Interfaces Jn tern Extern Extern 2 Einwahl sowie f r VPN Verbindungen die ber dieses Interfaces gef hrt werden bieten die gleichen Einstellm glichkeiten In allen F llen beziehen sich die Einstellungen auf die Daten die von der jewei ligen Schnittstelle gesehen vom mGuard nach au en ins Netz gehen 244 von 283 Konfiguration Men QoS Aktivierung Aktiviere Egress QoS Ja Nein Nein Standard Das Feature ist ausgeschaltet Ja Das Feature ist eingeschaltet Empfiehlt sich dann wenn die Schnittstelle an ein Netz mit geringer Bandbreite angeschlossen ist so dass eine Beeinflussung der Bandbreitenzuordnung zugunsten besonders wichtiger Daten gew nscht wird Gesamtbandbreite Queues Maximalbandbreite rate kBit s Pakete s Bandbreite die insgesamt maximal physikalisch zur Verf gung steht a
118. Verbindung ins Internet herstellen wollen PPTP Login Benutzername Login den der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Setze lokale IP statisch ber DHCP Bei ber DHCP Werden die Adressdaten f r den Zugang zum PPTP Server vom Internet Ser vice Provider per DHCP geliefert w hlen Sie ber DHCP Dann ist kein Eintrag unter Lokale IP zu machen Bei Statisch folgendes Feld Werden die Adressdaten f r den Zugang zum PPTP Server nicht per DHCP vom Internet Service Provider geliefert dann muss die lokale IP Adresse an gegeben werden Lokale IP IP Adresse unter der der mGuard vom PPTP Server aus zu erreichen ist Modem IP Das ist die Adresse des PPTP Servers des Internet Service Providers Interne Netzwerke Die Konfiguration der internen Netzwerke ist unter Netzwerk Modus Router PPPoE PPTP oder Modem Eingebautes Modem auf Seite 128 erkl rt 126 von 283 Konfiguration Menti Netzwerk Netzwerk Modus Der Netzwerk Modus Modem ist verf gbar bei Modem mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta Tre gt Der Netzwerk Modus Eingebautes Modem ist zus tzlich verf gbar bei ocdem mGuard industrial RS wenn dieser ber ein eingebautes Modem oder einen eingebauten I
119. Werkseinstellung 5 Maximale Zahl eingehender Ping Pakete ICMP Echo Request pro Sekunde Werkseinstellung 3 Stealth Mode Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden Ping Pakete pro Sekunde fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Der Wert 0 bewirkt dass kein Ping Paket durchgelassen bzw einge lassen wird Jeweils maximale Zahl ausgehender ARP Requests und ARP Replies pro Sekunde Werkseinstellung 500 188 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Jeweils maximale Zahl eingehender ARP Requests und ARP Replies pro Sekunde Werkseinstellung 500 Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden ARP Requests pro Sekunde fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen 189 von 283 Konfiguration Menti Netzwerksicherheit nicht blad
120. Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Nach Viren zu scannen kann ausgehende Verbindungen erlauben die bli cherweise durch die unter Netzwerksicherheit Paketfilter und Netzwerk 204 von 283 Konfiguration Menti E Mail Sicherheit nicht blade Kontroller sicherheit Benutzerfirewall definierten Firewallregeln unterbunden sind Bitte beachten Sie daher auch Auf Viren gescannte Verbindungen unterlie gen Firewall Regeln Nein Ja auf Seite 185 um dieses Verhalten anzupas sen Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h Dateien zu allen SMTP Servern werden gescannt Um einen Bereich anzugeben benutzen Sie die CIDR Schreibwei se siehe CIDR Classless Inter Domain Routing auf Seite 263 Da ein Verbindungswunsch zun chst durch den mGuard entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert Server Port Hier geben Sie bitte die Nummer des Ports f r das SMTP Protokoll an Der SMTP Standardport 25 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Serve
121. aden einer neuen Konfiguration kann erst nach Synchronisation der Systemzeit erfolgen siehe Verwaltung Systemein stellungen Zeit und Datum auf Seite 63 Die Zeitsteuerung setzt die ausgew hlte Zeit in Bezug auf die eventuell kon figurierte Zeitzone Server IP Adresse oder Hostname des Servers welcher die Konfigurationen bereit stellt Verzeichnis Das Verzeichnis Ordner auf dem Server in dem die Konfiguration liegt Dateiname Der Name der Datei in dem oben definierten Verzeichnis Falls an dieser Stel le kein Dateiname definiert ist wird die Seriennummer des mGuards inklusi ve der Endung atv verwendet 102 von 283 Konfiguration Menti Verwaltung Anzahl der Zyklen die ein Konfigurationsprofil nach einem Rollback ignoriert wird Standard 10 Nach Holen einer neuen Konfiguration k nnte es im Prinzip passieren dass nach Inkraftsetzen der neuen Konfiguration der mGuard nicht mehr erreich bar ist und damit eine neue korrigierende Fernkonfiguration nicht mehr m g lich ist Um das auszuschlie en unternimmt der mGuard folgende Pr fung Sofort nach Inkraftsetzen der geholten Konfiguration versucht der mGuard auf Grundlage dieser neuen Konfiguration die Verbindung zum Konfigura tions Server nochmals herzustellen und das neue bereits in Kraft gesetzte Konfigurationsprofil erneut herunterzuladen Wenn das gelingt bleibt die neue Konfiguration in Kraft Wenn diese Pr fung negativ
122. akt steht nur beim mGuard industrial RS zur Verf gung 207 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 208 von 283 w hlen Sie diese Option Das ist m glicherweise der Fall wenn folgende Be dingungen vorliegen In bestimmten Anwendungsumgebungen z B wenn der mGuard per Maschinensteuerung ber den CMD Kontakt bedient wird nur bei mGuard industrial RS steht die M glichkeit dass ein Anwender ber die Web basierte Bedienoberfl che des mGuard die Logdatei des mGuard ein sieht vielleicht gar nicht zur Verf gung Bei dezentralem Einsatz kann es vorkommen dass eine Diagnose eines VPN Verbindungsfehlers erst m glich ist nachdem der mGuard vor bergehend von seiner Stromquelle getrennt worden ist was zum L schen aller Logeintr ge f hrt Die relevanten Logeintr ge des mGuard die Aufschluss geben k nnten sind eventuell gel scht weil der mGuard aufgrund seines endlichen Speicherplatzes ltere Logeintr ge regelm ig l scht Wird ein mGuard als zentrale VPN Gegenstelle eingesetzt z B in einer Fernwartungszentrale als Gateway f r die VPN Verbindungen vieler Maschinen werden die Meldungen zu Aktivit ten der verschiedenen VPN Verbindungen im selben Datenstrom protokolliert Das dadurch ent stehende Volumen des Logging macht es zeitaufwendig die f r einen Feh ler relevanten Informationen zu finden Nach Einschalten der Archivierung werden relevante Logeintr ge ber die
123. all der Backup zum Master so arbeitet dieser auch dann als Master weiter wenn der vorhe rige mGuard wieder zur Verf gung steht Werte zwischen 1 und 254 sind m glich Authentifizierungspasswort Das Passwort soll vor Fehlkonfigurationen sch tzen bei denen sich mehrere virtuelle Router gegenseitig st ren Das Passwort muss auf beiden mGuards gleich sein Es wird im Klartext ber mittelt und sollte daher nicht identisch mit anderen sicherheitsrelevanten Passw rtern sein Stealth Modus Virtual Router ID Router Modus Externe Virtual Router ID Eine ID zwischen 1 und 255 die auf beiden mGuards gleich sein muss und den virtuellen Router identifiziert Stealth Modus Management IP des 2ten Ger tes 251 von 283 Konfiguration Menti Redundanz Router Modus Externe IP des 2ten Ger tes Im Stealth Modus die Management IP des zweiten mGuards im Router Mo dus die IP Adresse des WAN Ports des zweiten mGuards Router Modus ICMP Checks Die folgenden Werte miissen gesetzt werden wenn die mGuards im Router Mo dus betrieben werden Interne Virtual Router ID Eine ID zwischen 1 und 255 die auf beiden mGuards gleich sein muss Diese ID identifiziert den virtuellen Router am LAN Port Interne IP des 2ten Ger tes IP Adresse des LAN Ports des zweiten mGuards Externe virtuelle IP Virtuelle IP Adresse ber die der Verkehr durch den mGuard l uft Wird z B bei NAT als externe IP verwendet Kann beliebig festgelegt w
124. alls die zur Verf gung stehende Gesamt bandbreite aktuell nicht ausgesch pft ist Kommentar Optional kommentierender Text 245 von 283 Konfiguration Menti QoS 6 11 4 Egress Zuordnungen Welche Daten werden den definierten Egress Queues Warteschlangen s 0 zugeordnet damit sie mit der Prioritat tibertragen werden die der jeweiligen Queue zugeteilt ist Die Zuordnungen k nnen bez glich aller Schnittstellen sowie f r VPN Verbin dungen separat festgelegt werden Intern Extern Extern2 Einwahl QoS Egress Zuordnungen Standard Zuordnungen PS ne erotokon von vonport Nacht NachPort Aktueller TOS DSCr Wert FE tale amp 0 0 0 0 0 em 0 0 0 0 0 any TOS Minimize Delay Unverandert Urgent sr 2 ate zl fo 0 0 0 0 Ba 0 0 0 0 0 any T0s Maximize Reliability Unverandert zl important Staue 31 0 Fa 0 0 0 0 0 any TOS Minimize Cost TA Munverandert TA low Priority AIT Intern Einstellung fur Egress Queue Zuordnungen QoS Egress Zuordnungen Standard Standard Queue Derat SE Zuordnungen PE ne rrotokon vont vonron manie nachrort aktueler Tos oscewert _neuerros nscrwer Quevename Kommentar HE Al Mfo 0 0 070 any 0 0 0 0 0 any T0s Minimize Delay TAN unver ndert Jorn A E 2 ate 3 o 0 0 070 Er 0 0 070 Ev Tos Maximize Reliability Unver ndert importam E NET Al Mfo 0 0 070 any 0 0 0 0 0 any TOS Minimize Cost z Unverande
125. alter z B Schl sselschalter angeschlossen werden Zwischen den Kontakten ACK und _ kann eine handels bliche LED bis 3 5 V oder ein entsprechender Optokoppler angeschlossen werden Der Kontakt ist kurz schlu fest und liefert maximal 20 mA Die LED beziehungsweise der Opto koppler mu ohne Vorwiderstand angeschlossen werden F r die Verdrahtung siehe Grafik oben Der Taster oder Ein Aus Schalter dient zum Aufbau und Abbau einer zuvor definierten VPN Verbindung und die LED si gnalisiert den Status der VPN Verbindung Siehe Psec VPN a Global auf Seite 206 unter Optionen Bedienung eines angeschlossenen Tasters Zum Aufbau der VPN Verbindung den Taster einige Sekunden gedr ckt hal ten bis die Signal LED blinkt Erst dann den Taster loslassen Das Blinken signalisiert dass der mGuard das Kommando zum Aufbau der VPN Verbin dung erhalten hat und dabei ist die VPN Verbindung aufzubauen Sobald die VPN Verbindung steht leuchtet die Signal LED kontinuierlich Zum Abbau der VPN Verbindung den Taster einige Sekunden gedr ckt hal ten bis die Signal LED blinkt oder erlischt Erst dann den Taster loslassen Sobald die Signal LED nicht mehr leuchtet ist die VPN Verbindung abge baut Bedienung eines angeschlossenen Ein Aus Schalters Zum Aufbau der VPN Verbindung den Schalter auf EIN stellen Zum Abbau der VPN Verbindung den Schalter auf AUS stellen Signal LED Ist die Signal LED auf AUS wird dadurch generell signal
126. altung Konfiguration holen Konfiguration holen Schedule Server Verzeichnis Dateiname Wenn leer wird 14722045 atv verwendet back ignoriert wii Download Timeout Sekunden Login Passwort Server Zertifikat Hier darf das Zertifikat des Server nur dann direkt angegeben werden wenn es ein selbst signiertes Zertifikat ist Andernfalls mu hier das Wurzelzertifikat der CA installiert werden welche das Zertifikat des Durchsuchen Servers ausgestellt hat Der mGuard kann sich in einstellbaren Zeitintervallen neue Konfigurationspro file von einem HTTPS Server holen wenn der Server sie dem mGuard als Datei zur Verf gung stellt Datei Endung atv Wenn sich die jeweils zur Verf gung gestellte Konfiguration von der aktuellen Konfiguration des mGuard unterschei det wird die verf gbare Konfiguration automatisch heruntergeladen und akti viert Konfiguration holen Schedule Geben Sie hier an ob und wenn ja wann bzw in welchen Zeitabst nden der mGuard versuchen soll eine neue Konfiguration vom Server herunterzu laden und bei sich in Kraft zu setzen ffnen Sie dazu die Auswahlliste und w hlen Sie den gew nschten Wert Bei Auswahl von Zeitgesteuert wird unterhalb ein neues Feld eingeblendet In diesem geben Sie an ob t glich oder an einem bestimmten Wochentag re gelm ig und zu welcher Uhrzeit eine neue Konfiguration vom Server herun tergeladen werden soll Das zeitgesteuerte Herunterl
127. ame E SN downloads ayp innomir Proxy Einstellungen HTTP Proxy Server Die Dateien mit den Virensignaturen auch Anti Virus Pattern Anti Virus Mus ter oder Virenerkennungs Muster genannt k nnen durch einen einstellbaren Up date Server in einem nutzerdefinierten Intervall aktualisiert werden Das Update geschieht parallel zur Nutzung des Anti Virus Filters Im Auslieferungszustand befinden sich keine Virensignaturen auf dem mGuard Deshalb sollte nach dem Aktivieren des Anti Virus Schutzes mit der entsprechenden Lizenz auch das Up date Intervall eingestellt werden Der Verlauf des Updates kann im Anti Virus Update Log verfolgt werden Update Intervall Geben Sie hier an ob und wenn ja in welchen Zeitabst nden ein automa tisches Update der Virenerkennungs Muster stattfinden soll ffnen Sie dazu die Auswahlliste und w hlen Sie den gew nschten Wert Die Gesamtgr e der Datenbank betr gt mehrere MByte Es werden nur die auf dem Update Server aktualisierten Dateien nachgeladen Liste der AVP Update Server Geben Sie hier den Namen von mindestes einem AVP Update Server an Sie k nnen die Server ausw hlen von denen der Update der Virensignaturdatei geladen werden soll Ein Standardserver ist bereits voreingetragen Sie k nnen bei Bedarf eigene Server angeben BO Die Liste der Server wird von oben nach unten abgearbeitet bis ein verf g barer Server gefunden wird Die Reihenfolge der Eintr ge legt also deren Pri orit
128. angef gte Zahl desto sicherer ist er Das relativ neue Verfahren AES 256 gilt daher als am sichersten ist aber noch nicht so verbreitet Der Verschl sselungsvorgang ist um so zeitaufwendiger je l nger der Schl ssel ist Dieser Gesichtspunkt spielt f r den mGuard keine Rolle weil er mit Hardware basierter Verschl sselungstechnik arbeitet Jedoch k nnte die ser Aspekt f r die Gegenstelle eine Rolle spielen Der zur Auswahl stehende mit Null bezeichnete Algorithmus beinhaltet keinerlei Verschl sselung Pr fsummenalgorithmus Hash Lassen Sie die Einstellung auf Alle Algorithmen stehen Dann spielt es keine Rolle ob die Gegenstelle mit MD5 oder SHA 1 arbeitet IPsec SA Datenaustausch Im Unterschied zu ISAKMP SA Schl sselaustausch s o wird hier das Ver fahren fiir den Datenaustausch festgelegt Es kann sich von denen des Schliis selaustausches unterscheiden muss aber nicht Verschliisselungsalgorithmus Siehe oben Pr fsummenalgorithmus Hash Siehe oben Perfect Forward Secrecy PFS Verfahren zur zus tzlichen Steigerung der Sicherheit bei der Daten bertra gung Bei IPsec werden in bestimmten Intervallen die Schl ssel f r den Da tenaustausch erneuert Mit PFS werden dabei mit der Gegenstelle neue 229 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Zufallszahlen ausgehandelt anstatt sie aus zuvor verabredeten Zufallszahlen abzuleiten Nur wenn die Gegenstelle PFS unt
129. arte Verbindungen Unter DF und VPN Einstellungen muss Keine Verbindung w hlen akti viert sein In der Adresszeile des Web Browsers geben Sie die Adresse des mGuard vollst ndig ein Im Stealth Modus Werkseinstellung au er mGuard delta und blade Kon troller lautet diese immer https 1 1 1 1 und in den Betriebsarten Router Werkseinstellung mGuard delta und bla de Kontroller PPPoE oder PPTP lautet diese immer https 192 168 1 1 Folge Sie gelangen zur Administrator Webseite des mGuard Der auf der nachsten Seite abgebildete Sicherheitshinweis erscheint Falls Sie die konfigu Falls die Adresse des mGuard im Router PPPoE oder PPTP Modus auf einen rierte Adresse verges anderen Wert gesetzt ist und Sie kennen die aktuelle Adresse nicht dann m s sen Sie den mGuard mit Hilfe der Recovery Taste in den Stealth Modus mGuard delta und blade Kontroller Router Modus stellen sodass die oben angegebenen Werkseinstellungen bez glich der IP Adresse des mGuard wieder in Kraft treten siehe Recovery Prozedur ausf hren auf Seite 265 sen haben 53 von 283 Konfiguration vorbereiten B gt Falls die Administra Sollte auch nach wiederholtem Versuch der Web Browser melden dass die tor Webseite nicht an Seite nicht angezeigt werden kann versuchen Sie Folgendes gezeigt wird e Pr fen Sie ob der Standardgateway des angeschlossenen Konfigurations Rechners initialisiert ist Siehe Lokale Konfigurati
130. as Administratorpasswort zu ndern BO Beide Netzwerkschnittstellen des EAGLE mGuard sind f r den Anschluss an einen Rechner konfiguriert Beim Anschluss an einen Hub ist Folgendes zu beachten Bei deaktivierter Autonegotiation Funktion wird auch die Auto MDIX Funktion deaktiviert d h der Port des EAGLE mGuard muss entwe der an den Uplink Port des Hub oder mittels eines Cross Link Kabels mit dem Hub verbunden werden Um den EAGLE mGuard von der Hutschiene zu demontieren fahren Sie mit ei nem Schraubendreher waagerecht unterhalb des Geh uses in den Verriegelungs schieber ziehen diesen ohne den Schraubendreher zu kippen nach unten und klappen den EAGLE mGuard nach oben 35 von 283 Inbetriebnahme 4 5 mGuard delta anschlie en Sicherheitshinweis Die serielle Schnittstelle DE 9 Steckverbindung darf nicht direkt mit Fernmeldeanschliissen verbunden werden Zum Anschluss eines seriellen Terminals oder eines Modems ist ein serielles Kabel mit einer DE 9 Steckverbinder zu verwenden Die maximale Leitungsl nge des seriellen Kabels betr gt 30m T SP ee e 7 6 5 4 3 2 1 DC 5V 3A Console Serielle Konsole Ethernet LAN Ethernet WAN reserviert Stromversorgung e Verbinden Sie die Stromversorgung 5V DC 3A mit der Buchse DC 5V 3A des mGuards e Verbinden Sie den lokalen Computer oder das lokale Netzwerk mittels eines UTP Ethernetkabels CAT 5 m
131. ase installieren x y Z Patch Releases beheben Fehler der vorherigen Versionen und haben eine Versionsnummer welche sich nur in der dritten Stelle ndern Z B ist 4 0 1 ein Patch Release zur Version 4 0 0 Aktuelles Minor Release zur Hauptversion installieren x Y z N chstes Major Release installieren X y z Minor und Major Releases erg nzen den mGuard um neue Eigenschaften oder enthalten Anderungen am Verhalten des mGuard Ihre Versionsnummer ndert sich in der ersten oder zweiten Stelle Z B ist 4 1 0 ein Major bzw Minor Release zu den Versionen 3 1 0 bzw 4 0 1 Update Server Legen Sie fest von welchen Servern ein Update vorgenommen werden darf gt Die Liste der Server wird von oben nach unten abgearbeitet bis ein verf g barer Server gefunden wird Die Reihenfolge der Eintr ge legt also deren Pri orit t fest BO Alle konfigurierten Update Server m ssen die selben Updates zur Verf gung stellen Bei den Angaben haben Sie folgende M glichkeiten Protokoll Das Update der kann entweder per HTTPS oder HTTP erfolgen Server Adresse Hostnamen des Servers der die Update Dateien bereitstellt Login Login f r den Server Passwort Passwort f r den Login 87 von 283 Konfiguration Menti Verwaltung Anti Virus Muster Schedule Wird nur angezeigt wenn ein Virenfilter installiert und lizenziert ist Yerwaltung Update Schedule Liste der AVP Update Server D x Update Adresse Hostn
132. at e ein selbst signiertes Zertifikat Zum Verst ndnis der nachfolgenden Tabelle siehe Kapitel 6 5 3 Authentifizie rung Zertifikate auf Seite 163 Konfiguration Menti Verwaltung X 509 Authentifizierung bei HTTPS Die Gegenstelle zeigt Zertifikat personenbezo Zertifikat personenbezo vor gen von CA signiert gen selbst signiert Der mGuard authenti fiziert die Gegenstelle Ir ir anhand von Alle CA Zertifikate die Gegenstellenzertifikat mit dem von der Gegen stelle vorgezeigtem Zerti fikat die Kette bis zum Root CA Zertifikat bilden ggf PLUS Gegenstellenzertifikate wenn als Filter verwendet Die Gegenstelle kann zus tzlich Sub CA Zertifikate anbieten In diesem Fall kann der mGuard mit den angebotenen CA Zertifikaten und den bei ihm selber konfigurierten CA Zer tifikaten die Vereinigungsmenge bilden um die Kette zu bilden Auf jeden Fall muss aber das zugeh rige Root Zertifikat auf dem mGuard zur Verf gung stehen Gem dieser Tabelle sind nachfolgend die Zertifikate zur Verf gung zu stellen die der mGuard benutzen muss um einen von entfernt per HTTPS zugreifenden Benutzer bzw dessen Browser zu authentifizieren Die nachfolgenden Anleitungen gehen davon aus dass die Zertifikate bereits ordnungsgem im mGuard installiert sind Siehe 6 5 3 Authentifizierung Zertifikate auf Seite 163 BO Ist unter Men punkt Authentifizierung Zertifikate Zertifikatsein
133. at signiert hat Die weiteren CA Zertifikate die mit dem von der Gegenstelle vorgezeigten Zertifikat die Kette bis zum Root CA Zertifikat bilden m ssen aber im mGuard installiert sein unter Men punkt Authentifizierung Zertifikate Die Auswahlliste stellt alle CA Zertifikate zur Wahl die in den mGuard unter Men punkt Authentifizierung Zertifikate geladen worden sind Weitere Auswahlm glichkeit Alle bekannten CAs Mit dieser Einstellung werden alle VPN Gegenstellen akzeptiert wenn sie sich mit einem von einer CA signierten Zertifikat anmelden das von einer be kannten CA Certification Authority ausgestellt ist Bekannt dadurch weil in den mGuard das jeweils entsprechende CA Zertifikat und au erdem alle wei teren CA Zertifikate geladen worden sind so dass sie zusammen mit den vor gezeigten Zertifikaten jeweils die Kette bilden bis zum Root Zertifikat Authentifizierung durch das entsprechende Gegenstellenzertifikat W hlen Sie aus der Auswahlliste folgenden Eintrag Kein CA Zertifikat sondern das Gegenstellenzertifikat unten Dann ist unten unter Gegenstellenzertifikat das Gegenstellenzertifikat zu in stallieren Es ist nicht m glich ein Gegenstellenzertifikat zu referenzieren das unter Men punkt Authentifizierung Zertifikate geladen ist Gegenstellenzertifikat Muss konfiguriert werden wenn die VPN Gegenstelle per Gegenstellenzerti fikat authentifiziert werden soll Um ein Zertifikat zu importieren
134. ation oder Firma an Beipiel O Entwicklung O Organization Gibt die Organisation bzw die Firma an Beispiel O Innominate L Locality Gibt den Ort an Beispiel L Hamburg ST State Gibt den Bundesstaat bzw das Bundesland an Beispiel ST Bayern C Country Code bestehend aus 2 Buchsta ben die das Land den Staat angeben Deutschland DE Beispiel C DE Bei VPN Verbindungen sowie bei Fernwartungszugriffen auf den mGuard per SSH oder HTTPS kann f r Subject Zertifikatsinhaber ein Filter gesetzt wer den Dann werden nur solche Zertifikate von Gegenstellen akzeptiert bei denen in der Zeile Subject bestimmte Attribute vorhanden sind Bei der Network Address Translation NAT oft auch als P Masquerading be zeichnet wird hinter einem einzigen Ger t dem sog NAT Router ein ganzes Netzwerk versteckt Die internen Rechner im lokalen Netz bleiben mit ihren IP Adressen verborgen wenn Sie nach au en ber die NAT Router kommuni zieren F r die Kommunikationspartner au en erscheint nur der NAT Router mit seiner eigenen IP Adresse Damit interne Rechner dennoch direkt mit externen Rechnern im Internet kom munizieren k nnen muss der NAT Router die IP Datagramme ver ndern die von internen Rechnern nach au en und von au en zu einem internen Rechner ge hen Wird ein IP Datagramm aus dem internen Netz nach au en versendet ver ndert der NAT Router den UDP bzw TCP Header des Datagramms Er tausch
135. ats chliche Netzwerkadresse der Systeme im lokalen Netz Die Netzmaske wird aus dem Feld Lokal bernommen 1 Modem Eingebautes Modem Steht nicht bei allen mGuard Modellen zur Verf gung siehe Netzwerk Interfaces auf Seite 109 220 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller Protokoll Aktiviere 1 zu 1 NAT des gegen berliegenden Netzwerks in ein anderes Netz Das unter Remote mit der VPN Gegenstelle vereinbarte gegen berlie gende Netzwerk so umschreiben als wenn sich die dort angeschlossenen Rechner mit deren Adressen in einem anderen Netz bef nden Die Voreinstellung ist Nein Netzwerkadresse f r gegen berliegendes 1 zu 1 NAT nur wenn oben Ja gew hlt wurde Die von den Systemen im lokalen Netz tats chlich erreichbare gegen ber liegende Netzwerkadresse Die Netzmaske wird aus dem Feld Remote bernommen B gt Wenn das gegen berliegende Netzwerk bzw das gegen berliegende Netz werk f r I zu 1 NAT innerhalb eines der direkt am LAN Port des mGuard an geschlossenen Netzwerke liegt so beantwortet der mGuard zus tzlich ARP Anfragen f r IP Adressen innerhalb des gegen berliegenden Netzwerks Damit wird der Zugriff auf ein gegen berliegendes VPN ber lokale IP Adressen m glich ohne dass das Routing lokal angeschlossener Clients er g nzt werden muss Protokoll Alle TCP UDP ICMP Sie k nnen ausw hlen ob das VPN auf ein bestimmtes Protokoll einge schr nkt
136. aturen siehe Abschnitt Verwaltung Update auf Seite 85 E Mail Sicherheit SMTP Virenschutz Optionen Avie chute f r SMTP Mai versand Sa gt lll Liste der SMTP Server E server Server Port __Kommentr scannen 0 0 0 0 0 25 JsmTP out to any Scannen x Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes fiir SMTP muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Das SMTP Protokoll wird von Ihrem E Mail Client oder Mail Transfer Agent MTA zur Versendung von E Mails genutzt e Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Des halb sollten Sie Verschl sselungsoptionen wie TLS nicht aktivieren Im Falle des Erkennens eines Virus oder beim Auftreten von Fehlern wird der E Mail Client des Absenders durch einen Fehlercode benachrichtigt und ein Logeintrag im Anti Virus Log vorgenommen Der urspr ngliche Empf nger erh lt weder die infizierte Mail noch eine Benachrichtigung e Der Anti Virus Schutz wirkt f r SMTP Verbindungen die von einem Mail Client oder Mail Server vom lokalen Netzwerk Interface des mGuards her zum WAN aufgebaut werden F r in anderen Richtungen aufgebaute Ver bindungen wird der Anti Virus Schutz nicht angewendet Anti Virus Schutz f r SMTP E Mail Versand Ja Nein Bei Ja werden ausgehende Dateien vom mGuard auf Viren gescannt sofern sie ber SMTP Verbindungen bertra
137. auf Seite 37 Setzen Sie dazu den Jumper 2 an die entsprechende Position Treibermodus Power over PCI Modus 3 e 3 2 A 2 ol 1 2 Schalten Sie den Computer sowie andere angeschlossene Peripherieger te aus Folgen Sie den Sicherheitshinweisen zur elektrostatischen Entladung 3 Ziehen Sie das Stromkabel 4 ffnen Sie die Abdeckung des Computers Bitte folgenden Sie dabei der Beschreibung im Handbuch des Computers 5 W hlen Sie einen freien PCI Steckplatz 3 3V oder 5V f r den mGuard PCI 6 Entfernen Sie das dazugeh rige Slotblech durch L sen der entsprechenden 40 von 283 Inbetriebnahme Schraube und Herausziehen des Slotblechs Bewahren Sie die Schraube fiir das Festschrauben der mGuard PCI Karte auf 7 Richten Sie die Steckerleiste der mGuard PCI Karte vorsichtig tiber der Buchsenleiste des PCI Steckplatzes auf dem Motherboard aus und dr cken Sie anschlie end die Karte gleichm ig in die Buchsenleiste hinein 8 Schrauben Sie das Slotblech der Karte fest 9 Schlie en Sie die Abdeckung des Computers wieder 10 Schlie en Sie das Stromkabel des Computers wieder an und schalten Sie diesen ein 4 6 3 Treiberinstallation Voraussetzungen Unter Windows XP BO Nur wenn der mGuard PCI im Treibermodus arbeitet ist die Installation eines Treibers erforderlich und m glich siehe Treibermodus auf Seite 37 Falls noch nicht geschehen f hren Sie die unter Einbau der Hardware auf Seite 40 besch
138. aute Modem bzw der eingebaute ISDN Terminaladapter kann wie folgt benutzt werden Als prim res externes Interface wenn unter Netzwerk Interfaces auf der Registerkarte Allgemein als Netzwerkmodus Eingebautes Modem eingestellt ist siehe Netzwerk Interfaces Allgemein auf Seite 110 In diesem Fall wird der Datenverkehr nicht ber den WAN Port Ether net Schnittstelle abgewickelt sondern ber dieses Modem ODER Als sekund res externes Interface wenn unter Netzwerk Interfaces Registerkarte Allgemein das sekund re externe Interface aktiviert und Eingebautes Modem ausgew hlt ist siehe Netzwerk Interfaces Allgemein auf Seite 110 In diesem Fall wird Datenverkehr auch ber die serielle Schnittstelle abgewickelt ODER f r die PPP Einwahloption siehe oben unter Nutzungsarten der seriel len Schnittstelle Beachten Sie dass die serielle Schnittstelle des Ger tes zus tzlich vergleichbare Nutzungsm glichkeiten zur Verf gung stellt siehe oben So kann beim mGuard industrial RS mit eingebautem Modem z B der normale Datenverkehr ber eine Modemverbindung erfolgen Netzwerkmodus Modem und gleichzeitig eine zweite Modemverbindung f r die PPP Einwahloption genutzt werden Beim mGuard industrial RS mit eingebautem Modem Externes Modem Baudrate 57600 SSS SS Zus tzlich beim Eingebautes Modem analog f Deutschland TE mGuard industrial RS Deutschland Nebenstelle
139. aute Uhr sorgt dafiir dass der mGuard auch nach einem Neustart eine synchronisierte Systemzeit hat b Der Administrator hat zur Laufzeit dem mGuard die aktuelle Zeit mitge teilt indem er im Feld Lokale Systemzeit eine entsprechende Eingabe gemacht hat c Der Administrator hat die Einstellung Zeitmarke im Dateisystem auf Ja gestellt und dem mGuard entweder per NTP siehe unten unter N7P Ser ver die aktuelle Systemzeit erfahren lassen oder per Eingabe in Lokale Systemzeit selbst eingestellt Dann wird der mGuard auch ohne einge baute Uhr nach einem Neustart sofort seine Systemzeit mit Hilfe des Zeit stempels synchronisieren auch wenn sie danach eventuell noch einmal per NTP genauer eingestellt wird d Der Administrator hat unten unter NTP Server die NTP Zeitsynchroni sation aktiviert und die Adressen von mindestens einem NTP Server angegeben und der mGuard hat erfolgreich Verbindung zu mindestens einem der festgelegten NTP Server aufgenommen Bei funktionierendem Netzwerk geschieht dies in wenigen Sekunden nach dem Neustart Die Anzeige im Feld NTP Status wechselt eventuell erheblich sp ter erst auf synchronisiert Siehe dazu die Erkl rung weiter unten zu NTP Status Zustand der eingebauten Uhr Bei mGuard industrial RS und mGuard delta Der Zustand der eingebauten Uhr ist nur sichtbar wenn der mGuard eine Uhr besitzt die auch dann weiter l uft wenn der mGuard nicht mit Strom versorgt wird und eingeschaltet ist Die Anzeige gi
140. b eines Datentransfers zwischen FTP Server und FTP Client dann wird eine Fehlermeldung an den FTP Cli ent gesendet Die Darstellung dieser Fehlermeldung h ngt vom jeweiligen FTP Client ab Bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchlassmodus wenn die eingestellte Dateigr e berschritten wird gt In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der FTP Server Geben Sie an von welchen Servern die Daten auf Viren gescannt werden sol len Durch Aktivierung bzw Deaktivierung der Anti Virus Funktion bei jedem einzelnen Eintrag bzw Server haben Sie z B die M glichkeit eine Ausnah meregel f r eine darauf folgende umfassende Regel zu setzen Dadurch ist die Angabe von trusted Servern m glich siehe unten abgebildetes Beispiel Beispiele Globale Aktivierung des Anti Virus Schutzes f r FTP IS see serverron Kommentar scannen Scan eines Subnetzes Ausklammerung eines trusted FTP Servers gt see sewerpen rammene samen P E f92 168 2 5 Di Jungesichertes FTP Nicht Scannen v P h92 168 2 0724 pt Besichertes FTP Scannen Scan eines einzelnen untrusted FTP Servers in einem Subnetz IS see sererron Kommentar scan f fis2 168 2 5 bi esichertes FTP Sca
141. be 25 4 2 mGuard smart anschlie en oo ccc cccsscccsessececesseccceesseccsesseccesssecesessesecssseeeseseeeesseeeeeas 30 4 3 Guard blade installieren se asieasenaee 31 mGuard bladeBase installieren 00 0 0 cece aiie as 31 mGuard blade installieren eee ececccceesscccessececsesececesseeecessseecseseecsesseecsenseeees 31 Kontrolleinheit CTRL Silo 31 Anschluss mGuard bhilean aia a a a E A AO 32 AA EAGLE mGuard installieren haearn iia aa a R O ROTRA ROR 33 Klemmblock aA A A A AE 33 lee 34 Inbetriebnahme Eeer 35 Netzwerkverbmdung nen ennennnnnnnn 35 D monta EE 35 4 5 mGuard delta anschlie en 36 4 6 mad PEI mistallieren 2 322 22 2 rar ER oot ahaa aed 37 3 von 283 Inhalt 4 6 1 Auswahl Treibermodus oder Power over PCI Modus ccccecsseesesteeseeeseeeeeeenees 37 RE e EE 37 Powersover P l Modus einteilen ln ER 39 4 6 2 Einbaulder Hardware is wisi dented eet Eed dee ge 40 4 63 Treiberinstall tion u seen asian ENEE Servere 41 erg EE 41 Unter Windows EE 41 Unter Windows 2000 s 0sediayecaesbsisean boobed zecheu adaceaacdivsasshacg EE 42 Unter Joe eege EE Ee 45 5 Konfiguration vorbereiten scosssoossesnnsssnnssnonnensnnennnnennssssnnnsnnnnsnsnnsnnnnssnnsssnnsssnnnsnsnnsnsnnssnnnene 46 5 1 EU EE E TE ET 46 mGu rd industrial RS a en nen ran nenne nein 46 FOUSS ergeet eege eege eeng like ash 46 MGuard PCT EE 46 lgl E WEE 46 EAGLE MGuard 20 05 acer EE EEEE 46
142. bei tibernimmt der zweite mGuard Backup in einem Fehlerfall die Funktion des ersten mGuard Master Dazu wird der Zustand der Stateful Firewall zwischen beiden mGuards fortwah rend synchronisiert so dass bei einem Wechsel bestehende Verbindungen nicht abgebrochen werden B Voraussetzung Beide mGuards m ssen entsprechend konfiguriert werden Die Firewalleinstellungen sollten identisch sein damit nach der Umschaltung keine Probleme auftreten B Redundanz wird in folgenden Netzwerkmodi unterst tzt Router Modus Stealth Modus statisch mit Management IP und im Stealth Modus mehrere Clients PE Redundanz wird nicht bei aktiviertem Interface Extern 2 unterst tzt B gt Werden die beiden mGuards im Netzwerkmodus Stealth Modus statisch mit Management IP oder im Stealth Modus mehrere Clients betrieben werden DAD ARP Anfragen auf dem internen Interface versendet wenn der eine mGuard die Funktion des anderen bernimmt siehe RFC2131 Abschnitt 4 4 1 Do Bei aktivierter Redundanz d rfen die beiden mGuards nicht als VPN Gate way genutzt werden BO Bei aktivierter Redundanz k nnen die Benutzerfirewall Logins nicht zwi schen den mGuards synchronisiert werden Auf der virtuellen IP Adresse stellt der mGuard keine Benutzeroberfl che zur Verf gung Darum ist es nicht m glich sich dort als Benutzer der Benutzerfirewall anzumelden gt Bei Ger ten die am LAN Port des mGuards angeschlossen sind muss die interne virtuelle I
143. beitet der mGuard im PPPoE Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten siehe Netzwerksicherheit DoS Schutz auf Seite 188 Ist NAT nicht aktiviert k nnen eventuell nur VPN Verbindungen genutzt werden F r die weitere Konfiguration des Netzwerkmodus PPPoE siehe Netz werk Modus PPPoE auf Seite 125 PPTP hnlich dem PPPoE Modus In sterreich zum Beispiel wird statt des PPPoE Protokolls das PPTP Protokoll zur DSL Anbindung verwendet PPTP ist das Protokoll das urspr nglich von Microsoft f r VPN Verbin dungen benutzt worden ist Wird der mGuard im PPTP Modus betrieben muss bei lokal ange schlossenen Rechnern der mGuard als Standardgateway festgelegt sein D h bei diesen Rechnern ist die IP Adresse des LAN Ports des mGuard als Standardgateway anzugeben Konfiguration Menti Netzwerk Nur mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta Nur mGuard industrial RS mit eingebautem Modem oder eingebau tem ISDN Terminaladapter amp Wird der mGuard im PPTP Modus betrieben sollte NAT aktiviert wer den um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhal ten siehe Netzwerksicherheit DoS Schutz auf Seite 188 Ist NAT nicht aktiviert k nnen eventuell nur VPN Verbindungen genutzt wer den F r die weitere Konfiguration des Netzwerkmodus PPTP siehe Netzwerk Modus PPTP auf Seite 126 Modem Nur bei mG
144. ben Eine Namens vergabe ist also zwingend erforderlich Zertifikats Kopie erstellen Aus dem importierten CA Zertifikat k nnen Sie eine Kopie erzeugen Gehen Sie dazu wie folgt vor Beim betreffenden CA Zertifikat neben dem Zeilentitel Zertifikat herunterla den auf die Schaltfl che Aktuelle Zertifikatsdatei klicken Im sich daraufhin ffnenden Dialogfeld die gew nschten Angaben machen Ein Gegenstellenzertifikat ist die Kopie des Zertifikats mit dem sich eine Gegen stelle beim mGuard ausweist Gegenstellenzertifikate haben Sie von Bedienern m glicher Gegenstellen auf vertrauensw rdigem Wege als Datei Dateinamen Erweiterung cer pem oder crt erhalten Diese Datei laden Sie in den mGuard damit die wechselseitige Authentifizierung gelingen kann Es k nnen die Gegenstellenzertifikate mehrerer m glicher Gegenstellen geladen werden B Das Gegenstellenzertifikat f r das Authentifizieren einer VPN Verbindung bzw der Kan le einer VPN Verbindung wird im Men Psec VPN Ver bindungen installiert Weitere Erl uterungen siehe Authentifizierung Zertifikate auf Seite 163 Beispiel f r importierte Gegenstellenzertifikate Konfiguration Menti Authentifizierung Authentifizierung Zertifikate Gegenstellenzertifikate Dx ME 7777 SEE CN Meyer Ralf L MA OU Wartung O Beispiel Lieferant C DE E CN Web Subca 01 0 Sample Web Securities Inc C UK Von Mar 20 19 14 05 2007 GMT bis Mar 20 19 14 05 2010 GMT
145. benen Regeln treten nur in Kraft wenn der Schalter Aktiviere HTTPS Fernzugang auf Ja steht Weil Zugriffe von Intern auch m glich sind wenn dieser Schalter auf Nein steht tritt f r diesen Fall eine Firewallre gel die den Zugriff von Intern verwehren w rde nicht in Kraft Bei den Angaben haben Sie folgende M glichkeiten Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt beziehungsweise verboten ist e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Interface Extern Intern Extern 2 VPN Einwahl Gibt an f r welches Interface die Regel gelten soll Sind keine Regeln gesetzt oder greift keine Regel gelten folgende Standar deinstellungen HTTPS Zugriff ist erlaubt ber ntern VPN und Einwahl Zugriffe ber Ex tern und Extern 2 werden verwehrt Legen Sie die Zugriffsm glichkeiten nach Bedarf fest Vorsicht 1 Extern 2 und Einwahl nur bei Ger ten mit serieller Schnittstelle Siehe Netz werk Interfaces auf Seite 109 Konfiguration Menti Verwaltung Wenn Sie Zugriffe ber Intern VPN oder Einwahl verwehren wollen m ssen Sie das explizit durch entsprechende Firewallregeln bewirken in der Sie als Aktion z B Verwerfen festlegen Damit Sie sich nicht aussperren m ssen Sie eventuell gleichzeitig den Zugriff ber ein ander
146. berfl che von entfernten Rechnern aus konfi guriert werden Das hei t auf dem entfernten Rechner wird der Browser benutzt um den mGuard zu konfigurieren Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass sichere Passw rter f r root und admin festgelegt sind Um HTTPS Fernzugang zu erm glichen machen Sie nachfolgende Einstellun gen Web Zugriff ber HTTPS Aktiviere HTTPS Fernzugang Ja Nein Wollen Sie HTTPS Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja HTTPS Fernzugriff ber ntern d h aus dem direkt angeschlossenen LAN oder vom direkt angeschlossenen Rechner aus ist unabh ngig von die ser Schalterstellung m glich Um Zugriffsm glichkeiten auf den mGuard differenziert festzulegen m ssen Sie auf dieser Seite unter Erlaubte Netzwerke die Firewall Regeln f r die verf gbaren Interfaces entsprechend definieren Zus tzlich m ssen gegebenenfalls unter Benutzerauthentifizierung die Authentifizierungsregeln gesetzt werden Port f r HTTPS Verbindungen nur Fernzugang Standard 443 Wird diese Port Nummer ge ndert gilt die ge nderte Port Nummer nur f r Zugriffe ber das Interface Extern Extern 2 VPN und Einwahl F r internen Zugriff gilt weiterhin 443 Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressen angabe hinter der IP Adresse gegebenenfalls die Port Nummer angeben die hier festgeleg
147. bt an ob die Uhr einmal mit der ak tuellen Zeit synchronisiert wurde Die eingebaute Uhr wird immer dann syn chronisiert wenn die Systemzeit des mGuards synchronisiert wurde Ist die Uhr einmal synchronisiert wechselt ihr Zustand nur dann wieder auf nicht synchronisiert wenn die Firmware neu auf das Ger t aufgebracht wird siehe Kapitel 7 3 Flashen der Firmware auf Seite 266 oder wenn bei ausgeschal tetem Ger t der Kondensator mGuard industrial RS beziehungsweise die Batterie mGuard delta die eingebaute Uhr zwischenzeitlich nicht mehr hin reichend unter Spannung hielt Lokale Systemzeit Hier k nnen Sie die Zeit des mGuards setzen falls kein NTP Server einge stellt wurde s u oder aber der NTP Server nicht erreichbar ist Das Datum und die Zeit werden in dem Format JJJJ MM TT HH MM SS an gegeben JI Jahr MM Monat TT Tag HH Stunde MM Minute SS Sekunde Zeitzone in POSIX 1 Notation Soll oben unter Aktuelle Systemzeit nicht die mittlere Greenwich Zeit ange zeigt werden sondern Ihre aktuelle Ortszeit abweichend von der mittleren 64 von 283 Konfiguration Menti Verwaltung Greenwich Zeit dann tragen Sie hier ein um wieviel Stunden bei Ihnen die Zeit voraus bzw zur ck ist Beispiele In Berlin ist die Uhrzeit der mittleren Greenwich Zeit um 1 Stunde voraus Also tragen Sie ein MEZ 1 In New York geht die Uhr bezogen auf die mittlere Greenwich Zeit um 5 Stunden nach Als
148. ch ISAKMP SA auf der Konfigurationsseite der Verbindung sind korrekt IPsec Status IPsec Status ist mit established angegeben wenn die IPsec Verschl sse lung bei der Kommunikation aktiviert ist In diesem Fall sind auch die Anga ben unter IPsec SA und Tunneleinstellungen korrekt Bei Problemen empfiehlt es sich in die VPN Logs der Gegenstelle zu schauen 233 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 234 von 283 zu der die Verbindung aufgebaut wurde Denn der initiierende Rechner bekommt aus Sicherheitsgrtinden keine ausftihrlichen Fehlermeldungen zugesandt Falls angezeigt wird ISAKMP SA established IPsec State WAITING Dann bedeutet das Die Authentifizierung war erfolgreich jedoch stimmten die anderen Parameter nicht Stimmt der Verbindungstyp Tunnel Transport tiberein Wenn Tunnel gew hlt ist stimmen die Netzbereiche auf beiden Seiten berein Falls angezeigt wird IPsec State IPsec SA established Dann bedeutet das Die VPN Verbindung ist erfolgreich aufgebaut und kann genutzt werden Sollte dies dennoch nicht m glich sein dann macht das VPN Gateway der Gegenstelle Probleme In diesem Fall die Verbindung deaktivieren und wieder aktivieren um die Verbindung erneut aufzubauen Konfiguration Menti SEC Stick 6 10 Men SEC Stick 6 10 1 Global Zugriff Der mGuard unterst tzt die Nutzung eines SEC Sticks ein Zugriffsschutz f r IT Systeme Der SEC
149. ch das PPP werden den Clients automatisch IP Adressen zugewiesen Um IPsec L2TP zu nutzen muss der L2TP Server aktiviert werden sowie eine oder mehrere IPsec Verbindungen mit den folgenden Eigenschaften eingerichtet werden e Typ Transport e Protokoll UDP e Lokaler Port all e Remote Port all e PFS Nein Siehe auch gt Weitere Einstellungen nach Klicken auf Mehr auf Seite 219 sowie IKE Optionen auf Seite 229 L2TP Server IPsec VPN L2TP iiber IPsec L2TP Server Einstellungen SSSI eat Gen USEC Inc Si Lokale IP f r L2TP Verbindungen zo 106 1051 M Anfang IP Bereich der Gegenstellen 0 106 106 232 Bitte beachten Sie Diese Einstellungen gelten nicht im Stealth Modus Status The L2TP daemon isn t running Einstellungen Starte L2TP Server f r IPsec L2TP Ja Nein Wollen Sie IPsec L2TP Verbindungen erm glichen setzen Sie diesen Schal ter auf Ja ber IPsec k nnen dann zum mGuard L2TP Verbindungen aufgebaut wer den ber welche den Clients dynamisch IP Adressen innerhalb des VPNs zu geteilt werden Lokale IP f r L2TP Verbindungen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle mit er habe die Adresse 10 106 106 1 Anfang Ende IP Bereich der Gegenstellen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle eine IP Adres se zwischen 10 106 106 2 und 10 106 106 254 mit Status Informiert ber den L2TP Status wenn dieser als Verbindungstyp gew hlt i
150. che auf eingehende VPN Verbindungen die ein gekapselt sind NEIN Untermen Verbindungen Register Allgemein Adresse des VPN Gateways der Gegenstelle Feste IP Adresse oder Hostname Verbindungsinitiierung Initiiere oder Initiiere bei Datenverkehr Kapsele den VPN Datenverkehr in TCP ein JA 209 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Horche auf eingehende VPN Verbindungen die eingekapselt sind Ja Nein Standardeinstellung Nein Nur bei Einsatz der Funktion TCP Kapselung die sen Schalter auf Ja setzen Nur dann kann der mGuard Verbindungsaufbauten mit eingekapselten Paketen annehmen TCP Port auf dem zu horchen ist Nummer des TCP Ports tiber den die zu empfangenen eingekapselten Daten pakete eingehen Die hier angegebene Portnummer muss mit der Portnummer bereinstimmen die beim mGuard der Gegenstelle als TCP Port des Ser vers welche die gekapselte Verbindung annimmt festgelegt ist Men punkt Psec VPN Verbindungen Editieren Registerkarte Allgemein Es gelten folgende Einschr nkungen Der Port auf dem zu horchen ist darf nicht identisch sein mit einem Port der f r Fernzugriff benutzt wird SSH HTTPS oder SEC Stick Der Port auf dem zu horchen ist darf nicht identisch sein mit einem Port dessen Verkehr durch die Virenschutzfunktion gefiltertet wird SMTP POP3 FTP HTTP Server ID 0 63 Der Standardwert 0 muss normalerweise nicht ge ndert werden Die Nu
151. d Einge hender Ruf auf Seite 136 Auf der Registerkarte Modem Konsole nehmen Sie Anschlusseinstellungen f r ein externes Modem vor Siehe Modem Konsole auf Seite 139 Beim mGuard industrial RS auch Eingebautes Modem nur beim mGuard industrial RS mit eingebautem Modem oder ISDN Terminaladapter als Option verf gbar Die Konfiguration der internen Netzwerke ist im n chsten Abschnitt erkl rt 127 von 283 Konfiguration Menti Netzwerk Netzwerk Modus Router PPPoE PPTP oder Modem Eingebautes Modem Interne Netzwerke 128 von 283 Interne IPs gesicherter Port Interne IP ist die IP Adresse unter der der mGuard von Ger ten des lokal an geschlossenen Netzes erreichbar ist Im Router PPPoE PPTP Modem Modus ist werkseitig voreingestellt IP Adresse 192 168 1 1 Netzmaske 255 255 255 0 Sie k nnen weitere Adressen festlegen unter der der mGuard von Ger ten des lokal angeschlossenen Netzes angesprochen werden kann Das ist zum Bei spiel dann hilfreich wenn das lokal angeschlossene Netz in Subnetze unter teilt wird Dann k nnen mehrere Ger te aus verschiedenen Subnetzen den mGuard unter unterschiedlichen Adressen erreichen IP IP Adresse unter welcher der mGuard ber seinen LAN Port erreichbar sein soll Netzmaske Die Netzmaske des am LAN Port angeschlossenen Netzes Verwende VLAN Wenn die IP Adresse innerhalb eines VLANs liegen soll ist diese Option auf Ja zu setzen
152. d und vielen anderen europ ischen L nder wird das ISDN Pro tokoll EuroISDN verwendet auch NET3 genannt Ansonsten ist l nderspezifisch festgelegt welches ISDN Protokoll benutzt wird Muss gegebenenfalls bei der zust ndigen Telefongesellschaft erfragt werden Layer 2 Protokoll Das Regelwerk ber das sich der ISDN Terminaladapter des lokalen mGuard mit seiner ISDN Gegenstelle verst ndigt Das ist im Allgemeinen das ISDN 143 von 283 Konfiguration Menti Netzwerk Modem des Internet Service Providers tiber das die Verbindung ins Internet hergestellt wird Muss beim Internet Service Provider erfragt werden Sehr h ufig wird PPP ML PPP verwendet 144 von 283 Konfiguration Menti Netzwerk 6 4 2 Netzwerk NAT Masquerading Masquerading Portweiterleitung Network Address Translation IP Masquerading Dx ee SE EECH Kommentiere SI Extern z 0 0 0 0 0 Diese Regeln lassen Verkehr von den hier angegeben IP Adressen normalerweise Adressen aus dem privaten Adress Bereich auf die Adresse des mGuard umschreiben Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus 1 1 NAT EST Lokales netzwerk Externes Netzwerk __Netzmaske _ ___xommenter L 0 0 0 0 0 0 0 0 24 Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus Network Address Translation IP Masquerading Listet die festgelegten Regeln f r NAT Network Address Translation auf Das Ger t kann bei ausgehenden Datenpaketen die in i
153. das pri m re externe Interface geleitet und das sekund re externe Interface wird deakti viert Die fortlaufend durchgef hrten Ping Tests dienen also dazu zu berpr fen ob bestimmte Ziele ber das prim re externe Interface erreichbar sind Bei Nichter reichbarkeit wird das sekund re externe Interface f r die Dauer der Nichterreich barkeit aktiviert Typ Ziel Legen Sie den Ping Typ des Ping Request Pakets fest das der mGuard zum Ger t mit der IP Adresse aussenden soll die Sie unter Ziel angeben Sie k nnen mehrere solcher Ping Tests auch zu unterschiedlichen Zielen kon figurieren Erfolg Misserfolg Ein Ping Test gilt dann als erfolgreich absolviert wenn der mGuard innerhalb von 4 Sekunden eine positive Reaktion auf das ausgesandte Ping Request Pa ket erh lt Bei einer positiven Reaktion gilt die Gegenstelle als erreichbar Ping Typen IKE Ping Ermittelt ob unter der angegebenen IP Adresse ein VPN Gateway er reichbar ist ICMP Ping Ermittelt ob unter der angegebenen IP Adresse ein Ger t erreichbar ist Der gebr uchlichste Ping Test Die Reaktion auf solche Ping Tests ist bei manchen Ger ten aber ausgeschaltet so dass sie nicht reagieren obwohl sie erreichbar sind DNS Ping 117 von 283 Konfiguration Menti Netzwerk 118 von 283 Ermittelt ob unter der angegebenen IP Adresse ein funktionierender DNS Server erreichbar ist An den DNS Server mit der angegebenen IP Adresse wird eine
154. das vom SSH Client vorgezeigt wird Dadurch ist es m glich den Zugriff von SSH Clients die der mGuard auf Grundlage von Zertifikatspr fungen im Prinzip akzeptieren w rde wie folgt zu beschr nken bzw freizu geben Beschr nkung auf bestimmte Subjects d h Personen und oder auf Subjects die bestimmte Merkmale Attribute haben oder Freigabe f r alle Subjects Siehe dazu auch im Glossar unter Subject Zertifikat Das Feld X 509 Subject darf nicht leer bleiben Freigabe f r alle Subjects d h Personen Mit Sternchen im Feld X 509 Subject legen Sie fest dass im vom SSH Cli ent vorgezeigten Zertifikat beliebige Subject Eintr ge erlaubt sind Dann ist es berfl ssig das im Zertifikat jeweils angegebene Subject zu kennen oder festzulegen Beschr nkung auf bestimmte Subjects d h Personen und oder auf Subjects die bestimmte Merkmale Attribute haben Im Zertifikat wird der Zertifikatsinhaber im Feld Subject angegeben dessen Eintrag sich aus mehreren Attributen zusammensetzt Diese Attribute werden entweder als Object Identifier ausgedr ckt z B 132 3 7 32 1 oder gel u figer als Buchstabenk rzel mit einem entsprechenden Wert Beispiel CN Max Muster O Fernwartung GmbH C DE Sollen bestimmte Attribute des Subjects ganz bestimmte Werte haben damit der mGuard den SSH Client akzeptiert muss das entsprechend spezifiziert werden Die Werte der anderen Attribute die beliebig sein k nnen w
155. dass er eine Fernkonfiguration zul sst Bo Standardm ig ist die M glichkeit zur Fernkonfiguration ausgeschaltet Um die M glichkeit zur Fernkonfiguration einzuschalten siehe Abschnitt Ver waltung Web Einstellungen Zugriff auf Seite 75 Fernkonfiguration Um von einem entfernten Rechner aus den mGuard ber seine Web Oberfl che zu konfigurieren stellen Sie von dort die Verbindung zum mGuard her Gehen Sie wie folgt vor 1 Starten Sie dazu auf dem entfernten Rechner den Web Browser z B Fire fox MS Internet Explorer oder Safari der Web Browser muss HTTPS unterst tzen Als Adresse geben Sie an Die IP Adresse unter der der mGuard von extern ber das Internet bzw WAN erreichbar ist gegebenenfalls zus tzlich die Port Nummer Beispiel Ist dieser mGuard ber die Adresse https 123 45 67 89 ber das Internet zu erreichen und ist f r den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser folgende Adresse an gegeben werden https 123 45 67 89 Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B https 123 45 67 89 442 Zur Konfiguration machen Sie auf den einzelnen Seiten der mGuard Oberfl che die gew nschten bzw erforderlichen Angaben Siehe Konfiguration auf Seite 57 56 von 283 Konfiguration Bedienung 6 Konfiguration 6 1 Bedienung Bildschirmaufteilung 1 Uber das Men links den Eintrag f
156. dem oben beschriebenem Verfahren ein Konfigurationsprofil als Datei auf dem Konfigurations Rechners gespeichert 1 Hinter Hochladen einer Konfiguration als Profil in das Feld Name des neuen Profils den gew nschten Profil Namen eintragen 2 Auf die Schaltfl che Durchsuchen klicken und im angezeigten Dialog feld die betreffende Datei selektieren und ffnen 3 Auf die Schaltfl che Hochladen klicken Folge Das Konfigurationsprofil wird in den mGuard geladen und der in Schritt 1 vergebene Name wird in der Liste der bereits im mGuard gespeicherten Pro file angezeigt Konfigurationsprofile k nnen auch auf einem externen Autokonfigurations Adapter ACA abgelegt werden Dazu den ACA an die V 24 Buchse ACA11 oder USB Buchse ACA21 des EAGLE mGuard anschlie en 90 von 283 Konfiguration Menti Verwaltung Profil auf dem ACA speichern 1 Wenn das Root Passwort auf dem EAGLE mGuard auf welchem das Profil sp ter wieder eingelesen werden soll ungleich root ist dann muss dieses Passwort in das Feld Das root Passwort zur Speicherung auf dem ACA eingegeben werden 2 Auf die Schaltfl che Speichern klicken Folge Die LED STATUS blinkt beim ACA11 auch die LED V 24 bis das Spei chern beendet ist Profil vom ACA laden Den ACA in die V 24 Buchse des EAGLE mGuard einstecken Bei eingesteck tem ACA den EAGLE mGuard starten Das Root Passwort des mGuards muss entweder root lauten oder dem w h
157. den darf B gt Bei VLAN Interface Da die VLAN Pakete 4 Byte l nger als Pakete ohne VLAN sind haben be stimmte Treiber Probleme mit der Verarbeitung der gr eren Pakete Eine Reduzierung der MTU auf 1496 kann dieses Problem beseitigen MAU Konfiguration Konfiguration und Statusanzeige der Ethernetanschl sse Port Name des Ethernetanschlusses auf welchen sich die Zeile bezieht Medientyp Medientyp des Ethernetanschlusses Linkstatus Verbunden Die Verbindung ist aufgebaut Nicht verbunden Die Verbindung ist nicht aufgebaut Automatische Konfiguration Ja Nein Ja Versuche die ben tigte Betriebsart automatisch zu ermitteln Nein Verwende die vorgegebene Betriebsart aus der Spalte Manuelle Kon figuration B gt Beim Anschluss des mGuard industrial RS oder des EAGLE mGuard an ei nen Hub ist Folgendes zu beachten Bei deaktivierter Automatischer Konfigu ration wird auch die Auto MDIX Funktion deaktiviert d h der Port des mGuard industrial RS bzw EAGLE mGuard muss entweder an den Uplink Port des Hub oder mittels eines Cross Link Kabels mit dem Hub verbunden werden Manuelle Konfiguration Die gew nschte Betriebsart wenn Automatische Konfiguration auf Nein ge stellt ist 129 von 283 Konfiguration Menti Netzwerk Aktuelle Betriebsart Die aktuelle Betriebsart des Netzwerkanschlusses Port On Ja Nein nur mGuard industrial RS EAGLE mGuard und mGuard smart Schaltet den Ethernetanschluss
158. den muss ist diese der anzuw hlenden Telefonnummer der ge w nschten Gegenstelle voran zu stellen Lautst rke eingebauter Lautsprecher Lautsprechernutzung Diese beiden Einstellungen legen fest was der eingebaute Lautsprecher des mGuard wiedergeben soll und in welcher Lautst rke Beim mGuard industrial RS mit eingebautem ISDN Terminaladapter Externes Modem Hardware handshake RTS CTS Aus 5 Baudrate 57600 Verwende das Modem transparent nur bei Einwahl ja Modem Initialisierungssequenz d dATH OK Eingebautes Modem ISDN Erste MSN Zweite MSN ISDN Protokoll EuroISDN NET3 Layer 2 Protokoll PPP ML PPP Externes Modem Wie beim mGuard industrial RS ohne eingebautes Modem mGuard blade EAGLE mGuard und mGuard delta Konfiguration wie oben fiir Externes Modem siche oben unter Externes Mo dem auf Seite 140 Eingebautes Modem ISDN Erste MSN Bei ausgehenden Rufen bertr gt der mGuard die hier eingetragene MSN Multiple Subscriber Number zur angerufenen Gegenstelle Au erdem ist der mGuard unter dieser MSN f r eingehende Anrufe erreichbar sofern Ein wahl erm glicht ist siehe Registerkarte Allgemein Max 25 Ziffern Zeichen folgende Sonderzeichen k nnen verwendet wer den H Doppelpunkt Zweite MSN Soll der mGuard f r Einwahl sofern erm glicht zus tzlich unter einer ande ren Nummer erreichbar sein tragen Sie hier eine zweite MSN ein ISDN Protokoll In Deutschlan
159. der Eintrag unnamed nicht sichtbar sein in der Tabelle der Regel s tze eine weitere Zeile ffnen Regelsatz bearbeiten Rechts im betreffenden Eintrag auf die Schaltfl che Editieren klicken Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Regelsatz DO Besteht ein Firewall Regelsatz aus mehreren Firewall Regeln werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine pas sende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Aktiv Ja Nein Aktiviert deaktiviert den betreffenden Regelsatz Name Name des Regelsatzes Der Name ist beim Erstellen des Regelsatzes festge legt worden Nach Klicken auf die Schaltfl che Editieren wird die Seite Regelsatz angezeigt Netzwerksicherheit Paketfilter Mitarbeiter C Regelsatz Allgemein Ein beschreibender Name f r den Satz Mitarbeiter EEE Aktiv De Si Firewall Regeln Log ID fw ruleset O00 NN0 Oc328834 255t eet D se DEE Heft Zllboo og Jany 0 0 0 0 0 Iz r a ee EN e e Fe e Be El Allgemein Ein beschreibender Name f r den Satz Frei zu vergebender Name Er ist frei w hlbar muss aber einen Regelsatz ein deutig definieren ber diesen Namen kann ein Regelsatz aus der Liste der Eingangs und Ausgangsregeln referenziert werden Dazu wird der betreffen de Regelsatz Name d
160. der Ethernetstatus LED 1 zeigt den Status des LAN blinkend Ports LED 3 den Status des WAN Ports Sobald das Ger t am Netzwerk angeschlossen ist zeigt kontinuierliches Leuchten an dass eine Verbind ung zum Netzwerk Partner besteht Bei der bertragung von Datenpaketen erlischt kurzzeitig die LED 1 2 3 div LED Leuchtcodes Recovery Modus Nach Dr cken der Rescue Taste Siehe Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware auf Seite 265 17 von 283 Bedienelemente und Anzeigen 3 3 mGuard PCI LAN Gr n u LAN Rot RW WAN Griin WAN Rot WAN LEDs Zustand Bedeutung WAN Rot blinkend Bootvorgang Nach dem Starten oder Neustarten des LAN Rot Rechners WAN Rot blinkend Systemfehler gt F hren Sie einen Neustart durch Dazu die Rescue Taste kurz 1 5 Sek dr cken ODER Starten Sie den Computer neu Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 265 oder wenden Sie sich an den Support WAN Gr n leuchtend oder Ethernetstatus Zeigt den Status vom LAN bzw WAN Inter LAN Gr n blinkend face Sobald das Ger t angeschlossen ist zeigt kontinuierliches Leuchten an dass eine Verbindung zum Netzwerk Partner besteht Bei der bertragung von Datenpaketen erlischt kurzzeitig die LED WAN Gr n div LED Recovery Modus Nach Dr cken
161. der Installation eines Ma jor Release Upgrades z B von Version 4 x y auf 5 x y oder von Version 5 x y auf Version 6 x y f r das betreffende Ger t erst eine Lizenz erworben werden Die Lizenz muss vor der Durchf hrung des Firmware Updates auf dem Ger t installiert werden siehe 6 2 3 Verwaltung Lizenzierung In stallieren auf Seite 83 Minor Release Upgrades bedeutet gleichbleibende Hauptversion z B in nerhalb von 5 x y k nnen bis auf Weiteres ohne Lizenz installiert werden Lokales Update Dateiname Zur Installation von Paketen gehen Sie wie folgt vor 1 Die Schaltfl che Durchsuchen klicken die Datei selektieren und ffnen 86 von 283 Konfiguration Menti Verwaltung so dass ihr Pfad bzw Dateiname im Feld Dateiname angezeigt wird Das Format des Dateinamens muss lauten update a b c d e f default tar gz 2 Dann die Schaltflache Installiere Pakete klicken Online Update Um ein Online Update durchzuf hren gehen Sie wie folgt vor 1 Stellen Sie sicher dass unter Update Server mindestens ein giiltiger Eintrag vorhanden ist Die daf r n tigen Angaben haben Sie von Ihrem Lizenzgeber erhalten 2 Geben Sie den Namen des Package Sets ein z B update 4 0 x 4 1 0 3 Dann die Schaltfl che Installiere Package Set klicken Automatische Updates Dieses ist eine Variante des Online Updates bei welcher der mGuard das ben tigte Package Set eigenst ndig ermittelt Neuestes Patch Rele
162. der zum ffentlichen Schl ssel im Zertifikat passt Der Name des Ausstellers eines Zertifikats wird im Zertifikat als Issuer aufge f hrt der Name des Inhabers eines Zertifikats als Subject Ist ein Zertifikat nicht von einer CA Certificate Authority signiert sondern vom Zertifikatsinhaber selber spricht man von einem selbst signierten Zertifikat In selbst signierten Zertifikaten wird der Name des Zertifikatsinhabers sowohl als Issuer als auch als Subject aufgef hrt Selbst signierte Zertifikate werden benutzt wenn die Kommunikationspartner den Vorgang der X 509 Authentifizierung verwenden wollen oder m ssen ohne ein offizielles Zertifikat zu haben oder zu benutzen Diese Art der Authentifizie rung sollte aber nur unter Kommunikationspartnern Verwendung finden die sich gut kennen und deswegen vertrauen Sonst sind solche Zertifikate unter dem Sicherheitsaspekt genauso wertlos wie z B selbst erstellte Ausweispapiere die keinen Beh rdenstempel tragen Zertifikate werden von kommunizierenden Maschinen Menschen bei der Ver bindungsaufnahme einander vorgezeigt sofern zur Verbindungsaufnahme die X 509 Authentifizierung verwendet wird Beim mGuard k nnen das die fol genden Anwendungen sein e Authentifizierung der Kommunikationspartner bei der Herstellung von VPN Verbindungen siehe IPsec VPN Verbindungen Authentifizie rung auf Seite 222 e Verwaltung des mGuard per SSH Shell Zugang siehe Verwaltun
163. die IP Netzmas ke ganz rechts die entsprechende CIDR Schreibweise 255 254 252 248 240 224 192 128 OO OO OO OO bin r 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Be
164. die beim Ausliefe Die Rescue Taste fiir Neustart Recovery Prozedur und Flashen der Firmware rungszustand des Ger tes m ssen Sie eine Lizenz f r die Nutzung dieses Updates erwerben Das gilt f r Major Release Upgrades also z B bei Upgrade von Version 4 x y zu Version 5 x y zu Version 6 x y usw DHCP und TFTP Server sind unter der gleiche IP Adresse zu erreichen siehe Voraussetzungen zum Flashen der Firmware DHCP und TFTP Ser ver auf Seite 268 mGuard PCI Wird der mGuard im Power over PCI Modus betrieben muss der DHCP TFTP Server ber die LAN Buchse des mGuard angeschlossen sein Wird der mGuard im PCI Treibermodus betrieben muss der DHCP TFTP Server auf dem Rechner bzw unter dem Betriebssystem ausgef hrt werden das die Schnittstelle zum mGuard bereitstellt Rescue Taste gedr ckt halten bis der Recovery Status wie folgt eintritt Der mGuard wird neu gestartet nach ca 1 5 Sekunden nach weiteren ca 1 5 Sekunden gelangt der mGuard in den Recovery Status e mGuard industrial RS die LEDs State LAN und WAN leuch ten gr n e smart alle LEDs leuchten gr n e blade PCI die gr nen sowie die rote LAN LED leuchten e EAGLE mGuard die LEDs 1 2 und V 24 leuchten e delta die Status LED wird langsam dunkel Sp testens 1 Sekunde nach Eintritt des Recovery Status die Rescue Taste loslassen Falls Sie die Rescue Taste nicht loslassen wird der mGuard neu gestartet Der mGuard startet nun das R
165. die hier festgelegt ist SNMPv1 v2 Community Lesen und schreiben Nur lesen Geben Sie in diese Felder die erforderlichen Login Daten ein Erlaubte Netzwerke Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Da tenpakete eines SNMP Zugriffs Die hier angegebenen Regeln treten nur in Kraft wenn der Schalter Aktiviere SNMPv3 oder Aktiviere SNMPv1 v2 auf Ja steht Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt beziehungsweise verboten ist Bei den Angaben haben Sie folgende M glichkeiten Eine IP Addresse e Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 e 0 0 0 0 0 bedeutet alle Adressen Interface Extern Intern Extern 2 VPN Einwahl Gibt an f r welches Interface die Regel gelten soll 1 Extern 2 und Einwahl nur bei Ger ten mit serieller Schnittstelle Siehe Netz werk Interfaces auf Seite 109 93 von 283 Konfiguration Menti Verwaltung 94 von 283 Sind keine Regeln gesetzt oder greift keine Regel gelten folgende Standar deinstellungen S
166. dneten Benutzer namen Legt auBerdem die Authentifizierungsmethode fest Aktiviere Benutzer Firewall Ja Nein Unter dem Men punkt Netzwerksicherheit Benutzerfirewall k nnen Fire wall Regeln definiert werden die dort bestimmten Firewall Benutzern zuge ordnet werden Mit Ja legen Sie fest dass die den unten aufgelisteten Benutzern zugeord neten Firewallregeln in Kraft gesetzt werden sobald sich betreffende Benut zer anmelden Aktiviere Gruppenauthentifizierung Ja Nein Wenn aktiviert leitet der mGuard Logins fir ihn unbekannte Benutzer an den RADIUS Server weiter Bei Erfolg wird die Antwort des RADIUS Servers einen Gruppennamen enthalten Der mGuard wird dann Benutzerfirewall Templates freischalten die diesen Gruppennamen als Template Benutzer ein getragen haben Der RADIUS Server muss so konfiguriert werden dass dieser den Gruppen namen im Access Accept Packet als Filter ID lt gruppenname gt Attribut mitschickt Benutzername Name den der Benutzer angeben muss wenn er sich anmeldet Authentifizierungsmethode RADIUS Local DB Local DB Ist Local DB ausgew hlt muss in der Spalte Benutzerpasswort das Passwort eingetragen werden das dem Benutzer zugeordnet ist und das dieser neben seinem Benutzernamen angeben muss wenn er sich anmeldet Radius Ist RADIUS ausgew hlt kann das Passwort f r den Benutzer auf dem RADIUS Server hinterlegt werden Benutzerpasswort Nur aktiv wenn als Au
167. dresse Geben Sie hier eine weitere IP an ber welche der mGuard administriert werden kann Wenn Sie Stealth Konfiguration auf mehrere Clients gestellt haben dann ist der Fernzugang nur ber diese IP m glich Die IP Adresse 0 0 0 0 deaktiviert diese Funktion Achtung Bei automatischer Stealth Konfiguration wird VLAN f r die Management IP nicht unterst tzt IP Adresse 0 0 0 0 Netzmaske Jo 0 0 0 Default gateway 0 0 0 0 Verende Manageme vian er H Manogement vian 10 OOO Statische Routen Die folgenden Einstellungen betreffen die vom mGuard erzeugten Netzwerkpakete Route folgende Netzwerke ber alternative Gateways SE ayy Ji92 168 101 0 24 Statische Stealth Konfiguration IP Adresse des Clients gt MAC Adresse des Clients 1 8 0 0 0 0 he Stealth Konfiguration automatisch statisch mehrere Clients automatisch Standard Der mGuard analysiert den Netzwerkverkehr der ber ihn l uft und konfiguriert dementsprechend seine Netzwerkanbindung eigenstandig Er arbeitet transparent statisch Wenn der mGuard keinen tiber ihn laufenden Netzwerkverkehr analysieren kann z B weil zum lokal angeschlossenen Rechner nur Daten ein aber nicht ausgehen dann muss die Stealth Konfiguration auf statisch gesetzt werden In diesem Fall stellt die Seite unten weitere Eingabefelder zur stati schen Stealth Konfiguration zur Verfiigung mehrere Clients Wie bei automatisch es k nnen jedoch mehr als nur ein Rech
168. dressierung von Subnetzen zu benutzen So kann beim Class B Netz 2 Byte f r Netzwerk Adresse 2 Byte f r Host Adresse mit Hilfe der Subnetz Maske 255 255 255 0 das 3 Byte das eigentlich f r Host Adressierung vorgesehen war jetzt f r Subnetz Adressierung verwen det werden Rein rechnerisch k nnen so 256 Subnetze mit jeweils 256 Hosts ent stehen IP Security IPsec ist ein Standard der es erm glicht bei IP Datagrammen gt Datagramm die Authentizit t des Absenders die Vertraulichkeit und die Integrit t der Daten durch Verschl sselung zu wahren Die Bestandteile von IP sec sind der Authentication Header AH die Encapsulating Security Payload ESP die Security Association SA und der Internet Key Exchange IKE Zu Beginn der Kommunikation kl ren die an der Kommunikation beteiligten Rechner das benutzte Verfahren und dessen Implikationen wie z B Transport 274 von 283 Glossar Subject Zertifikat Mode oder Tunnel Mode Im Transport Mode wird in jedes IP Datagramm zwischen IP Header und TCP bzw UDP Header ein IPsec Header eingesetzt Da dadurch der IP Header un ver ndert bleibt ist dieser Modus nur f r eine Host zu Host Verbindung geeig net Im Tunnel Mode wird dem gesamten IP Datagramm ein IPsec Header und ein neuer IP Header vorangestellt D h das urspr ngliche Datagramm wird insge samt verschl sselt in der Payload des neuen Datagramms untergebracht Der Tunnel Mode findet beim VPN Anwendung
169. e Hostname beim DynDNS Service sofern Sie einen DynDNS Dienst benutzen und oben die entsprechenden Angaben 152 von 283 Konfiguration Menti Netzwerk 6 4 4 Internes Externes DHCP gemacht haben Unter diesem Hostnamen ist dann Ihr Rechner der am mGuard angeschlossen ist erreichbar Netzwerk DHCP Modus Mit dem Dynamic Host Configuration Protocol DHCP kann den direkt am mGuard angeschlossenen Rechner automatisch die hier eingestellte Netzwerk konfiguration zugeteilt werden Unter Internes DHCP k nnen Sie DHCP Ein stellungen f r das interne Interface LAN Port vornehmen und unter Externes DHCP die DHCP Einstellungen f r das externe Interface WAN Port B gt Der DHCP Server funktioniert auch im Stealth Modus B gt IP Konfiguration bei Windows Rechnern Wenn Sie den DHCP Server des mGuard starten k nnen Sie die lokal ange schlossenen Rechner so konfigurieren dass sie ihre IP Adressen automatisch beziehen Dazu unter Windows XP Start Systemsteuerung Netzwerkverbindungen Das Symbol des LAN Adapters mit der rechten Maustaste anklicken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Registerkarte Allgemein unter Diese Ver bindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigenschaften klicken Im Dialogfeld Eigenschaften von Internetprotokoll TCP IP die gebotenen
170. e Interface gehen ent scheiden die Routing Einstellungen die f r diese beiden externen Interfaces in Kraft sind Ein Datenpaket kann also grunds tzlich nur das Interface neh men dessen Routing Einstellung f r das vom Datenpaket angesteuerte Ziel passend ist F r die Anwendung von Routing Angaben gelten folgende Regeln Sind mehrere Routing Angaben f r des Ziel eines Datenpaketes pas send entscheidet das kleinste in den Routing Angaben definierte Netz das auf ein Datenpaket Ziel passt welche Route dieses Paket nimmt Beispiel Die externe Route des prim ren externen Interface ist z B mit 10 0 0 0 8 angegeben die externe Route des sekund ren externen In terface mit 10 1 7 0 24 Dann werden Datenpakete zum Netz 10 1 7 0 24 ber das sekund re externe Interface geleitet obwohl f r sie die Routing Angabe f r das prim re externe Interface auch passt Begr n dung Die Routing Angabe f r das sekund re externe Interface be zeichnet ein kleineres Netz 10 1 7 0 24 lt 10 0 0 0 8 Diese Regel gilt nicht im Netzwerkmodus Stealth in Bezug auf die Stealth Management IP Adresse siehe Hinweis unter Stealth Ma nagement IP Adresse auf Seite 120 Sind die Routing Angaben f r das prim re und das sekund re externe Interface identisch dann gewinnt das sekund re externe Interface d h die Datenpakete mit passender Zieladresse werden ber das sekund re externe Interface geleitet Die Routing Einstellunge
171. e Kontroller 6 6 3 Netzwerksicherheit Benutzerfirewall Benutzerfirewall Templates Benutzerfirewall Template editieren Die Benutzerfirewall ist ausschlieBlich bei Firewall Benutzern in Kraft also Be nutzer die sich als Firewall Benutzer angemeldet haben siehe Authentifizie rung Firewall Benutzer auf Seite 160 Jedem Firewall Benutzer kann ein Satz von Firewall Regeln ein sogenanntes Template zugeordnet werden B gt Die Anti Virus Funktion siehe Web Sicherheit HTTP auf Seite 194 Web Sicherheit FTP auf Seite 197 E Mail Sicherheit POP3 auf Seite 200 E Mail Sicherheit SMTP auf Seite 203 hat Vorrang vor den hier definierten Firewall Regeln und kann diese teilweise au er Kraft setzen Dieses Verhalten kann unter Men Netzwerksicherheit Paketfilter Er weiterte Einstellungen mit dem Schalter Auf Viren gescannte Verbin dungen unterliegen Firewall Regeln au er Kraft gesetzt werden siehe Erweiterte Einstellungen Anti Virus Scanner auf Seite 185 Netzwerksicherheit Benutzerfirewall Benutzerfirewall Templates Hier werden alle definierten Benutzerfirewall Templates aufgelistet Ein Temp late kann aus mehreren Firewall Regeln bestehen Ein Template kann mehreren Nutzern zugeordnet sein Template neu definieren In der Tabelle der Templates rechts im Eintrag mit dem Namen unnamed auf die Schaltfl che Editieren klicken Sollte der Eintrag u
172. e beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Der HTTPS Zugriff von der internen Seite ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Methode zur Benutzerauthentifizierung Login mit Passwort Legt fest wie der lokale mGuard die entfernte Gegenstelle authentifi ziert Legt fest dass sich der aus der Ferne zugreifende Bediener des mGuard mit Angabe seines Passwortes beim mGuard anmelden muss Das Passwort ist festgelegt unter Men Authentifizierung Lokale Benutzer siehe in diesem Handbuch unter Authentifizierung Lokale Benutzer auf Seite 158 Je nach dem mit welcher Benutzerkennung der Bediener sich anmeldet User oder Administrator Passwort hat er entsprechende Rechte den mGuard zu bedienen bzw zu konfigurieren 77 von 283 Konfiguration Menti Verwaltung 78 von 283 Login mit X 509 Benutzerzertifikat oder Passwort Legt Folgendes fest 1 Die Benutzerauthentifizierung erfolgt per Login mit Passwort siehe oben ODER 2 Der Browser des Benutzers authentisiert sich mit Hilfe eines X 509 Zerti fikates und einem dazugeh rigen privaten Schl ssel Dazu sind unten weitere Angaben zu machen Ob 1 oder 2 zur Anwendung komm
173. e bedeutet TCP UDP ICMP und andere IP Protokolle Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir 110 Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Rou ting auf Seite 263 Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder nicht Log auf Nein setzen werkseitige Voreinstellung 193 von 283 Konfiguration Menti Web Sicherheit nicht blade Kontroller 6 7 Menu Web Sicherheit nicht blade Kontroller 6 7 1 Web Sicherheit X HTTP Voraussetzungen Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Anti Virus Lizenz Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Verwaltung Lizenzierung auf Seite 82 e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensi gnaturen siehe Abschnitt Verwaltung Update auf Seite 85 Virenschutz Web Sicherheit HTTP Virenschutz
174. e deaktiviert Aktiv Nein werden diese nicht gestartet Damit hat das Starten und Stoppen auf diesem Wege keine Auswirkung auf die Einstel lungen zu den einzelnen Kan len die Liste unter Transport und Tunnelein stellungen Das Starten und Stoppen einer Verbindung per URL macht nur Sinn wenn in der Konfiguration die Verbindung deaktiviert ist Aktiv Nein oder wenn die Ver bindungsinitiierung auf Warte eingestellt ist Ansonsten wird die Verbindung vom mGuard selbst ndig wieder aufgebaut Wird durch Verwendung der oben angegeben URL der Status einer VPN Ver bindung abgefragt k nnen folgende Antworten erwartet werden Antwort Bedeutung unknown Eine VPN Verbindung mit dem Namen existiert nicht void Die Verbindung ist aufgrund eines Fehlers inak tiv zum Beispiel weil das externe Netzwerk gest rt ist oder weil der Hostname der Gegen stelle nicht in eine IP Adresse aufgel st werden konnte DNS ready Die Verbindung ist bereit selbst Kan le aufzu bauen oder hereinkommende Anfragen zum Kanalaufbau zu erlauben active Zu der Verbindung ist mindestens ein Kanal auch wirklich aufgebaut 213 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller 6 9 3 Allgemein VPN Verbindung VPN Verbindungskan le definieren Nach Klicken auf Editieren erscheint je nach Netzwerk Modus des mGuard Stealth Modus oder Router Modus u a siehe Netzwerk Interfaces auf Seite 109 f
175. ecovery System Er sucht ber die LAN Schnittstelle nach einem DHCP Server um von diesem eine IP Adresse zu beziehen Statusanzeige e mGuard industrial RS die State LED blinkt e smart die mittlere LED Heartbeat blinkt e blade PCI die rote LAN LED blinkt e EAGLE mGuard die LEDs 1 2 und V 24 leuchten orange auf e delta die Status LED blinkt Vom TFTP Server wird die Datei install p7s geladen Diese enth lt die elek tronisch unterschriebene Kontrollprozedur f r den Installationsvorgang Nur von Innominate unterschriebene Dateien werden ausgef hrt Die Kontrollprozedur l scht nun den aktuellen Inhalt des Flashspeichers und bereitet die Neuinstallation der Software vor Statusanzeige e mGuard industrial RS die LEDs Modem State und LAN bil den ein Lauflicht e smart die 3 gr nen LEDs bilden ein Lauflicht e blade PCI die gr nen und die rote LAN LED bilden ein Lauflicht e EAGLE mGuard die LEDs 1 2 und V 24 bilden ein Lauflicht e delta die Status LED blinkt schneller Vom TFTP Server wird die Software jffs2 img p7s heruntergeladen und in den Flashspeicher geschrieben Diese Datei enth lt das eigentliche mGuard Betriebssystem und ist elektronisch signiert Nur von Innominate signierte Dateien werden akzeptiert Dieser Vorgang dauert ca 3 bis 5 Minuten 267 von 283 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware Voraussetzungen zum Flashen der Firmware DHCP und TFTP
176. ed Key Je nach dem welches Verfahren Sie ausw hlen zeigt die Seite unterschiedliche Einstellm glichkeiten gt Bei Authentisierungsverfahren X 509 Zertifikat Dieses Verfahren wird von den meisten neueren IPsec Implementierungen unter st tzt Dabei besitzt jeder VPN Teilnehmer einen privaten geheimen Schl ssel sowie einen ffentlichen Schl ssel in Form eines X 509 Zertifikats welches wei tere Informationen ber seinen Eigent mer und einer Beglaubigungsstelle Cer tification Autority CA enth lt Es muss Folgendes festgelegt werden a Wie sich der mGuard bei der Gegenstelle authentisiert b Wie der mGuard die entfernte Gegenstelle authentifiziert Authentisierung Authentisierungsverfahren X 509 Zertifikat Lokales X 509 Zertifikat VPN Kunde Hamburg Remote CA Zertifikat VPN SubCA Gegenstellenzertifikat gt a wie sich der mGuard bei der Gegenstelle authentisiert Lokales X 509 Zertifikat Legt fest mit welchem Maschinenzertifikat sich der mGuard bei der VPN Gegenstelle ausweist In der Auswahlliste eines der Maschinenzertifikate auswahlen Die Auswahlliste stellt die Maschinenzertifikate zur Wahl die in den mGuard unter Men punkt Authentifizierung Zertifikate geladen worden sind siehe in diesem Handbuch unter Authentifizierung Zertifikate auf Seite 163 Falls nur der Eintrag Keines zu sehen ist muss erst ein Zertifikat instal liert werden Der Eintrag Keines darf nicht belassen w
177. eeeseeecseecssenseceseeeseecseceseeneeeneeaaes 253 Ring Netzkopplung eccecceccceeeessecsteeseceneeeseeseeceaeceeeeeeeeesecaaecsaeeeeeseeeeseeeseeeaeens 253 6 13 Menu Logging 22H ed tedaab E 254 6 13 1 Logging Einstellungen u eeeeeesneesennseenseesnennennnennennnnnn nn nn ennee nennen 254 Remote ET EE 254 6 13 2 Logging Logs ansehen cceccecscessceseesecseceeceeeeeseecscenseceseeeseeeseeeseceseenteeeneeeaes 256 Kategorien der Log Emtr ge cccccccesessceeseessececeseceeesseeeseeseeseeeseeeeeeeneeeneees 256 6 14 Men SUPP OL ann are une ee Eeer DEE dE 260 6 14 1 Support Werkzeuge 2 2 2 2 es a aea aa a oia Taa E 260 Ping Check un a E E E ST 260 BR EE 260 IDIN Te BEE 260 KREE ENEE SE Ee Ee EE 261 6 14 2 Support Erweitert cc cc cccssssscescesceesecseceeecseeeeseecsaesseceseeeseeeseecseceseeeeeseneeenes 262 EE E 262 Snapshot EE 262 6 15 CIDR Classless Inter Domain Routing een enne nennen 263 6 16 Netzwerk Beispielskiz2e tued ENEE Sege 264 7 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware 265 7 1 Ne start durchf hren u na a E a a a i E i TE e STEERS 265 7 2 Recovery Prozedur ausf hren oo ee eccecccecesscesceeeecsceeseceseceseeseecsaecaeseeeseeceseeeeeeeenseeees 265 7 3 Flashen der Firmware cccccccecssesssesseesseceeceeeeeseeeaeeseceseceeeeesecesecsaeceeseeeseeeeeeeseeeneeegs 266 Voraussetzungen zum Flashen der Firmware DHCP und TF
178. eg ID fw zerisl outgeing N2 00000000 0000 0000 0000 000000000000 ESS ne Protoon Nach __Nschrort Aktion kommentar T too Log Eintr ge f r unbekannte Verbindungsversuche Nein Zus tzlich zum Wartungszugang via HTTPS SSH und SNMP regeln die obigen Regeln den Zugriff auf das interne Netzwerk Eingehend bzw aus diesem heraus Ausgehend ber die PPP Verbindung Bitte beachten Sie Auf einigen Plattformen steht der serielle Anschluss nicht zur Verf gung Ist nur dann zu konfigurieren wenn der mGuard die ppp Einwahl erlauben soll entweder ber ein an der seriellen Schnittstelle angeschlossenes Modem oder ein eingebautes Modem beim mGuard industrial RS als Option verf gbar Die ppp Einwahl kann f r Zugriffe ins LAN oder auf den mGuard f r Kon figurationszwecke genutzt werden siehe Modem Konsole auf Seite 139 Wird das Modem f r ausgehende Rufe verwendet indem es als prim re externe Schnittstelle Netzwerkmodus Modem des mGuard oder als dessen sekund re externe Schnittstelle wenn aktiviert im Netzwerkmo dus Stealth oder Router fungiert steht es nicht f r die ppp Einwahlop tion zur Verf gung PPP Einwahloptionen gt Bei mGuard industrial RS ohne eingebautes Modem ISDN TA mGuard blade delta und EAGLE mGuard Modem PPP Aus Ein Der Schalter muss auf Aus stehen wenn keine serielle Schnittstelle fiir die ppp Einwahloption genutzt werden soll Steht dieser Sc
179. egeben ist Ist dabei die Option Aktiviere 1 zu 1 NAT des gegen berliegenden Netzwerkes auf ein anders Netz auf Ja gestellt siehe 1 zu 1 NAT auf Seite 220 gilt Folgendes Die IP Adresse des SysLog Servers muss sich in dem Netzwerk befinden das in der Definition der VPN Verbindung als Remote angegeben ist 255 von 283 Konfiguration Menti Logging 6 13 2 Logging Logs ansehen Kategorien der Log Eintrage Allgemein Logging Logs ansehen 69701 root starting GAI services Ok 56847 ntpd 2137 ntpd 4 2 0 1 1161 r Fri Aug 18 15 02 18 CEST 2006 1 56948 ntpd 2137 signal_no_reset signal 13 had flags 4000000 57131 ntpd 2137 precision 21 000 usec 57290 ntpd 2137 no IPv interfaces found 25 57473 ntpd 2137 kernel time sync status 0040 17059 ntpd 2137 synchronized to 216 52 237 153 stratum 2 17072 ntpd 2137 time reset 209484271 399026 s 17762 ntpd 2137 synchronized to 216 52 237 153 stratum 2 16905 ntpd 2137 kernel time sync enabled 0001 34041 sshd 31576 Failed password for root from 10 1 0 154 port 33393 ssh2 48380 sshd 31576 Accepted password for root from 10 1 0 154 port 33393 ssh2 42257 gai HITPS_ACCESS UUID changed to lec2c133 deal 1231 bfa5 000cbe01010a 42271 gai HITPS_REMOTE_ACCESS_RULES 0 LOG changed to yes 80830 gai SSH_ACCESS UUID changed to lec2c134 dcal 1231 bfaS 000cbe01010a 81051 gai SSH_REMOTE_ACCESS_RULES 0 LOG
180. eines PCs verbinden Auf dem PC mittels eines Terminalprogramms 139 von 283 Konfiguration Menti Netzwerk 140 von 283 die Verbindung zum mGuard herstellen und die Konfiguration tiber die Kommandozeile des mGuard durchf hren Sofern an der seriellen Schnittstelle ein externes Modem angeschlossen ist sind gegebenenfalls weiter unten unter Externes Modem die passenden Einstellungen zu machen unabh ngig davon f r welche Nutzungsart Sie die serielle Schnitt stelle und das an ihr angeschlossene Modem einsetzen Serielle Konsole gt Die nachfolgende Einstellungen f r Baudrate und Hardware handshake gel ten nur f r eine Konfigurationsverbindung wenn wie oben unter B beschrie ben ein Terminal bzw ein PC mit Terminalprogramm an der seriellen Schnittstelle angeschlossen wird Nicht g ltig wenn ein externes Modem an geschlossen wird Die Einstellung daf r erfolgt weiter unten unter Externes Modem Baudrate ber die Auswahlliste k nnen Sie festlegen mit welcher bertragungsge schwindigkeit die serielle Schnittstelle arbeiten soll Hardware handshake RTS CTS Aus Ein Bei Ein findet Flusssteuerung durch RTS und CTS Signale statt Externes Modem Hardware handshake RTS CTS Aus Ein Bei Ein findet bei der PPP Verbindungen Flusssteuerung durch RTS und CTS Signale statt Baudrate Standard 57600 bertragungsgeschwindigkeit f r die Kommunikation zwi schen mGuard und Modem die ber das serielle Verbindun
181. elben Rechner oder einem anderen wie ein eigenes Netzwerk y 39 von 283 Inbetriebnahme 4 6 2 F r die IP Konfiguration der Netzwerkschnittstelle des Betriebssystem des Rechners in dem die Netzwerkkarte installiert ist bedeutet das Folgendes Dieser Netzwerkschnittstelle muss eine IP Adresse zugewiesen werden die sich von der internen IP Adresse des mGuard gem werkseitiger Voreinstellung 192 168 1 1 unterscheidet Eine dritte IP Adresse wird f r die Schnittstelle des mGuard zum WAN verwendet ber diese geht die Verbindung zu einem externen Netz z B Internet Einbau der Hardware a 1 Rescue Knopf 2 Jumper zum Aktivieren Deakti vieren des Treibermodus 3 LAN Port Ist im Treibermodus deaktiviert Im Power over PCI Modus wird hier die Netzwerkkarte desselben oder eines anderen zu sch tzenden Rech ners oder das zu sch tzende Netzwerk angeschlossen 4 WAN Port Verbindungen zum externen Netz z B Internet werden ber diese Schnittstelle aufgebaut Gem Firewall Werkseinstellung sind hier eingehende Verbindungen gesperrt Verwenden Sie ein UTP Kabel Warnung Vor dem Einbau den freien Metallrahmen des PCs ber hren in den Sie den mGuard PCI einbauen wollen um Ihren K rper elektrostatisch zu entladen 1 Konfigurieren Sie den mGuard f r den Treibermodus oder Power over PCI Modus Siehe Auswahl Treibermodus oder Power over PCI Modus
182. elden muss der Benutzer das Pass wort angeben das der jeweiligen Berechtigungsstufe zugeordnet ist Berechtigungsstufe Root Bietet vollstandige Rechte ftir alle Parameter des mGuard Hintergrund Nur diese Berechtigungsstufe erlaubt unbe grenzten Zugriff auf das Dateisystem des mGuards Benutzername nicht nderbar root Voreingestelltes Rootpasswort root Administrator Bietet die Rechte fiir die Konfigurationsoptionen die tiber die Web basierte Administratoroberfl che zug nglich sind Benutzername nicht nderbar admin Voreingestelltes Passwort mGuard User Ist ein Nutzerpasswort festgelegt und aktiviert dann muss der Benutzer nach jedem Neustart des mGuard bei Zugriff auf eine beliebige HTTP URL dieses Passwort angeben damit die VPN Verbindungen des mGuard aktiviert wer den Wollen Sie diese Option nutzen legen Sie im entsprechen den Eingabefeld das Nutzerpasswort fest Rootpasswort Account root Werkseitig voreingestellt root Wollen Sie das Rootpasswort ndern geben Sie ins Feld Altes Passwort das alte Passwort ein in die beiden Felder darunter das neue gew nschte Pass wort 158 von 283 Konfiguration Menti Authentifizierung admin Administratorpasswort Account admin Werkseitig voreingestellt mGuard unver nderbarer Benutzername admin user Deaktiviere das VPN bis sich der Benutzer tiber HTTP authentifiziert Nein Ja Werkseitig ist dieser Schalter auf Nein g
183. eleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwardi Bitte beachten Sie Der SSH Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Shell Zugang Bei eingeschaltetem SSH Fernzugang kann der mGuard von entfernten Rechnern aus ber die Kommandozeile konfiguriert werden Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass sichere Passw rter f r root und admin festgelegt sind F r SSH Fernzugang machen Sie folgende Einstellungen Ablauf der Sitzung Sekunden Gibt an nach wie viel Zeit in Sekunden der Inaktivit t die Sitzung automa tisch beendet wird d h ein automatisches Ausloggen stattfindet Bei Einstel lung von 0 Werkseinstellung findet kein automatisches Beenden der Sitzung statt Der angegebene Wert gilt auch f r Shell Zug nge ber die serielle Schnitt stelle Aktiviere SSH Fernzugang Ja Nein Wollen Sie SSH Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja SSH Zugriff ber Intern d h aus dem direkt angeschlossenen LAN oder vom direkt angeschlossenen Rechner aus ist unabh ngig von der Schalter stellung m glich Um Zugriffsm glichkeiten auf den mGuard differenziert festzulegen m ssen Sie auf dieser Seite
184. ellung Konfiguration Menti Verwaltung Trap Basis Traps Szenen ER S Admin SSH HTTPS und neuer DHCP Cent wl Antivirus Traps Elriche Aktualisierung von Vresuchmuser ER Update oder Visscan Problem SY Virus gefunden oder Nctr ung von Datei Do Redundanz Traps EEE TS SR Benutzerfirewall Traps Seegen Ee TTT VPN Traps Statutndringen von Pec Ver ndunen Ew Statutndrigen von 21 Vertindungen A Trap Ziele SX zeme En EE ST 0 0 0 0 162 ire instellur aay n f r dier ug Sa che SNMP Traps auch nur en wirksam nziertem aktivem vr Virus wirksar ES Traps ee nur ee wenn SNMP Zugang aktiviert ist Bei bestimmten Ereignissen kann der mGuard SNMP Traps gt Glossar versen den Die Traps entsprechen SNMPv1 Im Folgenden sind die zu jeder Einstellung zugeh rigen Trap Informationen aufgelistet deren genaue Beschreibung in der zum mGuard geh renden MIB zu finden ist BO Werden SNMP Traps ber einen VPN Kanal zur Gegenstelle gesendet dann muss sich die IP Adresse der Gegenstelle in dem Netzwerk befinden das in der Definition der VPN Verbindung als Remote Netzwerk angegeben ist Und die interne IP Adresse im Stealth Modus die Stealth Management IP Adresse bzw Virtuelle IP muss sich in dem Netzwerk befinden das in der Definition der VPN Verbindung als Lokal angegeben ist siehe VPN Ver bindung VPN Verbindungskan le definieren auf Seite 214 Ist dabei die Option Aktiviere 1 zu 1 NAT des lo
185. els tze DO Im Stealth Modus entspricht Abweisen der Aktion Verwerfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen e oder nicht Log auf Nein setzen werkseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Ja Nein Regels tze Bei Ja werden alle Verbindungsversuche protokolliert die nicht von den vo ranstehenden Regeln erfasst werden Werkseitige Voreinstellung Nein Netzwerksicherheit Paketfilter Regels tze X Ati Name Ee Herstellung Ausgangsregeln Regels tze Zwecks Strukturierung der Eingangs und Ausgangsregeln k nnen S tze von Re geln definiert und jeweils unter einem Namen als Regelsatz abgelegt werden Dann kann in einer Eingangs bzw Ausgangsregel ein Regelsatz referenziert werden mit dem Effekt dass die im Regelsatz enthaltenen Regeln dort einge setzt werden Auch ist es m glich in der Definition eines Regelsatzes selber einen anderen be reits definierten Regelsatz zu referenzieren also diesen als Baustein im aktuellen Regelsatz einzusetzen Regels tze 180 von 283 Listet alle Firewall Regels tze auf die definiert worden sind Regelsatz neu definieren In der Tabelle der Regels tze rechts im Eintrag mit dem Namen unnamed auf die Schaltfl che Editieren klicken Sollte
186. en Schl ssel und das dazu geh rige Maschinenzertifikat Es k nnen mehrere PK CS 12 Dateien in den mGuard geladen werden so dass der mGuard bei unter schiedlichen Verbindungen jeweils das gew nschte selbst signierte oder von einer CA signierte Maschinenzertifikat verwenden kann um es der Gegenstelle vorzuzeigen B Zur Verwendung eines an dieser Stelle installierten Maschinenzertifikats muss bei der Konfiguration von Anwendungen SSH VPN zus tzlich auf dieses Maschinenzertifikat referenziert werden um es f r die jeweilige Ver bindung bzw die jeweilige Fernzugriffsart zu benutzen Beispiel f r importierte Maschinenzertifikate Authentifizierung Zertifikate Maschinenzertifikate LUD zerle Subject CN mguard hh kunde de L HH O Beispiel Kunde C DE CN Web SubCA 01 0 Sample Web Securities Inc C UK Von Mar 20 19 07 42 2007 GMT bis Mar 20 19 07 42 2010 GMT gerpri MDS 8A 9E 9A 90 2E 64 5D D7 41 0A E9 17 88 BD AF 8C r SHA1 5 0E 98 8A E7 36 11 D0 C9 FL E6 85 48 53 E6 8D 3C PKCS 12 Dateiname Browse Importieren hochladen Passwort SIEHE Aktuelle Zertifikatsdatei herunterladen BET Cv m guard hh kunde de L HH 0 Beispiel kunde C DE Subject Alternative Names RE cI CN SSH SubCA 01 0 Secure Access GmbH C DE re von Mar 20 19 37 44 2007 GMT bis Mar 20 19 37 44 2010 GMT MDS 66 71 8E 73 E3 F7 90 5E 26 7B 9D C7 03 64 85 D8 u SHA1 93 7D 51 60 C0 C0 75 28 5E 46 E9 A4 80 09 72 BF AF 89 46 AF PKCS 12
187. en abgewiesen au er VPN e Die Datenpakete aller ausgehenden Verbindungen werden durchgelassen Firewallregeln an dieser Stelle wirken sich aus auf die Firewall die immer aktiv ist mit folgenden Ausnahmen VPN Verbindungen F r VPN Verbindungen werden eigene Firewallregeln definiert siehe IPsec VPN Verbindungen Firewall auf Seite 227 Benutzer Firewall Wenn sich Benutzer anmelden f r die Benutzer Fire wall Regeln definiert sind werden vorrangig diese Regeln angewandt siehe Netzwerksicherheit Benutzerfirewall auf Seite 190 sekund r die immer aktiven Firewall Regeln Die Anti Virus Funktion siehe Web Sicherheit HTTP auf Seite 194 Web Sicherheit FTP auf Seite 197 E Mail Sicherheit POP3 auf Seite 200 E Mail Sicherheit SMTP auf Seite 203 hat Vorrang vor den hier definierten Firewall Regeln und kann diese teilweise au er Kraft setzen Dieses Verhalten kann unter Men Netzwerksicherheit Paketfilter Er weiterte Einstellungen mit dem Schalter Auf Viren gescannte Verbin dungen unterliegen Firewall Regeln au er Kraft gesetzt werden siehe Erweiterte Einstellungen Anti Virus Scanner auf Seite 185 BO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein
188. en miissen 74 von 283 Konfiguration Menti Verwaltung Zugriff Nur eingeblendet bei Login mit X 509 Benutzerzertifikat Verwaltung Web Einstellungen Grundeinstellungen O Zugriff Web Zugriff ber HTTPS Aktiviere HTTPS Fernzugang ven SE Port f r HTTPS Verbindungen nur Femzugang ks BEE Erlaubte Netzwerke Log ID fw https access N2 00000000 0000 0000 0000 000000000000 SX vom _ Interface Aktion kommentar RE SI 0 0 0 0 0 extern Annehmen Nein zl Benutzerauthentifizierung Methode zur Benutzerauthentifizierung Login mit X 509 Benutzerzertiikat oder Passwort li ert et CS Dx X 509 Subject F r den Zugriff autorisiert als L T root z Hx X 509 Zertifikat F r den Zugriff autorisiert als SI root Diese Regeln gestatten es HTTPS Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Der HTTPS Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Bei eingeschaltetem Web Zugriff per HTTPS Protokoll kann der mGuard ber seine Web basierte Administratoro
189. en werden setzen Sie diesen Schalter auf Ja Log Server IP Adresse Geben Sie die IP Adresse des Log Servers an zu dem die Log Eintr ge per UDP bertragen werden sollen LB Sie m ssen eine IP Adresse angeben keinen Hostnamen Hier wird eine Namensaufl sung nicht unterst tzt weil sonst bei Ausfall eines DNS Servers unter Umst nden nicht protokolliert werden k nnte Log Server Port normalerweise 514 Geben Sie den Port des Log Servers an zu dem die Log Eintr ge per UDP bertragen werden sollen Standard 514 BO Sollen SysLog Meldungen ber einen VPN Kanal auf einen SysLog Server bertragen werden dann muss sich die IP Adresse des SysLog Servers in dem Netzwerk befinden das in der Definition der VPN Verbindung als Re mote Netzwerk angegeben ist Und die interne IP Adresse im Stealth Mo dus die Stealth Management IP Adresse bzw Virtuelle IP muss sich in dem Netzwerk befinden das in der Definition der VPN Verbindung als Lo kal angegeben ist siehe VPN Verbindung VPN Verbindungskan le defi nieren auf Seite 214 254 von 283 Konfiguration Menti Logging Ist dabei die Option Aktiviere 1 zu 1 NAT des lokalen Netzwerkes in ein internes Netz auf Ja gestellt siehe 1 zu 1 NAT auf Seite 220 gilt Folgendes Die interne IP Adresse im Stealth Modus die Stealth Management IP Adresse bzw Virtuelle IP muss sich in dem Netzwerk befinden das mit Interne Netzwerkadresse f r lokales 1 zu 1 NAT ang
190. ende IP IP Adressen und Hostnamen samt Domain Y 10 1 30 1 24 fold cell a example com 10 1 30 2 24 fill cell a example com 10 1 30 3 24 Adresse den Nameser Tu SEI pack cell a example com ver und die Domain Switch vom mGuard per DHCP 10 1 30 0 24 erhalten 10 1 31 1 24 z fold cell b example com Maschihe B 10 1 31 2 24 fill cell b example com Werksnetz Ethernet 10 1 32 2 24 fill cell c example com J 10 1 31 3 24 d pack cell b example com Switch 10 1 31 0 24 10 1 32 1 24 fold cell c example com Maschine Cc 10 1 32 3 24 pack cell c example com Switch SZ SE 10 1 32 0 24 Hostname Domain Name 151 von 283 Konfiguration Menti Netzwerk DynDNS DynDNS Diesen mGuard bei einem DynDNS Server Nein anmelden Status Meldeintervall Sekunden DynDNS Anbieter DNSABIZ DynDNS Server DynDNS Login DynDNS Passwort DynDNS Hostname Jhost example com Zum Aufbau von VPN Verbindungen muss mindestens die IP Adresse eines der Partner bekannt sein damit diese miteinander Kontakt aufnehmen k nnen Diese Bedingung ist nicht erf llt wenn beide Teilnehmer ihre IP Adressen dynamisch von ihrem Internet Service Provider zugewiesen bekommen In diesem Fall kann aber ein DynDNS Service wie z B DynDNS org oder DNS4BIZ com helfen Bei einem DynDNS Service wird die jeweils g ltige IP Adresse unter einem fes ten Namen registriert D
191. er Modi 1 1 NAT nur im Netzwerkmodus Router Port Forwarding nicht im Netzwerkmodus Stealth Individuelle Firewallregeln fiir verschiedene Nutzer Benutzerfirewall Individuelle Regels tze als Aktion Ziel von Firewallregeln ausgenommen Benutzerfirewall oder VPN Firewall Firewalldurchsatz maximal 99MBit s ClamAV Virenschutz Unterst tzte Protokolle HTTP FTP POP3 und SMTP senden Der Virenfilter kann die folgenden Formate dekomprimieren e ZIP e RAR e GZIP BZIP2 e TAR e MS OLE2 e MS CHM Komprimiertes HTML e MS SZDD 9 von 283 Einleitung VPN Features Weitere Features Support 10 von 283 e UPX e FSG e Petite e Protokoll IPsec Tunnel und Transport Mode e IPsec Verschl sselung in Hardware mit DES 56 Bit 3DES 168 Bit AES 128 192 256 Bit e Paket Authentifizierung MD5 SHA 1 e Internet Key Exchange IKE mit Main und Quick Mode e Authentisierung ber e Pre Shared Key PSK e X 509v3 Zertifikate mit e Public Key Infrastruktur PKI mit Certification Authority CA optionaler Certificate Revocation List CRL und Filterm glichkeit nach Subjects oder e Zertifikat der Gegenstelle z B selbstunterschriebene Zertifikate e Erkennen wechselnder IP Adressen von Gegenstellen ber DynDNS e NAT Traversal NAT T e Dead Peer Detection DPD Erkennung von IPsec Verbindungsabbriichen e IPsec L2TP Server Anbindung von IPsec L2TP Clients e IPsec Firewall und 1 1 NAT e Defaultroute ber VPN e Wei
192. er Wartungszentrale installiert ist zu der mGuards eine VPN Verbindung aufbauen Es muss Warte festgelegt werden Transport und Tunneleinstellungen Stealth Modus Transport und Tunnel Einstellungen px HOT A Tunne J s2 168 1 1732 192 168 254 1 32 fiszies11 Hier klicken wenn weitere Tunnel bzw Transportwege fest Router Modus gelegt werden sollen Transport und Tunnel Einstellungen I SS a 192 168 254 132 iene Ja x Tunnel 192 168 1 1 32 VPN Verbindungskan le Eine unter einem beschreibenden Namen definierte VPN Verbindung kann aus mehreren VPN Verbindungskan len bestehen Also k nnen Sie hier meh rere VPN Verbindungskan le definieren F r jeden einzelnen VPN Verbindungskanal Nach Klicken auf die Schaltfl che Mehr wird eine weitere Seite zur Festle gung der Verbindungsparameter des betreffenden Transportweges oder Tun nels angezeigt zum Teil berschneidend Aktiv Ja Nein Legen Sie fest ob der Verbindungskanal aktiv Ja sein soll oder nicht Nein Kommentar Frei einzugebender kommentierender Text Kann leer bleiben 216 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Typ Es stehen zur Auswahl e Tunnel Netz gt Netz e Transport Host gt Host Tunnel Netz gt Netz Dieser Verbindungstyp eignet sich in jedem Fall und ist der sicherste In die sem Modus werden die zu bertragenen IP Datagramme vollkommen ver schl sselt und mit eine
193. er aktiviert aushilfsweise Datenpakete deren Ziel den Routing Einstellungen entspricht die f r das se kund re externe Interface festgelegt sind werden nur dann ber dieses exter ne Interface geleitet wenn zus tzlich weitere zu definierende Bedingungen erf llt werden Nur dann wird das sekund re externe Interface aktiviert und die Routing Einstellungen f r das sekund re externe Interface treten in Kraft siehe unten unter Tests zur Aktivierung Sekund re externe Routen Netzwerk Machen Sie hier die Angabe f r das Routing zum externen Netzwerk Sie k nnen mehre Routing Angaben machen Datenpakete die f r diese Netze bestimmt sind werden dann ber das sekund re externe Interface zum ent sprechenden Netz permanent oder aushilfsweise geleitet Gateway Geben Sie hier die IP Adresse des Gateways an ber das die Vermittlung in das vorgenannte externe Netzwerk erfolgt sofern diese IP Adresse bekannt ist Bei Einwahl ins Internet ber die Telefonnummer des Internet Service Provi ders wird die Adresse des Gateways normalerweise erst nach Einwahl be kannt In diesem Fall ist gateway als Platzhalter in das Feld einzutragen 116 von 283 Konfiguration Menti Netzwerk Tests zur Aktivierung Sekund res externes Interface Netzwerkmodus ren Vi Betriebsmodus EE Sekund re externe Routen Netzwerk Gateway i 192 168 3 0 24 Tests zur Aktivierung Typ Das sekund re externe Interface wird
194. er angegeben werden Zus tzlich muss dieses Feature aktiviert sein Aktiviere NTP Zeitsynchronisation Ja Nein Sobald das NTP aktiviert ist bezieht der mGuard Datum und Uhrzeit von einem oder mehreren Zeit Server n und synchronisiert sich mit ihm bzw ih nen Die initiale Zeitsynchronisation kann bis zu 15 Minuten dauern W hrend die ser Zeitspanne vollzieht der mGuard immer wieder Vergleiche zwischen der Zeitangabe des externen Zeit Servers und dem eigenen Uhrwerk um dieses so pr zise wie m glich abzustimmen Erst dann kann der mGuard als NTP Server f r die an seiner LAN Schnittstelle angeschlossenen Rechner fungie ren und ihnen die Systemzeit liefern Eine initiale Zeitsynchronisation mit dem externen Zeit Server erfolgt nach jedem Booten es sei denn der mGuard verf gt ber eine eingebaute Uhr mGuard industrial RS und mGuard delta Nach der initialen Zeitsynchroni sation vergleicht der mGuard regelm ig die Systemzeit mit den Zeit Ser vern In der Regel erfolgen Nachjustierungen nur noch im Sekundenbereich 65 von 283 Konfiguration Menti Verwaltung 66 von 283 NTP Status Anzeige des aktuellen NTP Status Gibt an ob sich der auf dem mGuard selbst laufende NTP Server mit hinrei chender Genauigkeit mit den konfigurierten NTP Servern synchronisiert hat Wenn die Systemuhr des mGuards vor der Aktivierung der NTP Zeitsynchro nisation noch nie synchronisiert war kann die Synchronisierung bis zu 15 Mi n
195. er die VPN Verbindung aussendet die Absenderadresse gegen die ausgetauscht die im Feld Lokal angegeben ist siehe oben Die im Feld Lokal angegebene Adresse muss die Netzmaske 32 haben damit es sich um genau eine IP Adresse handelt Lokales Masquerading kann in folgenden Netzwerkmodi verwendet werden Router PPPoE PPTP Modem Eingebautes Modem und Stealth nur Stealth Modus mehrere Clients F r IP Verbindungen die durch eine VPN Verbindung mit aktiviertem lokalem Masquerading vermittelt werden werden die Firewall Regeln fiir ausgehende Daten in der VPN Verbindung auf die originale Quelladresse der Verbindung angewendet 1 zu 1 NAT Mit Hilfe von 1 zu 1 NAT im VPN k nnen weiterhin die tats chlich genutzten Netzwerkadressen lokal und oder entfernt zur Angabe des Tunnelanfangs bzw endes angegeben werden unabh ngig von den mit der Gegenseite verein barten Tunnelparametern Nur im Router Modus Lokales Netz Gegen berliegendes Netz ee oN Deo a ae al a i d ZN gt d el Saal Z Internet Internet Netzwerkadresse Netzwerkadresse f r ge f r 1 zu 1 NAT gen berliegendes 1 zu 1 NAT Aktiviere 1 zu 1 NAT des lokalen Netzwerkes in ein internes Netz Ja Nein Das unter Lokal angegebene lokale Netzwerk auf ein tats chlich vorhan denes lokales Netzwerk umschreiben Die Voreinstellung ist Nein Interne Netzwerkadresse f r lokales 1 zu 1 NAT nur wenn oben Ja gew hlt wurde Die t
196. er die Port Nummer oder ber den entsprechenden Ser vicenamen angegeben werden z B pop3 f r Port 110 oder http f r Port 80 Weiterleiten an IP Interne IP Adresse an die die Datenpakete weitergeleitet werden sollen und auf die die Original Zieladressen umgeschrieben werden Weiterleiten an Port Port an den die Datenpakete weitergeleitet werden sollen und auf den die Ori ginal Port Angaben umgeschrieben werden Er kann entweder ber die Port Nummer oder ber den entsprechenden Ser vicenamen angegeben werden z B pop3 f r Port 110 oder http f r Port 80 Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Port Weiterleitungs Regel k nnen Sie festlegen ob bei Greifen der Regel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder nicht Log auf Nein setzen werkseitige Voreinstellung Konfiguration Menti Netzwerk 6 4 3 Netzwerk DNS DNS Server DNS Zu benutzende Nameserver DNS Root Nameserver r Benutzerdefinerte Nameserver x RER IP 28 198 41 0 4 Im Stealth Modus werden nur die Einstellungen Benutzerdefiniert und DNS Root Nameserver unterst tzt Andere Einstellungen werden ignoriert Lokale Aufl sung von Hostnamen E a _____DomainName DIR ann Soll der mGuard von sich aus eine Verbindung zu einer Gegenstelle aufbauen zum Beispiel VPN Gateway oder NTP Server und wird ihm diese in Form eines Hostnamens angegeben d h in der Fo
197. er f r die PCI Schnittstelle des mGuard PCI verf gbar f r Windows XP 2000 und Linux auf dem Computer installiert werden Im Treibermodus wird keine weitere Netzwerkkarte f r den Computer ben tigt Stealth Modus im Treibermodus Werkseinstellung Im Treibermodus ist die LAN Ethernet Buchse ausgeschaltet Die LAN Schnittstelle des mGuard ist intern durch den Wirtsrech ner belegt Im Stealth Modus verh lt sich der mGuard wie eine normale Netzwerkkarte Die IP Adresse die f r die Netzwerkschnittstelle des Betriebssystems konfiguriert wird LAN Port bernimmt der mGuard auch f r seinen WAN Port Somit tritt der mGuard f r den Datenverkehr vom und zum Rechner als 37 von 283 Inbetriebnahme eigenes Ger t mit eigener Adresse gar nicht in Erscheinung BO Im Stealth Modus ist es nicht m glich PPPoE oder PPTP zu verwenden Router Modus im Treibermodus 9 etriebssystem 192 168 1 2 192 168 1 1 mGuard PCI P externe IP Befindet sich der mGuard im Router Modus oder PPPoE oder PPTP Modus bildet er mit dem Betriebssystem des Rechners in dem der mGuard installiert ist quasi ein eigenes Netzwerk F r die IP Konfiguration der Netzwerkschnittstelle des Betriebssystems bedeutet das Folgendes Dieser muss eine IP Adresse zugewiesen werden die sich von der internen IP Adresse des mGuard gem werkseitiger Voreinstellung 192 168 1 1 unterscheidet Dieser
198. erden dann durch das Wildcard Sternchen angegeben Beispiel CN O C DE mito ohne Leerzeichen zwischen Attributen Bei diesem Beispiel m sste im Zertifikat im Subject das Attribut C DE ste hen Nur dann w rde der mGuard den Zertifikatsinhaber Subject als Kom munikationspartner akzeptieren Die anderen Attribute k nnten in den zu filternden Zertifikaten beliebige Werte haben LB Wird ein Subject Filter gesetzt muss zwar die Anzahl nicht aber die Reihenfolge der angegebenen Attribute mit der bereinstimmen wie sie 71 von 283 Konfiguration Menti Verwaltung 72 von 283 in den Zertifikaten gegeben ist auf die der Filter angewendet werden soll Auf Gro und Kleinschreibung ist zu achten H Es k nnen mehrere Filter gesetzt werden die Reihenfolge ist irrelevant F r den Zugriff autorisiert als Alle Benutzer root admin netadmin audit Zus tzlicher Filter der festlegt dass der SSH Client f r eine bestimmte Ver waltungsebene autorisiert sein muss um Zugriff zu erhalten Erl uterung Der SSH Client zeigt bei Verbindungsaufnahme nicht nur sein Zertifikat vor sondern gibt auch den Systembenutzer an f r den die SSH Sitzung er ffnet werden soll root admin netadmin audit Nur wenn diese Angabe mit der bereinstimmt die hier festgelegt wird erh lt er Zugriff Mit der Einstellung Alle Benutzer ist der Zugriff f r jeden der vorgenannten Systembenutzer m glich Die Einstell
199. erden so fern sie tats chlich im extern konfigurierten Netz ist und sich nicht mit einer anderen IP Adresse dort berschneidet Interne virtuelle IP Virtuelle IP Adresse ber die der Verkehr durch den mGuard l uft Diese muss z B bei den Clients die sich im am LAN Port des mGuard angeschlos senen Netzwerk befinden als Standardgateway eingestellt werden Kann beliebig festgelegt werden sofern sie tats chlich im intern konfigurier ten Netz ist und sich nicht mit einer anderen IP Adresse dort berschneidet Redundanz Firewall Redundanz ICMP Checks ICMP Checks Aktiviere ICMP Checks nein E Zu berpr fende Hosts im externen IP Netzwerk N Zu berpr fende Hosts im internen Netzwerk IK IP 192 168 1 30 ICMP Checks bilden eine zus tzliche M glichkeit der berwachung der Netz werkverbindungen zwischen den mGuards die als virtueller Router zusammen arbeiten F llt eine der beiden direkten Ethernet Verbindungen aus die zwischen den LAN Ports der beiden mGuards besteht in der Zeichnung auf Seite 250 links von den beiden mGuards und zwischen ihren WAN Ports in der Zeichnung rechts von den beiden mGuards dann wird der Backup zum Master Das vom mGuard verwendete Virtual Router Redundancy Protocol VRRP kann den noch funktionierenden Master jedoch nicht dar ber informieren ber die noch funktionierenden Netzwerkverbindung w rden die zwei Master anschlie end miteinander in Konflikt
200. erden weil sonst keine X 509 Authentisierung m glich ist 222 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller gt a wie der mGuard die entfernte Gegenstelle authentifiziert Nachfolgend wird festgelegt wie der mGuard die Authentizitat der entfernten VPN Gegenstelle priift Die Tabelle unten zeigt welche Zertifikate dem mGuard zur Authentifizie rung der VPN Gegenstelle zur Verf gung stehen m ssen wenn die VPN Ge genstelle bei Verbindungsaufnahme eines der folgenden Zertifikatstypen vorzeigt ein von einer CA signiertes Maschinenzertifikat e ein selbst signiertes Maschinenzertifikat Zum Verst ndnis der nachfolgenden Tabelle siehe Kapitel 6 5 3 Authentifizie rung Zertifikate auf Seite 163 Authentifizierung bei VPN Die Gegenstelle zeigt Maschinenzertifikat von Maschinenzertifikat vor CA signiert selbst signiert Der mGuard authenti fiziert die Gegenstelle le Ir anhand von Gegenstellenzertifikat Gegenstellenzertifikat ODER Alle CA Zertifikate die mit dem von der Gegen stelle vorgezeigten Zertifi kat die Kette bis zum Root CA Zertifikat bilden Gem dieser Tabelle sind nachfolgend dem mGuard die Zertifikate zur Verf gung zu stellen die er zur Authentifizierung der jeweiligen VPN Gegenstelle heranziehen muss Die nachfolgenden Anleitungen gehen davon aus dass die Zertifikate bereits ordnungsgem im mGuard installiert sind Siehe 6 5 3 Authe
201. erden diese unter G ltige Werte sind mit angegeben Es k nnen IP Adressen Host namen mit vorangestelltem Zeichen oder E Mail Adressen sein Gegenstelle Legt fest was im Maschinenzertifikat der VPN Gegenstelle als Subject ein getragen sein muss damit der mGuard diese VPN Gegenstelle als Kommuni kationspartner akzeptiert Durch eine entsprechende Festlegung ist es m glich VPN Gegenstellen die der mGuard auf Grundlage von Zertifikatspr fungen im Prinzip akzeptieren w rde wie folgt zu beschr nken bzw freizugeben Beschr nkung auf bestimmte Subjects d h Maschinen und oder auf Subjects die bestimmte Merkmale Attribute haben oder Freigabe f r alle Subjects Siehe dazu auch im Glossar unter Subject Zertifikat Statt Subject wurde fr her die Bezeichnung Distinguished Name verwendet Freigabe f r alle Subjects Wenn Sie das Feld Gegenstelle leer lassen legen Sie fest dass im Maschinen zertifikat das die VPN Gegenstelle vorzeigt beliebige Subject Eintr ge er laubt sind Dann ist es berfl ssig das im Zertifikat jeweils angegebene Subject zu kennen oder festzulegen Beschr nkung auf bestimmte Subjects Im Zertifikat wird der Zertifikatsinhaber im Feld Subject angegeben das sich aus mehreren Attributen zusammensetzt Diese Attribute werden entweder als Object Identifier ausgedr ckt z B 132 3 7 32 1 oder gel ufiger als Buch stabenk rzel mit einem entsprechenden Wert
202. ersogungsstatus des Blade Pack wechselt mGuardTrapBladeCTRL enterpriseSpecific mGuardTrapBladeCtrlRunStatus 3 mGuardTrapBladeRackID mGuardTrapBladeSlotNr mGuardTrapBladeCtrlRunStatus Trap wird gesendet wenn der Blade Ausf hrungsstatus wechselt Rekonfiguration von Blades Backup Restore Traps aktivieren Ja Nein enterprise oid generic trap specific trap additional Erl uterung mGuardTrapBladeCtrlCfg enterpriseSpecific mGuardTrapBladeCtrlCfgBackup 1 mGuardTrapBladeRackID mGuardTrapBladeSlotNr mGuardTrapBladeCtrlCfgBakkup Trap bei Ausl sung des Konfigurations Backups zum Blade Kontroller 97 von 283 Konfiguration Menti Verwaltung 98 von 283 enterprise oid generic trap specific trap additional Erl uterung Anti Virus Traps mGuardTrapBladeCtrlCfg enterpriseSpecific mGuardTrapBladeCtrlCfgRestored 2 mGuardTrapBladeRackID mGuardTrapBladeSlotNr mGuardTrapBladeCtrlCfgRestored Trap bei Ausl sung der Konfigurations Wiederherstellung vom Blade Kontroller e Erfolgreiche Aktualisierung von Virensuchmustern Traps aktivieren Ja Nein enterprise oid generic trap specific trap additional Erl uterung mGuardTrapAv enterpriseSpecific mGuardTrapAvUpdateDone 1 mGuardTResA vUpdateDone Trap nach erfolgreichem AV Update e Update oder Virusscan Problem Traps aktivieren Ja Nein enterprise oid generic trap specific
203. erst tzt w hlen Sie Ja Ist die Gegenstelle ein IPsec L2TP Client dann setzen Sie Perfect For ward Secrecy PFS auf Nein SA Lebensdauer Die Schl ssel einer IPsec Verbindung werden in bestimmten Abst nden erneu ert um die Kosten eines Angriffs auf eine IPsec Verbindung zu erh hen ISAKMP SA Lebensdauer Lebensdauer der f r die ISAKMP SA vereinbarten Schl ssel in Sekunden Werkseinstellung 3600 Sekunden 1 Stunde Das erlaubte Maximum sind 86400 Sekunden 24 Stunden IPsec SA Lebensdauer Lebensdauer der f r die IPsec SA vereinbarten Schl ssel in Sekunden Werkseinstellung 28800 Sekunden 8 Stunden Das erlaubte Maximum sind 86400 Sekunden 24 Stunden Rekey Margin Minimale Zeitspanne vor Ablauf der alten Schl ssel innerhalb der ein neuer Schl ssel erzeugt werden soll Werkseinstellung 540 Sekunden 9 Minuten Rekeyfuzz Maximum in Prozent um das Rekey Margin zuf llig vergr ert werden soll Dies dient dazu den Schl sselaustausch auf Maschinen mit vielen VPN Ver bindungen zeitversetzt stattfinden zu lassen Werkseinstellung 100 Prozent Keying Versuche Anzahl der Versuche die unternommen werden sollen neue Schl ssel mit der Gegenstelle zu vereinbaren Der Wert 0 bedeutet bei Verbindungen die der mGuard initiieren soll unend lich viele Versuche ansonsten 5 Versuche Rekey Ja Nein Bei Ja wird der mGuard versuchen einen neuen Schl ssel zu vereinbaren wenn die G ltigkeit des alte
204. erung des Netzwerk Mo dus Modem die Telefonverbindung auf Diese bleibt dann dauerhaft bestehen unabh ngig davon ob Daten bertragen werden oder nicht Wird die Telefon verbindung dennoch unterbrochen versucht der mGuard sie sofort wieder herzustellen So entsteht eine st ndige Verbindung also praktisch eine Standleitung Aufdiese Weise bleibt der mGuard auch st ndig von au erhalb d h f r eingehende Datenpakete erreichbar Ob Ja oder Nein Es ist immer der mGuard der die Telefonverbindung auf baut Verbindungstrennung nach Leerlauf Ja Nein Wird nur beachtet wenn Bedarfsweise Einwahl auf Ja gestellt ist Bei Ja Standard trennt der mGuard die Telefonverbindung sobald ber die unter Leerlaufzeit angegebene Zeitdauer kein Datenverkehr stattfindet Zur Trennung der Telefonverbindung gibt der mGuard dem angeschlossenen Mo dem das entsprechende Kommando Konfiguration Menti Netzwerk Bei Nein gibt der mGuard dem angeschlossenen Modem kein Kommando die Telefonverbindung zu trennen Leerlaufzeit Sekunden Standard 300 Findet nach Ablauf der hier angegebenen Zeit weiterhin kein Datenverkehr statt kann der mGuard die Telefonverbindung trennen siehe oben unter Verbindungstrennung nach Leerlauf Lokale IP IP Adresse der seriellen Schnittstelle des mGuard die jetzt als WAN Schnitt stelle fungiert Wird diese IP Adresse vom Internet Service Provider dyna misch zugewiesen bernehmen Sie den voreingeste
205. erungsstellen CA CA Zertifikate dienen dazu die von Gegenstellen vorgezeigten Zertifikate auf Echtheit zu tiber pr fen Die berpr fung geschieht wie folgt Im von der Gegenstelle bertragenen Zer tifikat ist der Zertifikatsaussteller CA als Issuer angegeben Diese Angabe kann mit dem lokal vorliegenden CA Zertifikat von dem selben Issuer auf Echtheit berpr ft werden Weitere Erl uterungen siehe Authentifizierung Zertifikate auf Seite 163 Beispiel f r importierte CA Zertifikate Authentifizierung Zertifikate Zertifikatseinstellungen Maschinenzertifikate i d a te Gegenstellenzertifikate Vertrauenswiirdige CA Zertifikate px CN VPN RootCA 01 0 Beispiel Lieferant C DE CN VPN RootCA 01 0 Beispiel Lieferant C DE 2007 GMT bis Mar 20 15 56 38 2022 GMT F7 70 AB F9 5B 76 BD 40 60 62 FA C0 83 61 C4 92 98 03 82 75 1D 29 75 Subject CN VPN SubCA 01 0 Beispiel Lieferant C DE CN VPN RootCA 01 0 Beispiel Lieferant C DE WR once Von Mar 20 15 56 41 2007 GMT bis Mar 20 15 56 41 2017 GMT Dateiname Durchsuchen Importieren h e Z ochladen SE E CN Web SubCA 01 0 Sample Web Securities Inc C UK EN Net Eet 01 0 Sample Web Securities Inc C UK WR Von Mar 20 18 57 15 2007 GMT bis Mar 20 18 57 15 2017 GMT MDS 65 83 D0 51 3D E8 13 21 4D 9A F9 70 E2 88 98 90 Vertauensw rdige CA Zertifikate Zeigt die aktuell importierten CA Zertifikate an Um ein neues Zertifikat zu importieren gehen Sie
206. es Interface explizit mit An nehmen erlauben bevor Sie durch Klicken auf die bernehmen Schaltfl che die neue Einstellung in Kraft setzen Sonst muss bei Aussperrung die Revo very Prozedur durchgef hrt werden Aktion M glichkeiten e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zurtickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werkseitige Voreinstellung Benutzerauthentifizierung Benutzerauthentifizierung Methode zur Benutzerauthentifizierung Login mit X 509 Benutzerzertifikat oder Passwort 7 HX CA Zertifikat CES Web SubCA F Web RootCA E HX Fiir den Zugriff autorisiert als D L hi admin x HX Fiir den Zugriff autorisiert als f B Ralf Meyer r admin r Diese Regeln gestatten es HTTPS Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitt
207. es Rechners nicht konfiguriert ist Wenn der Konfigurations Rechner noch nicht an einem Netzwerk angeschlossen war z B weil der Rechner neu ist dann ist seine Netzwerkschnittstelle im All gemeinen nicht konfiguriert Das hei t der Rechner wei noch nicht dass der Netzwerkverkehr ber diese Schnittstelle l uft In diesem Fall m ssen Sie das Standardgateway initialisieren indem Sie ihm ei nen Dummy Wert zuweisen Gehen Sie dazu wie folgt vor Standardgateway initialisieren 1 Ermitteln Sie die zurzeit g ltige Standardgateway Adresse Unter Windows XP gehen Sie dazu wie folgt vor Start Systemsteuerung Netzwerkverbindungen klicken Das Symbol des LAN Adapters mit der rechten Maustaste klicken so dass sich das Kontextmen ffnet Im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Registerkarte Allgemein unter Diese Verbindung verwendet folgende Ele mente den Eintrag Internetprotokoll TCP IP markieren Dann die 48 von 283 Konfiguration vorbereiten Hier die IP Adresse des Standardgateway nachschlagen oder festlegen Schaltfl che Eigenschaften klicken so dass folgendes Dialogfenster ange zeigt wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP
208. escannte Verbin dungen unterliegen Firewall Regeln au er Kraft gesetzt werden siehe Erweiterte Einstellungen Anti Virus Scanner auf Seite 185 Bei den Angaben haben Sie folgende M glichkeiten Protokoll TCP UDP ICMP Alle Von IP Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Adressenbereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u 179 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Verwerfen bedeutet die Datenpakete diirfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Namen von Regels tzen sofern definiert Bei Angabe eines Namens f r Re gels tze treten die Firewall Regeln in Kraft die unter diesem Namen gespei chert sind siehe Registerkarte Reg
209. eschaltet eingeschaltet Extern Wenn die Verbindung am WAN Port wegf llt kommt wird auch der LAN Port ausgeschaltet eingeschaltet 253 von 283 Konfiguration Menti Logging 6 13 Menu Logging Unter Logging versteht man die Protokollierung von Ereignismeldungen z B uber vorgenommene Einstellungen tiber Greifen von Firewall Regeln tiber Feh ler usw Log Eintr ge werden unter verschiedenen Kategorien erfasst und k nnen nach Kategorie sortiert angezeigt werden siehe Logging Logs ansehen auf Seite 256 6 13 1 Logging Einstellungen Remote Logging Logging Einstellungen Remote Logging Einstellungen Aktiviere Remote UDP Logging en ZE Log Server IP Adresse 192 168 1 254 Log Server Port normalerweise 514 c ee Alle Log Eintr ge finden standardm ig im Arbeitsspeicher des mGuard statt Ist der maximale Speicherplatz f r diese Protokollierungen ersch pft werden au tomatisch die ltesten Log Eintr ge durch neue berschrieben Zudem werden beim Ausschalten des mGuard alle Log Eintr ge gel scht Um das zu verhindern ist es m glich die Log Eintr ge SysLog Meldungen auf einen externen Rechner SysLog Server zu bertragen Das liegt auch dann na he sollte eine zentrale Verwaltung der Protokollierungen mehrerer mGuards er folgen Einstellungen Aktiviere Remote UDP Logging Ja Nein Sollen alle Log Eintr ge zum externen unten angegebenen Log Server ber trag
210. ese Bestandteile in eine sogenann te PKCS 12 Datei Dateinamen Erweiterung p12 eingepackt werden Bei X 509 Authentifizierungen kann der mGuard zwei prinzipiell unterschied liche Verfahren anwenden e Die Authentifizierung einer Gegenstelle erfolgt auf Basis von Zertifikat Gegenstellenzertifikat In diesem Fall muss z B bei VPN Verbindungen f r jede einzelne Verbindung angegeben werden welches Gegenstellenzertifikat herangezogen werden soll ODER UND e Der mGuard zieht die ihm verf gbar gemachten CA Zertifikate heran um zu pr fen ob das von der Gegenstelle ihm vorgezeigte Zertifikat echt ist Dazu m ssen dem mGuard alle CA Zertifikate verf gbar gemacht werden um mit dem von der Gegenstelle vorgezeigten Zertifikat eine Kette zu bilden bis hin zum Root Zertifikat Verf gbar machen bedeutet dass die betreffenden CA Zertifikate im mGuard installiert sein m ssen siehe CA Zertifikate auf Seite 171 und zus tzlich bei der Konfiguration der betreffenden Anwendung SSH HTTPS VPN referen ziert werden m ssen Ob die beiden Verfahren alternativ oder kombiniert zu verwenden sind wird bei VPN SSH und HTTPS unterschiedlich gehandhabt Siehe dazu die nachfol genden Tabellen 165 von 283 Konfiguration Menti Authentifizierung 166 von 283 SSH Authentifizierung bei SSH Die Gegenstelle zeigt vor Zertifikat personenbezo gen von CA signiert Zertifikat personenbezo gen selbst signiert
211. esetzt Bei Ja k nnen VPN Verbindungen erst dann genutzt werden wenn sich ein User mittels HTTP gegen ber dem mGuard ausgewiesen hat Alle HTTP Verbindung werden auf den mGuard umgeleitet solange die Au thentifizierung erforderlich ist Die nderung dieser Option wird erst mit dem n chsten Neustart aktiv Benutzerpasswort Werkseitig ist kein Benutzerpasswort voreingestellt Um eines festzulegen geben Sie in beide Eingabefelder bereinstimmend das gew nschte Passwort ein 159 von 283 Konfiguration Menti Authentifizierung 6 5 2 Authentifizierung Firewall Benutzer Firewall Benutzer Benutzer Zum Beispiel um privates Surfen im Internet zu unterbinden wird unter Netz werksicherheit Paketfilter Ausgangsregeln jede ausgehende Verbindung un terbunden nicht betroffen VPN Unter Netzwerksicherheit Benutzerfirewall k nnen f r bestimmte Firewall Benutzer anders lautende Firewall Regeln defi niert werden z B dass f r diese jede ausgehende Verbindung erlaubt ist Diese Benutzerfirewall Regel greift sobald sich der oder die betreffende n Firewall Benutzer angemeldet haben f r die diese Benutzerfirewall Regel gilt siehe Netzwerksicherheit Benutzerfirewall auf Seite 190 Authentifizierung Firewall Benutzer Firewall Benutzer Benutzer DX Benutzername Authentifizierungsmethode Benutzerpasswo rt RADIUS H Listet die Firewall Benutzer auf durch Angabe der ihnen zugeor
212. estlauf zu starten Die Testl ufe werden nicht unbedingt vollst ndig abgearbeitet Sobald ein Ping Test eines Testlaufs erfolgreich ist werden die folgenden Ping Tests desselben Testlaufs ausgelassen Dauert ein Testlauf l nger als das festgelegte Intervall dann wird der n chste Testlauf di rekt im Anschluss gestartet Anzahl der Durchl ufe durch die Testliste bevor das sekund re externe Interface aktiviert wird Gibt an wie viele nacheinander durchgef hrte Testl ufe mit negativem Aus gang es geben muss damit der mGuard das sekund re externe Interface akti viert Ein Testlauf hat dann einen negativen Ausgang wenn keiner der darin enthaltenen Ping Tests erfolgreich war Die hier festgelegte Anzahl gibt auch an wie oft nach Aktivierung des sekun d ren externen Interface die Testl ufe in Folge erfolgreich sein m ssen damit es wieder deaktiviert wird DNS Modus Nur relevant bei aktiviertem sekund ren externem Interface im Betriebsmo dus aushilfsweise Der hier ausgew hlte DNS Modus legt fest welche DNS Server der mGuard verwendet f r aushilfsweise herzustellende Verbindungen ber das sekund re externe Interface M glichkeiten e Verwende die prim ren DNS Einstellungen unver ndert e DNS Root Nameserver Konfiguration Menti Netzwerk e Provider definiert via PPP Auswahl e Benutzerdefiniert unten stehende Liste Verwende die prim ren DNS Einstellungen unver ndert Es werden die DNS Server benut
213. eway initialisieren 1 Ermitteln Sie die zurzeit g ltige Standardgateway Adresse 51 von 283 Konfiguration vorbereiten Unter Windows XP folgen Sie dazu den oben unter Konfiguration der Netz werkschnittstelle auf Seite 51 beschriebenen Schritten um das Dialogfeld Eigenschaften von Internetprotokoll TCP IP zu ffnen Falls in diesem Dialogfeld keine IP Adresse des Standardgateway angegeben ist z B weil IP Adresse automatisch beziehen aktiviert ist dann geben Sie eine IP Adressen manuell ein Dazu aktivieren Sie zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 BO Auf keinen Fall dem Konfigura Subnetzmaske 255 255 255 0 tions Rechner eine Adresse wie Standardgateway 192 168 1 1 1 1 1 2 geben Auf DOS Ebene Men Start Alle Programme Zubeh r Eingabeauffor derung geben Sie ein arp s lt IP des Standardgateway gt 00 aa aa aa aa aa Beispiel Sie haben als Standardgateway Adresse ermittelt oder festgelegt 192 168 1 1 Dann lautet der Befehl arp s 192 168 1 1 00 aa aa aa aa aa Zur Konfiguration stellen Sie jetzt die Konfigurationsverbindung her siehe Lokale Konfigurationsverbindung herstellen auf Seite 53 Nach der Konfiguration stellen Sie das Standardgateway wieder zur ck Dazu entweder den Konfigurations Rechner neu starten oder auf DOS Ebene folgendes Kommando eingeben arp d B Je nach dem wie Sie den mG
214. f Seite 29 BO Das Ger t leitet die per Hutschiene gelieferte Erdung durch zum linken Kon takt Erdungsanschluss der unteren Klemmleiste B gt Das Geh use darf nicht ge ffnet werden BO Die Schirmungsmasse der anschlie baren Twisted Pair Leitungen ist elek trisch leitend mit der Frontblende verbunden Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Ma nahmen zu treffen Der Innominate mGuard industrial RS darf bei Aufstellung in Wohn und B roumgebungen ausschlie lich in Schaltschr n ken mit Brandschutzeigenschaften gem EN 60950 1 betrieben werden C Demontage Anschl sse abnehmen bzw trennen Um den mGuard industrial RS von der Hutschiene zu demontieren stecken Sie 24 von 283 Inbetriebnahme einen Schraubendreher waagerecht unterhalb des Geh uses in den Verriege lungsschieber ziehen diesen ohne den Schraubendreher zu kippen nach unten und klappen den mGuard industrial RS nach oben Anschl sse Versorgungsspannung Der Anschluss der Versorgungsspannung erfolgt ber einen Klemmblock mit Schraubverriegelung der sich oben auf dem Ger t befindet Versorgungspannung P1 P2 24V 0V 24V OV 1 DOOD P1 P2 Modem Fault State Error industrial RS LAN WAN Sicherheitshinweis Der Innominate mGuard industr
215. ffentlichen Schl ssel verschl sselte Nachricht kann nur von dem Empf nger entschl sselt und gelesen werden der den zugeh rigen privaten Schl ssel hat Eine mit dem privaten Schl ssel verschl sselte Nachricht kann von jedem Empf nger entschl sselt werden der den zugeh rigen ffentlichen Schl ssel hat Die Verschl sselung mit dem privaten Schl ssel zeigt dass die Nachricht tats chlich vom Eigent mer des zugeh rigen ffentlichen Schl ssels stammt Daher spricht man auch von digitaler Signatur Unterschrift Assymetrische Verschl sselungsverfahren wie RSA sind jedoch langsam und anf llig f r bestimmte Angriffe weshalb sie oft mit einem symmetrischen Ver fahren kombiniert werden gt symmetrische Verschl sselung Andererseits sind Konzepte m glich die die aufwendige Administrierbarkeit von symmetrischen Schl sseln vermeiden Der von IBM stammende und von der NSA berpr fte symmetrische Ver schliisselungsalgorithmus gt symmetrische Verschl sselung DES wurde 1977 vom amerikanischen National Bureau of Standards dem Vorg nger des heuti gen National Institute of Standards and Technology NIST als Standard fir amerikanische Regierungsinstitutionen festgelegt Da es sich hierbei um den ersten standardisierten Verschliisselungsalgorithmus tiberhaupt handelte setzte er sich auch schnell in der Industrie und somit au erhalb Amerikas durch DES arbeitet mit einer Schl ssell nge von 56Bit die heute aufgrund der seit 19
216. fikat samt der anderen Eingaben durch ei nen Klick auf die Schaltfl che bernehmen abzuspeichern Kurzname Beim Importieren eines Gegenstellenzertifikats wird das CN Attribut aus dem Subject Feld des Zertifikats hier als Kurzname vorgeschlagen sofern das Feld Kurzname bis jetzt leer ist Dieser Name kann bernommen oder frei ge ndert werden Sie m ssen einen Namen vergeben den vorgeschlagenen oder einen anderen Und Namen m ssen eindeutig sein d rfen also nicht doppelt vergeben wer den Verwendung des Kurznamens Bei der Konfiguration von SSH Men Verwaltung Systemeinstellungen Shell Zugang und von HTTPS Men Verwaltung Web Einstellungen Zugriff werden die in den mGuard importierten Zertifikate per Auswahlliste angebo ten In dieser werden die Zertifikate jeweils unter dem Kurznamen angezeigt 173 von 283 Konfiguration Menti Authentifizierung den Sie hier auf dieser Seite den einzelnen Zertifikaten geben Eine Namens vergabe ist also zwingend erforderlich Zertifikats Kopie erstellen Aus dem importierten Gegenstellenzertifikat k nnen Sie eine Kopie erzeu gen Gehen Sie dazu wie folgt vor Beim betreffenden Gegenstellenzertifikat neben dem Zeilentitel Zertifikat herunterladen auf die Schaltfl che Aktuelle Zertifikatsdatei klicken Im sich daraufhin ffnenden Dialogfeld die gew nschten Angaben machen 174 von 283 Konfiguration Menti Authentifizierung CRL CRL Authenti
217. fizierung Zertifikate Letztes Update m N chstes Update URL MEET A CRL Certificate Revocation List Zertifikats Sperrliste Die CRL ist eine Liste mit den Seriennummern gesperrter Zertifikate Diese Seite dient zur Konfiguration der Stellen von denen der mGuard CRLs herunterladen soll um sie verwenden zu k nnen B Zertifikate werden nur dann auf Sperrung gepr ft wenn auch der Schalter CRL Pr fung einschalten auf Ja gesetzt ist Siehe Zertifikats einstellungen auf Seite 167 DO Zu jedem Issuer Namen der in zu pr fenden Zertifikaten angegeben wird muss eine CRL mit dem selben Issuer Namen vorhanden sein Fehlt eine sol che CRL dann wird bei eingeschalteter CRL Pr fung das zu pr fende Zerti fikat als ung ltig betrachtet Issuer Nur Anzeige der Information die der mGuard direkt aus der CRL liest Zeigt den Aussteller der betreffenden Zertifikats Sperrliste Certificate Revo cation Liste CRL Letztes Update Nur Anzeige der Information die der mGuard direkt aus der CRL liest Zeit und Datum der Ausstellung der aktuell auf dem mGuard vorhandenen CRL N chstes Update Nur Anzeige der Information die der mGuard direkt aus der CRL liest Zeit und Datum des Zeitpunktes zu dem die CA voraussichtlich eine neue CRL ver ffentlichen wird Diese Angabe wird weder vom CRL Download Intervall beeinflusst noch be r cksichtigt URL Wenn auf der Registerkarte Zertifikatseinstellungen siehe Zert
218. folgen Reset Optionale Schaltfl che Zur cksetzen auf die alten Werte Wenn Sie auf einer Konfi gurationsseite Werte eingetragen haben und diese noch nicht mit bernehmen in Kraft gesetzt haben k nnen Sie mit Reset die Seite auf die alten Werte zur cksetzen Diese Schaltfl che ist nur dann im Kopfbereich der Seite eingeblendet wenn der G ltigkeitsbereich der berneh men Schaltfl che auf seiten bergreifend gestellt ist siehe Verwaltung Web Einstellungen auf Seite 74 Apply Optionale Schaltfl che Wirkt wie die Schaltfl che bernehmen gilt aber seiten bergreifend Diese Schaltfl che ist nur dann im Kopfbereich der Seite eingeblendet wenn der G ltigkeitsbereich der berneh men Schaltfl che auf seiten bergreifend gestellt ist siehe Verwaltung Web Einstellungen auf Seite 74 59 von 283 Konfiguration Menti Verwaltung 6 2 Menu Verwaltung BO Wir empfehlen aus Sicherheitsgriinden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Authentifizierung Lokale Benutzer auf Seite 158 Solange dies noch nicht geschehen ist erhal ten Sie oben auf der Seite einen Hinweis darauf 6 2 1 Verwaltung Systemeinstellungen Host Verwaltung Systemeinstellungen System Stromversorgung 1 2 akiok Betriebszeit NS el Tempera System DNS Hostname Hosinamen Hodus eee OOOO O o Hostname maschine01 Domain Suchpfad beispiel
219. g Sys temeinstellungen Shell Zugang auf Seite 67 e Verwaltung des mGuard per HTTPS siehe Verwaltung Web Einstellun gen Zugriff auf Seite 75 Mit Zertifikaten kann man sich gegen ber anderen ausweisen sich authentisie ren Das Zertifikat mit dem sich der mGuard gegen ber anderen ausweist soll hier der Terminologie von Microsoft Windows folgend Maschinenzertifikat genannt werden Wird ein Zertifikat von einem Menschen benutzt um sich gegen ber Gegenstel len zu authentisieren z B von einem Menschen der per HTTPS und Web Browser auf den mGuard zwecks Fernkonfiguration zugreifen will spricht man einfach von Zertifikat personenbezogenem Zertifikat oder Benutzerzertifikat das dieser Mensch vorzeigt Ein solches personenbezogenes Zertifikat kann z B auch auf einer Chipkarte gespeichert sein und von dessen Inhaber bei Be darf in den Kartenleser seines Rechners gesteckt werden wenn der Web Brow ser bei der Verbindungsherstellung dazu auffordert 163 von 283 Konfiguration Menti Authentifizierung Gegenstellen zertifikat CA Zertifikate Ein Zertifikat wird also von dessen Inhaber Mensch oder Maschine wie ein Ausweis benutzt n mlich um zu beweisen dass er sie wirklich der die ist f r den er sie sich ausgibt Weil es bei einer Kommunikation mindestens zwei Part ner gibt geschieht das wechselweise Partner A zeigt sein Zertifikat seiner Ge genstelle Partner B vor Und Part
220. g nge sind ent koppelt Es besteht keine Lastverteilung Bei redundanter Einspeisung versorgt das Netzger t mit der h heren Ausgangsspannung den EAGLE mGuard alleine Die Versorgungsspannung ist galvanisch vom Geh use getrennt Meldekontakt Sicherheitshinweis Der Meldekontakt darfnur an PELV Spannungskreise oder wahlweise SELV Spannungskreise mit den Spannungsbeschr nkungen gem EN 60950 1 angeschlossen werden Der Meldekontakt dient der Funktions berwachung des EAGLE mGuard und er m glicht damit eine Ferndiagnose ber den potentialfreien Meldekontakt Re laiskontakt Ruhestromschaltung wird durch Kontaktunterbrechung folgendes gemeldet e Der Ausfall mindestens einer der zwei Versorgungsspannungen e Eine dauerhafte St rung im EAGLE mGuard interne 3 3 VDC Spannung Versorgungsspannung 1 oder 2 lt 9 6 V e Der fehlerhafte Linkstatus mindestens eines Ports Die Meldung des Link status kann beim EAGLE mGuard pro Port ber das Management maskiert werden Im Lieferzustand erfolgt keine Verbindungs berwachung e Fehler beim Selbsttest gt Bei nicht redundanter Zuf hrung der Versorgungsspannung meldet der EAGLE mGuard den Ausfall einer Versorgungsspannung Sie k nnen diese Meldung verhindern indem Sie die Versorgungsspannung ber beide Ein g nge zuf hren 33 von 283 Inbetriebnahme Erdungsanschluss Zur Erdung des EAGLE mGuard ist ein separater Schraubanschluss vorhanden Serial Port
221. g der Schalter typen beschrieben Ist durch entsprechende Bet tigung des Tasters oder Schalters eine VPN Verbindung aufgebaut so bleibt diese bestehen bis sie durch Tas ter bzw Schalterbet tigung wieder abgebaut wird LB Wird ein Ein Aus Schalter statt Taster verwendet und ist durch dessen Bet tigung eine VPN Verbindung aufgebaut worden wird diese nach einem Neustart des mGuard automatisch wieder aufgebaut Archiviere Diagnosemeldungen zu VPN Verbindungen Nein Nur beim Start mittels nph vpn cgi oder CMD Kontakt Falls beim Aufbau von VPN Verbindungen Fehler auftreten kann das Log ging des mGuard herangezogen und anhand entsprechender Eintr ge die Feh lerquelle ausfindig gemacht werden Siehe Men punkt Logging Logs ansehen Diese M glichkeit zur Fehlerdiagnose ist standardm ig gegeben und wenn sie ausreichend ist setzen Sie diesen Schalter auf Nein Standard Damit die Funktion Virenschutz genutzt werden kann muss die Archi vierung von Diagnosemeldungen ausgeschaltet d h auf Nein gesetzt sein Nur dann kann der Virenschutz f r HTTP und oder FTP sowie Virenschutz bei E Mail f r POP3 und oder SMTP benutzt werden Men punkt Web Sicherheit und Men punkt E Mail Sicherheit Option Nur beim Start mittels nph vpn cgi oder CMD Kontakt Wird die M glichkeit zur Diagnose von VPN Verbindungsproblemen anhand des Loggings des mGuards als zu unpraktisch oder unzureichend empfunden 1 Der CMD Kont
222. gen Firewall Regeln Nein Ja auf Seite 185 um dieses Verhalten anzupas sen Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h Dateien von allen HTTP Servern wer den gescannt Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless Inter Domain Routing auf Seite 263 B Da ein Verbindungswunsch zun chst durch den mGuard entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert Server Port Hier geben Sie bitte die Nummer des Ports f r das HTTP Protokoll an Der HTTP Standardport 80 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert 196 von 283 Konfiguration Men Web Sicherheit nicht blade Kontroller 6 7 2 Web Sicherheit FTP Voraussetzungen Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Anti Virus Lizenz Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Verwaltung Lizenzie
223. gen werden die unten in der Liste der SMTP Server definiert sind Scannen bis zur Gr sse von Voreingestellt 5 MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Dateien die gr er sind werden nicht gescannt In diesem Fall wird abh ngig von der Einstellung bei berschreitung der Gr ssenbe grenzung eine Fehlermeldung an den SMTP Client zur ckgegeben und die E Mail nicht gesendet oder automatisch in den Durchlassmodus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Anti Virus Log vorgenommen In diesem Fall haben Sie folgende Opti onen e Sie k nnen versuchen das Versenden zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig 203 von 283 Konfiguration Menti E Mail Sicherheit nicht blade Kontroller deaktivieren Sie k nnen die Option f r den automatischen Durchlassmodus akti vieren Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Dateigr e sein kann Bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchlassmodus wenn die eingestellte Dateigr e berschritten wird
224. gend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert gt Die hier angegebenen Regeln treten nur in Kraft wenn der Schalter Aktiviere SSH Fernzugang auf Ja steht Weil Zugriffe von ntern auch m glich sind wenn dieser Schalter auf Nein steht tritt f r diesen Fall eine Firewallregel die den Zugriff von Intern verwehren w rde nicht in Kraft Bei den Angaben haben Sie folgende M glichkeiten Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt beziehungsweise verboten ist Bei den Angaben haben Sie folgende M glichkeiten e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Interface Extern Intern Extern 2 VPN Einwahl Gibt an f r welches Interface die Regel gelten soll Sind keine Regeln gesetzt oder greift keine Regel gelten folgende Standar deinstellungen SSH Zugriff ist erlaubt ber Intern VPN und Einwahl Zugriffe ber Extern und Extern 2 werden verwehrt Legen Sie die Zugriffsm glichkeiten nach Bedarf fest Vorsicht Wenn Sie Zugriffe ber Intern VPN oder Einwahl verwehren wollen m ssen Sie das explizit durch entsprechende Firewallregeln bewirken in der Sie als Aktion z B Verwerfen festlegen Damit Sie sich nicht aussperren m ssen Sie eventuell gleichzeitig den Zugriff ber ein ande
225. genden Da tenpakete in TCP Pakete einzukapseln Ohne diese Einkapselung kann es bei VPN Verbindungen unter Umst nden passieren dass z B durch zwischenge schaltete NAT Router Firewalls oder Proxy Server wichtige Datenpakete die zu einer VPN Verbindung geh ren nicht ordnungsgem bertragen werden Z B k nnen Firewalls so eingestellt sein dass keine Datenpakete des UDP Pro tokolls durchgelassen werden Oder mangelhaft implementierte NAT Router Konfiguration Men IPsec VPN nicht blade Kontroller k nnten bei UDP Paketen die Port Nummern nicht korrekt verwalten Durch die TCP Kapselung werden diese Probleme vermieden weil die zur betreffenden VPN Verbindung geh renden Pakete in TCP Pakete eingekapselt d h verbor gen sind so dass fiir die Netz Infrastruktur nur TCP Pakete in Erscheinung tre ten ST TCP Kapselung kann nur eingesetzt werden wenn auf beiden Seiten des VPN Tunnels ein mGuard ab Version 6 1 eingesetzt wird TCP Kapselung sollte nur eingesetzt werden wenn es erforderlich ist Denn durch betr chtliche Vergr erung des Datenpaket Overheads und durch entsprechend verl ngerte Verarbeitungszeiten werden Verbin dungen langsamer Ist beim mGuard unter Men punkt Netzwerk Proxy Einstellungen festgelegt dass ein Proxy f r HTTP und HTTPS benutzt wird dann wird dieser auch f r VPN Verbindungen verwendet bei denen TCP Kapselung eingesetzt wird ST TCP Kapselung unterst tzt die A
226. generische Anfrage gerichtet auf die jeder DNS Server sofern erreichbar eine Ant wort gibt Bei der Programmierung von Ping Tests ist Folgendes zu beachten Es ist sinnvoll mehrere Ping Tests zu programmieren Denn es k nnte sein dass ein einzelner getesteter Dienst gerade gewartet wird Solch ein Fall sollte nicht die Auswirkung haben dass das sekund re externe Interface aktiviert und eine Kosten verursachende W hlverbindung ber das Telefonnetz herge stellt wird Da durch die Ping Tests Netzwerkverkehr erzeugt wird sollte deren Anzahl und die H ufigkeit ihrer Durchf hrung angemessen festgelegt werden Auch sollte vermieden werden dass das sekund re externe Interface zu fr hzeitig aktiviert wird Bei den einzelnen Ping Requests gilt eine Timeout Zeit von 4 Sekunden Das bedeutet dass nach dem Starten eines Ping Tests der n chste Ping Test nach 4 Sekunden startet wenn der vorige negativ war Zur Ber cksichtigung dieser Aspekte nehmen Sie die nachfolgenden Einstel lungen vor Intervall zwischen den Starts der Testl ufe Sekunden Die oben unter Tests zur Aktivierung definierten Ping Tests werden nach einander durchgef hrt Die einmalige sequentielle Durchf hrung der defi nierten Ping Tests wird als Testlauf bezeichnet Testl ufe werden in Zeitabst nden kontinuierlich wiederholt Das in diesem Feld angegebene In tervall gibt an wie lange der mGuard nach dem Start eines Testlaufs abwartet um den n chsten T
227. glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h Dateien von allen POP3 Servern wer den gescannt Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless Inter Domain Routing auf Seite 263 B Da ein Verbindungswunsch zun chst durch den mGuard entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert Server Port Hier geben Sie bitte die Nummer des Ports f r das POP3 Protokoll an Der POP3 Standardport 110 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Konfiguration Menti E Mail Sicherheit nicht blade Kontroller 6 8 2 E Mail Sicherheit SMTP Virenschutz Optionen Voraussetzungen Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Anti Virus Lizenz Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Verwaltung Lizenzierung auf Seite 82 e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensi gn
228. griffproblemen f hren Ausgehend Ex Quell MAC Ziel MAC Ethernet Protokoll _ Aktion Kommentar SI DNH EEN POT any Annehmen Ethernet Protokoll ist entweder any IPv4 ARP Length oder ein hexadezimaler Wert Bitte beachten Sie Diese Regeln gelten nur im Stealth Modus Bitte beachten Sie Management Zugriff auf die 1 1 1 1 ben tigt ARP Zugriff zum Standard Gateway Beschr nkungen im ARP Verkehr zum Standard Gateway k nnen zu Zugriffproblemen f hren Der MAC Filter wird nur auf Datenpakete angewendet die tiber die Ethernet Schnittstelle eingehen bzw ausgehen Datenpakete die bei mGuard Modellen mit serieller Schnittstelle per Modemverbindung ein bzw ausgehen werden vom MAC Filter nicht erfasst weil hier kein Ethernet Protokoll angewendet wird Im Stealth Modus k nnen neben dem Paketfilter Layer 3 4 der den Datenver kehr z B nach ICMP Nachrichten oder TCP UDP Verbindungen filtert zus tz lich MAC Filter Layer 2 gesetzt werden Ein MAC Filter Layer 2 filtert nach MAC Adressen und Ethernet Protokollen Im Gegensatz zum Paketfilter ist der MAC Filter stateless Das hei t werden Re geln eingef hrt m ssen gegebenenfalls entsprechende Regeln f r die Gegen richtung ebenfalls erstellt werden Ist keine Regel gesetzt sind alle ARP und IP Pakete erlaubt BO Achten Sie auf die Hinweise auf dem Bildschirm wenn Sie MAC Filter Re geln setzen BO Die hier angegebenen Regeln haben Vorrang gegen be
229. grunds tzlich beseitigt aber zeitlich eingegrenzt indem f r das verwen dete Benutzerfirwall Template das konfigurierte Timeout gesetzt ist Siehe Timeout Typ statisch dynamisch auf Seite 191 Authentifizierung Firewall Benutzer Firewall Benutzer Status Status Die Benutzerfirewall ist nicht aktiviert Bei aktivierter Benutzerfirewall wird hier deren Status angezeigt 162 von 283 Konfiguration Menti Authentifizierung 6 5 3 Authentifizierung Zertifikate Begriffsdefinitionen Y Zertifikat Selbst signierte Zertifikate Zertifikat Maschinenzertifikat Der Nachweis und die Pr fung der Authentizit t Authentifizierung genannt ist grundlegendes Element einer sicheren Kommunikation Beim X 509 Authentifi zierungsverfahren wird anhand von Zertifikaten sichergestellt dass wirklich die richtigen Partner kommunizieren und kein falscher dabei ist Falsch w re ein Kommunikationspartner dann wenn er vorgibt jemand zu sein der er in Wirk lichkeit gar nicht ist siehe Glossar unter X 509 Zertifikat Ein Zertifikat dient dem Zertifikatsinhaber als Bescheinigung daf r dass er der ist f r den er sich ausgibt Die bescheinigende beglaubigende Instanz daf r ist die CA Certificate Authority Von ihr stammt die Signatur elektronische Un terschrift auf dem Zertifikat mit der die CA bescheinigt dass der rechtm ige Inhaber des Zertifikats einen privaten Schl ssel besitzt
230. gskabel zwischen den beiden Ger ten verl uft Der Wert sollte so hoch eingestellt werden wie es das Modem unterst tzt Ist der Wert niedriger eingestellt als die Geschwindigkeit welche das Modem auf der Telefonleitung erreichen kann dann wird die Telefonleitung nicht voll ausgenutzt Verwende das Modem transparent nur bei Einwahl Ja Nein Wird das externe Modem zur Einwahl verwendet siehe PPP Einwahlopti onen auf Seite 136 dann bedeutet die Einstellung Ja dass der mGuard das Modem nicht initialisiert Die nachfolgend konfigurierte Modem Initialisie rungssequenz wird nicht beachtet So kann entweder ein Modem angeschlos sen werden das von selbst Anrufe annimmt Standard Profil des Modems beinhaltet Auto Answer oder es kann anstelle des Modems ein Null Mo dem Kabel zu einem Computer und dar ber das PPP Protokoll verwendet werden Modem Initialisierungssequenz Gibt die Initialisierungssequenz an die der mGuard zum angeschlossenen Modem sendet Standard d dATH OK Konfiguration Menti Netzwerk Gegebenenfalls im Handbuch zum Modem nachschlagen wie die Initialisie rungssequenz fiir diese Modem lautet Die Initialisierungssequenz ist eine Folge von Zeichenketten die vom Modem erwartet werden und Befehlen die daraufhin an das Modem gesendet werden damit das Modem eine Verbin dung aufbauen kann Die voreingestellte Initialisierungssequenz hat folgende Bedeutung d zwei einfache direkt
231. h die MAC Adresse des Clients konfiguriert werden DAD ARP Anfragen auf dem internen Interface versendet Siehe RFC2131 Abschnitt 4 4 1 122 von 283 Konfiguration Menti Netzwerk Netzwerk Modus Router Werkseinstellung mGuard delta und blade Kontroller Wenn als Netzwerk Modus Router ausgew hlt ist Netzwerk Interfaces Netzwerk Status Externe IP Adresse Status des Netzwerkmodus Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Externe Netzwerke Externe Konfiguration per DHCP beziehen terne IPs ungesicherter Port Zus tzliche externe Routen IP des Default Gateways Interne Netzwerke Interne IPs IP Netzmaske Verwende VLAN VLAN ID gesicherter Port 192 168 1 1 255 255 255 0 nein Zus tzliche interne Routen REESEN Gateway Externe Netzwerke Netzwerkmodus Router Externe Konfiguration per DHCP beziehen Ja Nein Falls der mGuard die Konfigurationsdaten per DHCP Dynamic Host Configuration Protocol vom DHCP Server bezieht legen Sie Ja fest Dann bleiben gegebenfalls weitere bereits bestehende Angaben unter Externe Netzwerke wirkungslos die entsprechenden Felder auf dieser Seite werden ausgeblendet Falls der mGuard die Daten nicht per DHCP Dynamic Host Configura tion Protocol vom DHCP Server bezieht legen Sie Nein fest und machen dann die folgenden Angaben Externe IPs ungesicherter Port Die Adressen
232. halter auf Ein steht die ppp Einwahloption zur Verf gung Die Anschlusseinstellungen fiir das angeschlossene externe Modem sind auf der Registerkarte Modem Konsole vorzunehmen gt Bei mGuard industrial RS mit eingebautem Modem oder ISDN TA Modem PPP Aus Eingebautes Modem Externes Modem Der Schalter muss auf Aus stehen wenn die serielle Schnittstelle nicht f r die ppp Einwahloption genutzt werden soll Steht dieser Schalter auf Externes Modem steht die PPP Einwahloption zur Verf gung Dann muss an der seriellen Schnittstelle ein externes Modem an geschlossen sein Die Anschlusseinstellungen f r das angeschlossene externe Modem sind auf der Registerkarte Modem Konsole vorzunehmen Steht dieser Schalter auf Eingebautes Modem steht die PPP Einwahloption zur Verf gung In diesem Fall erfolgt die Modemverbindung nicht ber die auf seiner Frontseite befindliche Buchse Serial sondern ber die Klemmleiste unten ber die das eingebaute Modem bzw der eingebaute ISDN Terminala dapter mit dem Telefonnetz verbunden wird Die Anschlusseinstellungen f r 136 von 283 Konfiguration Menti Netzwerk das eingebaute Modem sind auf der Registerkarte Modem Konsole vorzu nehmen Bei Nutzung der Option Eingebautes Modem ist es zus tzlich m glich die serielle Schnittstelle zu benutzen Zu dessen Nutzungsm glichkeiten siehe Modem Konsole auf Seite 139 Lokale IP IP Adresse des mGuard unter der er bei ei
233. hen 12 Bit zur Aufnahme der VLAN ID zur Verf gung Die VLAN ID 0 und 4095 sind reserviert und nicht zur Identifikation eines VLANs nutzbar Ein Virtuelles Privates Netzwerk VPN schlie t mehrere voneinander getrennte private Netzwerke Teilnetze ber ein ffentliches Netz z B das Internet zu einem gemeinsamen Netzwerk zusammen Durch Verwendung kryptographi scher Protokolle wird dabei die Vertraulichkeit und Authentizit t gewahrt Ein VPN bietet somit eine kosteng nstige Alternative gegen ber Standleitungen wenn es darum geht ein berregionales Firmennetz aufzubauen 279 von 283 Technische Daten 9 Technische Daten Allgemein CPU Intel IXP 42x mit 266 MHz bzw 533 MHz Speicher 16 MB Flash 64 MB SDRAM mGuard delta 128 MB LAN u WAN Schnittstellen Ethernet IEEE 802 10 100 Mbps RJ45 Seriell RS 232 smart Via USB Schnittstelle 5 V 500 mA oder durch externes Stromversorgung Netzteil 110 230 V delta 5VDC 3A Betriebssystem Innominate Embedded Linux Funktionsiiberwachung Watchdog und optische Anzeige blade smart PCI max 90 nicht kondensierend Relat ye Lululenehsigkeit delta 5 95 nicht kondensierend smart blade delta 0 40 C Umgebungstemperatur PCI 0 70 C mGuard industrial RS L nge eines 10BASE T 100BASE TX Twisted Pair Segmentes ca Netzausdehnung 100 m Betriebsspannung 9 bis 36 VDC maximale transiente Uberspannung
234. herstellen wollen Automatisches Reconnect Ja Nein Bei Ja geben Sie im nachfolgenden Feld Reconnect taglich um die Uhrzeit an Dieses Feature dient dazu das von vielen Internet Providern sowieso erzwungene Trennen und Wiederverbinden mit dem Internet in eine Zeit zu legen wenn es den Gesch ftsbetrieb nicht st rt Bei Einschalten dieser Funktion greift diese nur dann wenn die Synchronisa tion mit einem Zeit Server erfolgt ist siehe Verwaltung Systemeinstellun gen Zeit und Datum auf Seite 63 Reconnect t glich um Angabe der Uhrzeit falls Automatisches Reconnect s 0 stattfindet Interne Netzwerke Die Konfiguration der internen Netzwerke ist unter Netzwerk Modus Router PPPoE PPTP oder Modem Eingebautes Modem auf Seite 128 erkl rt 125 von 283 Konfiguration Menti Netzwerk Netzwerk Modus PPTP Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Wenn als Netzwerk ER Modus PPTP aus le Pr PPTP Passwort NE ME Setze lokale IP statisch folgendes Feld SE Lokale IP 10 0 0 140 Modem IP 10 0 0 138 Interne Netzwerke Interne IPs IP Netzmaske Verwende VLAN VLAN ID gesicherter Port 192 168 1 1 255 255 255 0 nein E Zus tzliche interne Routen Netzwerk Gateway PPTP F r Zugriffe ins Internet gibt der Internet Service Provider ISP dem Benutzer einen Benutzernamen Login und ein Passwort Diese werden abfragt wenn Sie eine
235. hintereinander gesetzte Anf hrungs striche Die leere Zeichenkette inerhalb der Anf hrungsstriche bedeutet dass der mGuard am Anfang keine Information vom angeschlossene Modem erwartet sondern direkt den folgenden Text an das Modem sendet d dATH Diese Zeichenkette sendet der mGuard an das Modem um dessen Bereitschaft zum Annehmen von Kommandos fest zustellen OK Gibt an dass der mGuard vom Modem die Zeichenkette OK als Antwort auf d dATH erwartet Bei vielen Modem Modellen ist es m glich Modem V oreinstellungen im Modem selber abzuspeichern Doch sollte auf diese M glichkeit besser ver zichtet werden Notwendige oder gew nschte Initialisierungssequenzen soll ten statt dessen lieber extern d h beim mGuard konfiguriert werden Dann kann bei einem Defekt des Modems dieses schnell und problemlos ausge tauscht werden ohne auf Modem V oreinstellungen zu achten BO Soll das externe Modem f r eingehende Rufe verwendet werden ohne dass die Modem Voreinstellungen darauf ausgelegt sind dann m ssen Sie dem Modem mitteilen dass es hereinkommende Rufe nach dem Klingeln anneh men soll Bei Verwendung des erweiterten HAYES Befehlssatzes geschieht dies durch das Anh ngen der Zeichen AT amp SO 1 OK ein Leerzeichen gefolgt von AT amp SO 1 gefolgt von einem Leerzeichen gefolgt von OK an die Initialisierungssequenz B gt Manches externe Modem ben tigt gem seiner Werkseinstellungen zur kor rekten Funktio
236. hl D Si Verbindungstrennung nach Leerlauf D Su Leerlaufzeit Sekunden fo Lokale IP baang J Entfernte IP baang J Netzmaske baang ff Weitere gemeinsame Einstellungen Bedarfsweise Einwahl Ja Nein Bei Ja Standard Diese Einstellung ist sinnvoll bei Telefonverbindungen deren Kosten nach der Verbindungsdauer berechnet werden Der mGuard befiehlt dem Modem erst dann eine Telefonverbindung aufzu bauen wenn auch wirklich Netzwerkpakete zu tibertragen sind Er weist dann auch das Modem an die Telefonverbindung wieder abzubauen sobald fiir eine bestimmte Zeit keine Netzwerkpakete mehr zu tibertragen gewesen sind siehe Wert in Verbindungstrennung nach Leerlauf Auf diese Weise bleibt 133 von 283 Konfiguration Menti Netzwerk 134 von 283 der mGuard allerdings nicht st ndig von au erhalb d h f r eingehende Da tenpakete erreichbar BO Der mGuard baut ber das Modem auch oft oder sporadisch dann eine Ver bindung auf bzw h lt eine Verbindung l nger wenn folgende Bedingungen zutreffen Oft Der mGuard ist so konfiguriert dass er seine Systemzeit Datum und Uhrzeit regelm ig mit einem externen NTP Server synchronisiert Sporadisch Der mGuard agiert als DNS Server und muss f r einen Client eine DNS Anfrage durchf hren Nach einem Neustart Eine aktive VPN Verbindung ist auf Initiiere gestellt Dann wird jedesmal nach einem Neustart des mGuard eine Ver bindung aufgebaut Nach ei
237. hnen angegebenen Absen der IP Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben eine Technik die als NAT Network Address Translation be zeichnet wird siehe auch NAT Network Address Translation im Glossar Diese Methode wird benutzt wenn die internen Adressen extern nicht geroutet werden k nnen oder sollen z B weil ein privater Adressbereich wie 192 168 x x oder die interne Netzstruktur verborgen werden soll Dieses Verfahren wird auch P Masquerading genannt BO Arbeitet der mGuard im PPPoE PPTP Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden BO Bei der Verwendung von mehreren statischen IP Adressen f r den WAN Port wird immer die erste IP Adresse der Liste f r IP Masquerading verwendet BD im Stealth Modus werden die Regeln nicht angewendet Werkseinstellung Es findet kein NAT statt Bei den Angaben haben Sie folgende M glichkeiten Ausgehend ber Interface Extern Extern 2 Alle Externen Gibt an tiber welches Interface die Datenpakete ausgehen damit sich die Re gel auf sie bezieht Mit Alle Externen sind die Interfaces Extern und Extern 2 gemeint Von IP 0 0 0 0 0 bedeutet alle internen IP Adressen werden dem NAT Verfahren unterzogen Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless Inter Domain Routing auf Seite 263 Kommentar
238. ial RS ist fiir den Betrieb an einer Gleichspannung von 9 36V DC SELV max 0 5A vorgesehen Entspre chend d rfen an die Versorgungsanschl sse sowie an den Meldekontakt nur SELV Spannungskreise mit den Spannungsbeschr nkungen gem EN 60950 1 angeschlossen werden a Betriebsspannung NEC Class 2 power source 12VDC bzw 24VDC 25 33 Sicherheitsklein spannung SELV PELV redundante Eing nge entkoppelt max 5A Pufferzeit min 10ms bei 24VDC Redundante Spannungsversorgung Die Versorgungsspannung ist redundant anschlie bar Beide Eing nge sind ent koppelt Es besteht keine Lastverteilung Bei redundanter Einspeisung versorgt das Netzger t mit der h heren Ausgangsspannung den mGuard industrial RS al leine Die Versorgungsspannung ist galvanisch vom Geh use getrennt BO Bei nicht redundanter Zuf hrung der Versorgungsspannung meldet der mGuard industrial RS ber den Meldekontakt s u den Ausfall einer Versor gungsspannung Sie k nnen diese Meldung verhindern indem Sie die Versor gungsspannung ber beide Eing nge zuf hren Netzwerkverbindung Sicherheitshinweis Schlie en Sie die Netzwerk Ports des mGuard nur an LAN Installationen an Zum Aufbau von Netzwerkverbindungen sind Kabel mit _Knickschutzh lle an den Steckern zu verwenden Unbenutzte Buchsen sind mit den mitgelieferten Staubschutzkappen abzudecken Einige Fernmeldeanschl sse verwenden ebenfalls RJ45 Buchsen diese d rfen nicht mit den RJ45 B
239. ic mGuardTrapVPNIKEServerStatus 1 mGuardTResVPNStatus Trap beim Starten und Stoppen des IPsec IKE Servers mGuardTrapVPN enterpriseSpecific mGuardTrapVPNIPsecConnStatus 2 mGuardTResVPNName mGuardTResVPNIndex mGuardTResVPNPeer mGuardTResVPNStatus mGuard TResVPNType mGuardTResVPNLocal mGu ardTResVPNRemote Trap bei Zustands nderung einer IPsec Verbindung 99 von 283 Konfiguration Menti Verwaltung Status nderungen von L2TP Verbindungen Ja Nein enterprise oid mGuardTrapVPN genericTrap _ enterpriseSpecific specific trap mGuardTrapVPNL2TPConnsStatus 3 additional mGuardTResVPNName mGuardTResVPNIndex mGuardTResVPNPeer mGuardTResVPNStatus mGuard TResVPNLocal mGuardTResVPNRemote Erl uterung Trap bei Zustands nderung einer L2TP Verbindung SNMP Trap Ziele Traps k nnen an mehrere Ziele versendet werden Ziel IP IP Adresse an welche der Trap gesendet werden soll Ziel Port Standard 162 Ziel Port an welchen der Trap gesendet werden soll Zielname Ein optionaler beschreibender Name f r das Ziel Hat keinen Einfluss auf die generierten Traps Ziel Community Name der SNMP Community welcher der Trap zugeordnet ist 100 von 283 Konfiguration Menti Verwaltung LLDP LLDP Intern LAN Interface Ger te IP Adresse ____Portbeschreibuo Systemname MAC 00 0C BE 02 21 2C 10 1 47 9 WAN port rambaldi MAC 00 OC BE 01 32 E1 10 1 0 254 LAN port devel mguard MAC 00 OC
240. icht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren 259 von 283 Konfiguration Menti Support 6 14 Menu Support 6 14 1 Support Werkzeuge Ping Check Support Werkzeuge Lireceroute_ Ping Check Hostname IP Address Ping Check Ziel Sie wollen tiberpriifen ob eine Gegenstelle tiber ein Netzwerk erreichbar ist Vorgehen In das Feld Hostname IP Adresse die IP Adresse oder den Hostnamen der Gegenstelle eingeben Dann auf die Schaltflache Ping klicken Sie erhalten daraufhin eine entsprechende Meldung Traceroute ST Traceroute Traceroute Hostname IP Address Den IP addressostohosenornes TE Traceroute Ziel Sie wollen wissen welche Zwischenstellen oder Router sich auf dem Ver bindungsweg zu einer Gegenstelle befinden Vorgehen In das Feld Hostname IP Address den Hostnamen oder IP Adresse der Ge genstelle eintragen zu der die Route ermittelt werden soll Falls die auf der Route gelegenen Stellen mit IP Adresse statt mit Hostnamen falls vorhanden ausgegeben werden sollen aktivieren Sie das Kontrollk st chen Do not resolve IP addresses to hostnames H kchen setzen Dann auf die Schaltfl che Trace klicken Sie erhalten daraufhin eine entsprechende Meldung DNS Lookup Support Werkzeuge DNS Lookup Hostname Lookup DNS Look
241. ie maximale Leitungsl nge des seriellen Kabels betr gt 30m Der Serial Port serielle Schnittstelle kann wie folgt verwendet werden a Zum Konfigurieren des mGuard ber die serielle Schnittstelle Dazu gibt es zwei M glichkeiten An die serielle Schnittstelle des mGuard wird direkt ein PC angeschlossen ber dessen serielle Schnittstelle Dann kann der PC Benutzer mittels eines Terminalprogramms ber die Kommandozeile den mGuard konfigurieren Oder an die serielle Schnittstelle des mGuards wird ein Modem angeschlos sen das am Telefonnetz Festnetz oder GSM Netz angeschlossen ist Dann kann der Benutzer eines entfernten PCs der ebenfalls mit einem Modem am Telefonnetz angeschlossen ist zum mGuard eine PPP W hlverbindung PPP Point to Point Protocol herstellen und ihn per Web Browser konfigurie ren b Zur Abwicklung des Datenverkehrs statt ber die WAN Schnittstelle des mGuard ber die serielle Schnittstelle In diesem Fall ist an die serielle Schnittstelle ein Modem anzuschlie en Pin Belegung der RJ12 Buchse Serial Port nicht belegt CTS TXD RTS RXD GND Pin 6 Pin 5 Pin 4 Pin 3 Pin 2 Pin 1 h Bu Des en d DG Beim mGuard industrial RS mit eingebautem Modem oder ISDN Terminal adapter kann der Datenverkehr statt tiber die WAN Schnittstelle tiber die An schl sse Analog Line bzw ISDN Line erfolgen 29 von 283 Inbetriebnahme 4 2 mGuard smart anschlie en
242. iehe auch CIDR Classless Inter Domain Routing auf Seite 263 Kommentar Kann mit kommentierendem Text gef llt werden 146 von 283 Konfiguration Menti Netzwerk Portweiterleitung Portweiterleitung Log ID tena A 00000000 0000 0000 0000 000000000000 f el r TCP z Jo 0 0 0 0 Jany g extern Ir http PE 0 0 1 Hp Nein Diese Regeln leiten Verkehr der an den mGuard gerichtet ist an eine weitere Maschine um ohne dabei die Adresse des Absenders zu ndern Die Spalte Eintreffend auf IP erlaubt den Wert extern f r die erste externe IP des mGuard Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus Listet die festgelegten Regeln zur Port Weiterleitung DNAT Destination NAT auf Bei Port Weiterleitung geschieht Folgendes Der Header eingehender Datenpa kete aus dem externen Netz die an die externe IP Adresse oder eine der exter nen IP Adressen des mGuard sowie an einen bestimmten Port des mGuard gerichtet sind werden so umgeschrieben dass sie ins interne Netz an einen be stimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden D h die IP Adresse und Port Nummer im Header eingehender Daten pakete werden ge ndert Dieses Verfahren wird auch Destination NAT genannt BO Portweiterleitung kann nicht angewendet werden bei Verbindungen die ber das Interface Extern 2 initiiert werden BO Die hier eingestellten Regeln haben Vorrang gegen ber den
243. ier k nnen Sie eine weitere IP Adresse angeben ber welche der mGuard ad Konfiguration Menti Netzwerk ministriert werden kann Wenn e unter Stealth Konfiguration die Option mehrere Clients gew hlt ist oder e der Client ARP Anfragen nicht beantwortet oder e kein Client vorhanden ist dann ist der Fernzugang ber HTTPS SNMP und SSH nur ber diese Adresse m glich B gt Bei statischer Stealth Konfiguration kann die Stealth Management IP Adres se immer erreicht werden auch wenn der Client PC seine Netzwerkkarte nicht aktiviert hat DO Ist das sekund re externe Interface aktiviert siehe Sekund res externes In terface Extern 2 auf Seite 114 gilt Folgendes Sind die Routing Einstel lungen in der Weise in Kraft dass der Datenverkehr zur Stealth Management IP Adresse ber das sekund re externe Interface geroutet w r de w re damit eine Ausschlusssituation gegeben d h der mGuard w re nicht mehr lokal administrierbar Um das zu verhindern hat der mGuard einen Mechanismus eingebaut der daf r sorgt dass in einem solchen Fall die Stealth Management IP Adresse vom lokal angeschlossenem Rechner oder Netz erreichbar bleibt IP Adresse Die zus tzliche IP Adresse unter welcher der mGuard erreichbar und admi nistrierbar sein soll Die IP Adresse 0 0 0 0 deaktiviert die Management IP Adresse Netzmaske Die Netzmaske zu obiger IP Adresse Default Gateway Das Default Gateway Standardgateway des Net
244. ifikats einstellungen auf Seite 167 unter CRL Download Intervall festgelegt ist dass die CRL regelm ig neu heruntergeladen werden soll dann geben Sie hier die URL der CA an von der der Download von deren CRL stattfinden kann Hochladen Falls die CRL als Datei vorliegt kann sie auch manuell in den mGuard gela den werden Dazu auf die Schaltfl che Durchsuchen klicken die Datei selektieren und dann auf Importieren klicken Bitte vergessen Sie nicht das importierte Zer tifikat samt der anderen Eingaben durch einen Klick auf die Schaltfl che bernehmen abzuspeichern 175 von 283 Konfiguration Menti Authentifizierung 176 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller 6 6 Menu Netzwerksicherheit nicht blade Kontroller 6 6 1 Netzwerksicherheit Paketfilter Der mGuard beinhaltet eine Stateful Packet Inspection Firewall Die Verbin dungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst con nection tracking Dadurch sind Regeln nur fiir eine Richtung zu definieren Dann werden die Daten aus der anderen Richtung der jeweiligen Verbindung und nur diese automatisch durchgelassen Ein Nebeneffekt ist dass bestehende Verbindungen bei einer Umkonfiguration nicht abgebrochen werden selbst wenn eine entsprechende neue Verbindung nicht mehr aufgebaut werden d rfte werkseitige Voreinstellung der Firewall Eingangsregeln e Alle eingehenden Verbindungen werd
245. ifikats zu er stellen k nnen Sie wie folgt vorgehen Auf der Registerkarte Maschinenzertifikate beim betreffenden Maschinen zertifikat neben dem Zeilentitel Zertifikat herunterladen auf die Schaltfl che Aktuelle Zertifikatsdatei klicken Siehe Maschinenzertifikate auf Seite 169 Das von einer Gegenstelle vorgezeigte Zertifikat kann vom mGuard auch anders berpr ft werden als durch Heranziehung des lokal aufdem mGuard installierten Gegenstellenzertifikats Die nachfolgend beschriebene M glichkeit wird je nach Anwendung statt dessen oder erg nzend verwendet um gem X 509 die Au thentizit t von m glichen Gegenstellen zu berpr fen durch das Heranziehen von CA Zertifikaten CA Zertifikate geben ein Mittel in die Hand berpr fen zu k nnen ob das von einer Gegenstelle gezeigte Zertifikat wirklich von der CA signiert ist die im Zer tifikat dieser Gegenstelle angegeben ist Ein CA Zertifikat kann von der betreffenden CA Certificate Authority in Da teiform zur Verf gung gestellt werden Dateinamen Erweiterung cer pem oder crt z B frei herunterladbar von der Webseite der betreffenden CA Anhand von in den mGuard geladenen CA Zertifikaten kann der mGuard also berpr fen ob das vorgezeigte Zertifikat einer Gegenstelle vertrauensw rdig ist Es m ssen aber dem mGuard alle CA Zertifikate verf gbar gemacht werden um mit dem von der Gegenstelle vorgezeigten Zertifikat eine Kette zu bilden ne ben dem CA
246. iguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder an der LAN Buchse des mGuard angeschlossen sein oder der Rechner muss ber das Netzwerk mit dem mGuard verbunden sein Bei Fernkonfiguration Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren Der EAGLE mGuard muss an mindestens einem aktivem Netzteil ange schlossen sein Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder an der LAN Buchse des mGuard angeschlossen sein oder der Rechner muss ber das Netzwerk mit dem mGuard verbunden sein Konfiguration vorbereiten mGuard delta Bei Fernkonfiguration Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zulasst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren Der mGuard delta muss an seine Stromversorgung angeschlossen sein Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder am LAN Switch Ethernetbuchse 4 bis 7 des mGuard angeschlossen sein oder er muss ber das lokale Netzwerk mit dem mGuard verbunden sein Bei Fernkonfiguration Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindu
247. im Empfang von ICMP Nach richten beeinflussen die aus dem externen Netz ber das prim re sekund re externe Interface an den mGuard gesendet werden Sie haben folgende M g lichkeiten Verwerfen Alle ICMP Nachrichten zum mGuard werden verworfen Annehmen von Ping Nur Ping Nachrichten ICMP Typ 8 zum mGuard werden akzeptiert Alle ICMPs annehmen Alle Typen von ICMP Nachrichten zum mGuard werden akzeptiert BO Unabh ngig von der hier festgelegten Einstellung werden bei aktiviertem SNMP Zugriff eingehende ICMP Pakete immer angenommen Anti Virus Scanner Auf Viren gescannte Verbindungen unterliegen Firewall Regeln Nein Ja Unter dem Men Web Sicherheit HTTP Web Sicherheit FTP E Mail Si cherheit POP3 E Mail Sicherheit SMTP kann jeweils auf der Register karte Virenschutz eine Liste von Serververbindungen angelegt werden Dateien die ber diese Verbindungen beim mGuard eingehen bei SMTP ber den mGuard ausgehen werden auf Viren gescannt Sind Firewall Paketfilter gesetzt Netzwerksicherheit Paketfilter und oder Netzwerksicherheit Benutzerfirewall die diese Verbindungen betreffen und unterbinden werden diese nur dann ber cksichtigt sofern der Schalter Auf Viren gescannte Verbindungen unterliegen Firewall Regeln auf Ja gesetzt ist Bei Nein Standardeinstellung haben die Regeln die f r die Anti Virus Funktion gesetzt sind Vorrang Firewall Paketfilter die dazu im Widerspruch stehen werden dann
248. in dass er eine Fernkonfiguration zul sst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren Der mGuard smart muss eingeschaltet sein d h per USB Kabel an einen eingeschalteten Rechner oder Netzteil angeschlossen sein so dass er mit Strom versorgt wird Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder am LAN Port des mGuard angeschlossen sein oder er muss ber das lokale Netzwerk mit dem mGuard verbunden sein Bei Fernkonfiguration Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss folgende Voraussetzungen erf llen mGuard im Treibermodus Auf dem Rechner muss der mGuard PCI Treiber installiert sein mGuard im Power over PCI Modus Der Rechner muss am LAN An schluss des mGuard angeschlossen sein oder ber das lokale Netzwerk mit dem mGuard verbunden sein Bei Fernkonfiguration Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren Der mGuard blade muss in der mGuard bladeBase montiert sein und minde stens eines der Netzteile der bladeBase muss in Betrieb sein Bei lokaler Konf
249. in Kraft setzen Rechts neben dem Namen des betreffenden Konfigurationsprofils auf die Schaltflache Wiederherstellen klicken Folge Das betreffende Konfigurationsprofil wird aktiviert gt Wenn das Wiederherstellen einen Wechsel zwischen dem Stealth Modus und einem der anderen Netzwerk Modi beinhaltet wird der mGuard neu gestartet Konfigurationsprofil als Datei auf dem Konfigurations Rechner speichern 1 Rechts neben dem Namen des betreffenden Konfigurationsprofils auf die Schaltflache Download klicken 2 Legen Sie im angezeigten Dialogfeld den Dateinamen und Ordner fest unter bzw in dem das Konfigurationsprofil als Datei gespeichert werden soll Sie k nnen die Datei beliebig benennen Konfigurationsprofil l schen Rechts neben dem Namen des betreffenden Konfigurationsprofils auf die Schaltfl che L schen klicken BO Das Profil Werkseinstellung kann nicht gel scht werden Aktuelle Konfiguration als Konfigurationsprofil im mGuard speichern 1 Hinter Speichere aktuelle Konfiguration als Profil in das Feld Name des neuen Profils den gew nschten Profil Namen eintragen 2 Auf die Schaltfl che Speichern klicken Folge Das Konfigurationsprofil wird im mGuard gespeichert und der Name des Profils wird in der Liste der bereits im mGuard gespeicherten Profile ange zeigt Hochladen eines Konfigurationsprofils das auf dem Konfigurations Rech ner in einer Datei gespeichert ist Voraussetzung Sie haben nach
250. in SNMP f higes Ger t kann zudem von sich aus SNMP Nachrichten verschik ken z B wenn au ergew hnliche Ereignisse auftreten Solche Nachrichten nennt man SNMP Traps Eine Art Siegel welches die Echtheit eines ffentlichen Schl ssels gt asym metrische Verschl sselung und zugeh riger Daten belegt Damit der Benutzer eines zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von seinem tats chlichen Aussteller und damit der Instanz stammt die die zu versen denden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Diese Be glaubigung der Echtheit des ffentlichen Schl ssels und die damit verbundene Verkn pfung der Identit t des Ausstellers mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Re geln der CA indem der Aussteller des ffentlichen Schl ssels beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher berpr fung signiert die CA den ffentliche Schl ssel mit ihrer digitalen Unterschrift ihrer Signatur Es ent steht ein Zertifikat Ein X 509 v3 Zertifikat beinhaltet also einen ffentlichen Schl ssel Informa tionen ber den Schl sseleigent mer angegeben als Distinguised Name DN erlaubte Verwendungszwecke usw und die Signatur der CA gt Subject Zerti fikat Die Signatur entsteht wie folgt Aus der Bitfolge des ffentlichen
251. in der ffnung Kann z B mit einer aufgebogenen B roklammer bet tigt werden Siehe Die Rescue Taste f r Neu start Recovery Prozedur und Fla shen der Firmware auf Seite 265 mGuard industrial RS H Versorgungsspannung 2 siehe Kapitel Inbetriebnahme Du P1 P2 Modem Fault 2 Power Supply 2 P2 S State Error gt 3 Fault LAN WAN E S Error Serial E WAN E Anal Service Line _ 1 CMDACK TIP RING a Klemmblock f r Meldekontakt Taster und optionalen ISDN oder Telefonan schluss siehe Kap Inbetriebnahme LED Zustand Bedeutung PI gr n leuchtend Stromversorgung 1 ist aktiv P2 gr n leuchtend Stromversorgung 2 ist aktiv Modem gr n leuchtend Verbindung per Modem hergestellt Fault rot leuchtend Der Meldekontakt ist aufgrund eines Fehlers offen siehe mGuard industrial RS installieren auf Seite 24 unter Meldekontakt W hrend eines Neustarts ist der Meldekontakt unterbrochen State gr n blinkend Heartbeat Das Ger t ist korrekt angeschlossen und funktioniert Error rot blinkend Systemfehler F hren Sie einen Neustart durch BD Dazu die Rescue Taste kurz 1 5 Sek dr cken ODER Das Ger t von der Stromversorgung kurz trennen und dann wieder anschlie en Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 265 oder
252. inistratorrechten an und warten Sie bis das folgende Fenster erscheint Found New Hardware Wizard Welcome to the Found New Hardware Wizard This wizard helps you install a device driver for a hardware device To continue click Next Cancel 1 Klicken Sie auf Weiter 42 von 283 Inbetriebnahme Found New Hardware Wizard yy Install Hardware Device Drivers A device driver is a software program that enables a hardware device to work with an operating system 2 W hlen Sie Suche nach einem passenden Treiber f r das Ger t und klicken Sie auf Weiter Found New Hardware Wizard Locate Driver Files Where do you want Windows to search for driver files Ei Floppy disk drives Found New Hardware Wizard Driver Files Search Results The wizard has finished searching for driver files for your hardware device 4 Klicken Sie auf Weiter 43 von 283 Inbetriebnahme Digital Signature Not Found x The Microsoft digital signature affirms that software has been tested with Windows and that the software has not been altered since it was tested The software you are about to install does not contain a Microsoft digital signature Therefore there is no guarantee that this software works correctly with Windows Innominate mGuardPCI If you want to search for Microsoft digitally signed software visit the Windows Update Web site at http windowsupdate microsoft com to see
253. ionen wie z B private Maschi nenzertifikate oder Passw rter Eventuell benutzte Pre Shared Keys von VPN Verbindungen sind jedoch in Snapshots enthalten Um einen Snapshot zu erstellen gehen Sie wie folgt vor 1 Die Schaltfl che Herunterladen klicken 2 Die Datei speichern unter dem Namen snapshot tar gz Stellen Sie die Datei dem Support zur Verf gung wenn dies erforderlich ist 262 von 283 Konfiguration CIDR Classless Inter Domain Routing 6 15 CIDR Classless Inter Domain Routing IP Netzmaske 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 0 0 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 OO OO OO OO CH CH OO OO OO OO 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 OO OO OO OO OO OO OO OO OO OO OO OO IP Netzmasken und CIDR sind Notationen die mehrere IP Adressen zu einem Adressraum zusammenfassen Dabei wird ein Bereich von aufeinanander fol genden Adressen als ein Netzwerk behandelt Um dem mGuard einen Bereich von IP Adressen anzugeben z B bei der Kon figuration der Firewall kann es erforderlich sein den Adressraum in der CIDR Schreibweise anzugeben Die nachfolgende Tabelle zeigt links
254. isiert dass die definierte VPN Verbindung nicht besteht Ursache VPN Verbin dung nicht aufgebaut oder ausgefallen wegen Fehler Ist die Signal LED auf EIN besteht die VPN Verbindung Blinkt die Signal LED wird die VPN Verbindung gerade auf oder abgebaut Analog Line bei integriertem Modem Sicherheitshinweis Die analogen Anschl sse TIP RING d rfen nur an die daf r vorgesehene Fernmeldeleitung angeschlossen werden Die Kontakte TIP und RING sind f r den Anschluss ans Telefon Festnetz Analoganschluss F r die auf der Frontblende angegebenen Kontaktbezeichnungen sind in Deutschland auch folgende Bezeichnungen gebr uchlich TIP a RING b ISDN Line bei integriertem ISDN Terminaladapter Sicherheitshinweis Die ISDN Anschl sse TX TX RX RX d rfen nur an einen ISDN SO Bus angeschlossen werden Die Kontakte TX TX RX und RX sind f r den Anschluss ans ISDN und bezeichnen den mGuard industrial RS als Teilnehmer am ISDN Die folgende Inbetriebnahme Tabelle beschreibt die Zuordnung der Kontakte zu 8 poligen Verbindungen sowohl f r Stecker als auch Dosen zum Beispiel RJ45 Serial Port Pol Nummer TE mGuard 3 TX 4 RX 5 RX 6 TX Sicherheitshinweis Die serielle Schnittstelle RJ12 Buchse darf nicht direkt mit Fernmeldeanschl ssen verbunden werden Zum Anschluss eines seriellen Terminals oder eines Modems ist ein serielles Kabel mit RJ12 Stecker zu ver wenden D
255. ispiel 192 168 1 0 255 255 255 0 entspricht im CIDR 192 168 1 0 24 CIDR 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 HA MG UO JA bes 263 von 283 Konfiguration Netzwerk Beispielskizze 6 16 Netzwerk Beispielskizze Die nachfolgende Skizze zeigt wie in einem lokalen Netzwerk mit Subnetzen die IP Adressen verteilt sein k nnten welche Netzwerk Adressen daraus resultieren und wie beim mGuard die Angaben zus tzlicher interner Route lauten k nnten Internet Adresse von extern z B 123 456 789 21 vom Internet Service Provider zugewiesen mGuard im Netzwerk Modus Router Interne Adresse des mGuard 192 168 11 1 Switch Netz A Netzadresse 192 168 11 0 24 N Maske 255 255 255 0 Router IP extern 192 168 11 2 gt Router IP intern 192 168 15 254 N Maske 255 255 255 0 Switch Netz B Netzadresse 192 168 15 0 24 N Maske 255 255 255 0 Router IP extern 192 168 15 1 gt IP intern 192 168 27 254 CS N Maske 255 255 255 0 Netz C Netzadresse 192 168 27 0 24 N Maske 255 255 255 0 Gi ei ei Lo zus tzliche interne Routen Netz A Rechner A1 A2 A3 A4 A5 IP Adresse 192 168 11 3 192 168 11 4 192 168 11 5 192 168 11 6 192 168 11 7 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Netz B Zus tzliche Rechner Bl B2 B3 B4 interne
256. istriert mGuardTrapSenderIndustrial enterpriseSpecific mGuardTrapSignalRelais 3 mGuardTResSignalRelaisState Konfiguration Menti Verwaltung Erl uterung mGuardTEsSignlalRelaisReason mGuardTResSignal RelaisReasonldx Wird gesendet nach ge ndertem Meldekontakt und gibt den dann aktuellen Status an 0 Aus 1 Ein Agent ACA Temperatur Traps aktivieren Ja Nein enterprise oid genericTrap specific trap additional Erl uterung enterprise oid genericTrap specific trap additional Erl uterung mGuardTrapIndustrial enterpriseSpecific mGuardTrapIndustrialTemperature 1 mGuardSystemTemperature mGuardTrapIndustrialTempHiLimit mGuardTrapIndustrialLowLimit Bei Uberschreitung der festgelegten Grenzwerte gibt der Trap die Temperatur an mGuardTrapIndustrial enterpriseSpecific mGuardTrapAutoConfigA dapterState 4 mGuardTrapAutoConfigA dapterChange Dieser Trap wird nach Zugriff auf den ACA gesendet Blade Kontroller Traps nur blade e Status nderung von Blades Umstecken Ausfall Traps aktivieren Ja Nein enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung mGuardTrapBladeCTRL enterpriseSpecific mGuardTrapBladeCtrlPowerStatus 2 mGuardTrapBladeRackID mGuardTrapBladeSlotNr mGuardTrapBladeCtrlPowerStatus Trap wird gesendet wenn der Stromv
257. it nicht blade Kontroller 202 von 283 Beispiele Globale Aktivierung des Anti Virus Schutzes fiir POP3 rEg ser serverpot Kommentar scannen f E f 0 0 00 ng fale ausgehenden Verbindun Scannen x Scan eines Subnetzes Ausklammerung eines trusted POP3 Servers ez RER RER scannen P E ES 168 2 5 fito Jungesichertes POP3 Nicht Scannen v P h92 168 2 0724 ng esichertes POP3 Scannen Scan eines einzelnen untrusted POP3 Servers in einem Subnetz Eg see sermerpon Kommentar scannen u fis2 168 2 5 fio gesicherte POP3 Scannen x P h92 168 2 0724 ng ungesichertes POP3 Nicht Scannen v BO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Nach Viren zu scannen kann ausgehende Verbindungen erlauben die bli cherweise durch die unter Netzwerksicherheit Paketfilter und Netzwerk sicherheit Benutzerfirewall definierten Firewallregeln unterbunden sind Bitte beachten Sie daher auch Auf Viren gescannte Verbindungen unterlie gen Firewall Regeln Nein Ja auf Seite 185 um dieses Verhalten anzupas sen Bei den Angaben haben Sie folgende M
258. it die neue Ein stellung greifen kann Scannen bis zur Gr sse von Voreingestellt 5 MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Dateien die gr er sind werden nicht gescannt In diesem Fall wird abh ngig von der Einstellung bei berschreiten der Gr enbe grenzung eine Fehlermeldung an den E Mail Client gesendet und die E Mail nicht empfangen oder automatisch in den Durchlassmodus geschaltet 200 von 283 Konfiguration Menti E Mail Sicherheit nicht blade Kontroller Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Anti Virus Log vorgenommen In diesem Fall haben Sie folgende Opti onen e Sie k nnen versuchen das Abholen der E Mail zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchlassmodus akti vieren Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Dateigr e sein kann Bei Virusdetektion Benachrichtigung per E Mail Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine E Mail benachrichtigt Fehlermeldung an den E Mail Client Erkennt der Virenfilter einen Virus dann wird der Empf
259. it einem der Ethernet LAN Anschl sse 4 bis 7 des mGuards 36 von 283 Inbetriebnahme 4 6 mGuard PCI installieren a Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Ma nahmen durchzuf hren 4 6 1 Auswahl Treibermodus oder Power over PCI Modus Treibermodus Es gibt zwei Betriebsmodi Treibermodus und Power over PCI Modus Der mGuard wird per Jumper auf den gew nschten Modus geschaltet Treibermodus Der mGuard PCI kann wie eine normale Netzwerkkarte verwendet werden Dann stellt diese Netzwerkkarte zus tzlich die mGuard Funktionen zur Verf gung In diesem Fall muss der mitgelieferte Treiber installiert werden Power over PCI Modus Wenn die Netzwerkkarten Funktionalit t des mGuard nicht gebraucht wird oder nicht verwendet werden soll kann der mGuard PCI hinter eine vorhandene Netz werkkarte desselben Rechners oder eines anderen quasi wie ein mGuard Stan dalone Ger t angeschlossen werden Tats chlich steckt der mGuard PCI in dieser Betriebsart nur deswegen im PCI Slot eines Rechners um mit Strom ver sorgt zu werden und ein Geh use zu haben Diese Betriebsart des mGuard wird Power over PCI Modus genannt Ein Treiber wird nicht installiert Entscheiden Sie vor dem Einbau in Ihren PC in welchem Modus Sie den mGuard PCI betreiben m chten In diesem Modus muss sp ter ein Treib
260. itisch f r den gew nschten Gesamterfolg bertragung der gew nschten Datei oder E Mail ist 6 11 1 Ingress Filter Intern Extern QoS Ingress Filter Ein Ingress Filter bewirkt dass bestimmte Datenpakete vor Eintreten in den Ver arbeitungsmechanismus des mGuard ausgefiltert und verworfen werden so dass eine Verarbeitung nicht stattfindet Der mGuard kann Ingress Filter benutzen um die vorhandene Verarbeitungsleistung nach M glichkeit nicht mit solchen Datenpaketen zu belasten die im Netzwerk nicht gebraucht werden Das hat den Effekt dass die anderen d h die gebrauchten Datenpakete schneller verarbeitet werden Durch geeignete Filterregeln kann z B sichergestellt werden dass der adminis trative Zugang zum mGuard immer mit hoher Wahrscheinlichkeit erfolgen kann Die Paketverarbeitung auf dem mGuard ist im Wesentlichen durch das Handling des einzelnen Datenpakets gepr gt so dass die Verarbeitungsleistung nicht von der Bandbreite sondern von der Zahl der zu verarbeitenden Pakete abh ngt Gefiltert wird ausschlie lich nach Merkmalen die jedes einzelne Datenpaket aufweist oder aufweisen kann die im Header angegebene IP Adresse von Sender und Absender das angegebene Ethernet Protokoll das angegebene IP Protokoll der angegebene TOS DSCP Wert und oder die VLAN ID wenn VLANs einge richtet sind Da durch die gesetzten Filterregeln bei jedem einzelnen Datenpaket gepr ft wird ob es unter die Filterregeln f llt sollte
261. ittstelle und eines eingebauten Modems siehe Modem Konsole auf Seite 139 Netzwerk Interfa Allgemein Ethernet Netzwerk Status Externe IP Adresse Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Externe Netzwerke Externe Konfiguration per DHCP beziehen Netzmaske Verwende VLAN VLAN ID IP Netzwerk Gateway fio 1 0 254 Externe IPs ungesicherter Port Zus tzliche externe Routen IP des Default Gateways Interne Netzwerke Interne IPs Netzmaske V gesicherter Port IP Netzwerk Gateway Gateway Zus tzliche interne Routen Sekund res externes Interface Netzwerkmodus Betriebsmodus Sekund re externe Routen Tests zur Aktivierung A D Typ Ziel Das sekundare externe Interface wird nur aktiviert wenn der Betriebsmodus aushilfsweise eingestellt ist und keiner der Tests erfolgreich ist Intervall zwischen den Starts der Testlaufe Sekunden SSL SSSI o sekund re externe Interface aktiviert wird DNS Modus verwende die prim ren DNS Einstellungen unver ndert Kommentar Benutzerdefinerte wenn sie ber das sekund re externe Interface werden erreicht sollen dann tragen Sie bitte eine entsprechende Route ein 109 von 283 Konfiguration Menti Netzwerk Allgemein Netzwerk Status Externe IP Adresse Adresse des WAN Ports Nur Anzeige Die Adressen unter denen der mGuard von Ger ten des exter nen Netzes aus erreichba
262. itzung er ffnet werden soll root admin netadmin audit Nur wenn diese Angabe mit der bereinstimmt die hier festgelegt wird erh lt er Zugriff Konfiguration Menti Verwaltung Mit der Einstellung Alle Benutzer ist der Zugriff fiir jeden der vorgenannten Systembenutzer m glich Die Einstellm glichkeiten netadmin und audit beziehen sich auf Zugriffsrechte mit dem Innominate Device Manager 73 von 283 Konfiguration Men Verwaltung 6 2 2 Verwaltung Web Einstellungen G ru ndeinstellu ngen Verwaltung Web Einstellungen Grundeinstellungen Sprache kautomatisch ZE Ablauf der Sitzung Sekunden isoo E G ltigkeitsbereich des bernehmen Knopfes Grundeinstellungen Sprache Ist in der Sprachauswahlliste Automatisch ausgew hlt bernimmt das Ge r t die Spracheinstellung aus dem Browser des Rechners Ablauf der Sitzung Sekunden Sekunden der Inaktivit t nach denen der Benutzer von der Web Schnittstelle des mGuard automatisch abgemeldet wird M gliche Werte 15 bis 86400 24 Stunden G ltigkeitsbereich des bernehmen Knopfes Mit Pro Seite wird festgelegt dass Sie auf jeder Seite auf der Sie Ande rungen vorgenommen haben jeweils die Schaltflache Ubernehmen zu kli cken haben damit die Einstellungen vom mGuard tibernommen und in Kraft gesetzt werden Mit Seiteniibergreifend wird festgelegt dass Sie nach Vornahme von Ande rungen auf mehren Seiten nur einmalig Ubernehmen klick
263. kalen Netzwerkes in ein internes Netz auf Ja gestellt siehe 1 zu 1 NAT auf Seite 220 gilt Folgendes Die interne IP Adresse im Stealth Modus die Stealth Management IP Adresse bzw Virtuelle IP muss sich in dem Netzwerk befinden das mit Interne Netzwerkadresse f r lokales 1 zu 1 NAT angegeben ist Ist dabei die Option Aktiviere 1 zu 1 NAT des gegen berliegenden Netzwerkes auf ein anders Netz auf Ja gestellt siehe 1 zu 1 NAT auf Seite 220 gilt Folgendes Die IP Adresse des Trap Empf ngers muss sich in dem Netzwerk befinden das in der Definition der VPN Verbindung als Remote angegeben ist Basis Traps e SNMP Authentifikation Traps aktivieren Ja Nein enterprise oid mGuardInfo generic trap authenticationFailure specific trap 0 Erl uterung Wird gesendet falls eine Station versucht unberechtigt auf den SNMP Agenten des mGuard zuzugreifen e Linkstatus Up Down Traps aktivieren Ja Nein enterprise oid mGuardInfo generic trap _ linkUp linkDown specific trap 0 95 von 283 Konfiguration Menti Verwaltung 96 von 283 Erl uterung enterprise oid generic trap specific trap Erl uterung Wird gesendet wenn die Verbindung zu einem Port unterbrochen linkDown bzw wiederhergestellt linkUp wird e Kaltstart Traps aktivieren Ja Nein mGuardInfo coldStart 0 Wird nach Kalt oder Warmstart gesendet Admin SSH HTTPS Traps und neuer DHCP Client Traps aktivieren
264. klicken 83 von 283 Konfiguration Menti Verwaltung Lizenzbedingungen Verwaltung Lizenzierung mGuard Firmware License Information The mGuard incorporates certain free and open software Some license terms associated with this software require that Innominate Security Technologies AG provides copyright and license information see below for details All the other components of the mGuard Firmware are Copyright 2001 2008 by Innominate Security Technologies AG Last updated on 2008 03 27 for the mGuard 6 0 0 release atv BSD style beron GNU GPLv2 balibs GNU GPLv2 bridge utils GNU GPLv2 busybox GNU GPLv2 ban BSD style djbdns Copyright 2001 D J Bernstein clamav GNU GPLv2 conntrack GNU GPLv2 curl MIT X derivate license ebtables GNU GPLv2 ez ipupdate GNU GPLv2 nord GNU GPLv2 ffreeradius mostly GNU GPLv2 LGPLv2 GNU GPLv2 LGPLv2 Imd2 Derived from the RSA Data Security Inc MD2 Message Digest Algorithm md5 Derived from the RSA Data Security Inc MD5 Message Digest Algorithm libdes BSD style FreeS WAN Openswanl jhorypto BSD style Eric Young BSD style OpenSSL libaes BSD style zlib zlib license raij BSD style GNU C Library GNU LGPL v2 HTML Utilities BSD style iproute2 GNU GPLv2 inset GNU GPLv2 Listet die Lizenzen der Fremd Software auf die im mGuard verwendet wird Es handelt sich meistens um O
265. kunde hh com SNMP Information Systemname J Le Standort J E Kontakt J HiDiscovery Lokale HiDiscovery Unterst tzung aktiviere e HiDiscovery Frame Durchietung ein BEE System nur mGuard industrial RS EAGLE mGuard Power supply 1 2 Zustand der beiden Netzteile Betriebszeit Bisherige Laufzeit des Ger ts seit dem letzten Neustart Temperatur C Wenn der hier angegebene Temperaturbereich unter bzw berschritten wird dann wird ein SNMP Trap ausgel st System DNS Hostname Hostnamen Modus Mit Hostnamen Modus und Hostname k nnen Sie dem mGuard einen Namen geben Dieser wird dann z B beim Einloggen per SSH angezeigt siehe Ver waltung o Systemeinstellungen Shell Zugang auf Seite 67 Eine Na mensgebung erleichtert die Administration mehrerer mGuards Benutzerdefiniert siehe unten Standard Der im Feld Hostname eingetragene Name wird als Name f r den mGuard gesetzt HE Arbeitet der mGuard im Stealth Modus muss als Hostnamen Modus die Option Benutzer definiert gew hlt werden 60 von 283 Konfiguration Menti Verwaltung Provider definiert z B via DHCP Sofern der Netzwerkmodus ein externes Setzen des Hostnamens erlaubt wie z B bei DHCP dann wird der vom Provider bermittelte Name f r den mGuard gesetzt Hostname Ist unter Hostnamen Modus die Option Benutzer definiert ausgewahlt dann tragen Sie hier den Namen ein den der mGuard erhalten soll Sonst d h wenn
266. lgende Quelle ebenfalls durchsuchen K Drivers Print win_2kXP Durchsuchen Nicht suchen sondern den zu installierenden Treiber selbst w hlen Verwenden Sie diese Option um einen Ger tetreiber aus einer Liste zu w hlen Es wird nicht garantiert dass der von Ihnen gew hlte Treiber der Hardware am besten entspricht lt Zur ck Abbrechen 2 Klicken Sie auf Weiter 41 von 283 Inbetriebnahme Hardwareinstallation A Die Software die fiir diese Hardware installiert wird Innominate mGuardPCI hat den Windows Logo T est nicht bestanden der die Kompatibilit t mit Windows XP berpr ft Warum ist dieser Test wichtig Das Fortsetzen der Installation dieser Software kann die korrekte Funktion des Systems direkt oder in Zukunft beeintr chtigen Microsoft empfiehlt strengstens die Installation jetzt abzubrechen und sich mit dem Hardwarehersteller f r Software die den Windows Logo Test bestanden hat in Yerbindung zu setzen Installation fortsetzen E 3 Klicken Sie auf Installation fortsetzen Assistent fiir das Suchen neuer Hardware Fertigstellen des Assistenten Die Software fur die folgende Hardware wurde installiert ag Innominate mGuardPCl Klicken Sie auf Fertig stellen um den Vorgang abzuschlie en an Abbrechen lt Zur ck 4 Klicken Sie auf Fertig stellen Unter Nach Einbau der Hardware den Computer einschalten Melden sich mit Windows 2000 Adm
267. liche Verbindung zum Server zur Da ten bertragung auf Damit die zus tzlichen Verbindungen von der Firewall durchgelassen werden muss FTP auf Ja stehen Standard IRC Ja Nein hnlich wie bei FTP Beim Chatten im Internet per IRC m ssen nach aktivem Verbindungsaufbau auch eingehende Verbindungen zugelassen werden soll das Chatten reibungslos funktionieren Damit diese von der Firewall durchge lassen werden muss IRC auf Ja stehen Standard PPTP Ja Nein Muss Ja gesetzt werden wenn von lokalen Rechnern ohne Zuhilfenahme des mGuard VPN Verbindungen mittels PPTP zu externen Rechner aufgebaut werden k nnen sollen Werkseitig ist dieser Schalter auf Nein gesetzt H 323 Ja Nein Standard Nein Protokoll das zum Aufbau von Kommunikationssitzungen mit zwei oder mehr Teilnehmern dient Wird f r audio visuelle bertragungen verwendet Dieses Protokoll ist lter als SIP Konfiguration Menti Netzwerksicherheit nicht blade Kontroller SIP Ja Nein Standard Nein Das SIP Session Initiation Protocol dient zum Aufbau von Kommunika ti onssitzungen mit zwei oder mehr Teilnehmern Wird haufig bei der IP Tele fonie verwendet Mit Ja ist es dem mGuard m glich das SIP zu verfolgen und dynamisch not wendige Firewall Regeln einzuf gen wenn weitere Kommunikationskan le zu derselben Sitzung aufgebaut werden Wenn zus tzlich NAT aktiviert ist k nnen einer oder mehrere lokal ange schlossene Rechner ber den
268. licken Nach Klicken auf die Schaltfl che Editieren wird die Registerkarte f r DNS Eintr ge angezeigt Netzwerk DNS DNS Eintr ge Lokale Aufl sung von Hostnamen Domain der Hosts Aktiv Auch IP Adressen aufl sen Hostnamen Domain der Hosts Der Name kann frei vergeben werden muss aber den Regeln f r die Ver gabe von Domain Namen folgen Wird jedem Hostnamen zugeordnet Aktiv Ja Nein Schaltet die Funktion Lokale Aufl sung von Hostnamen f r die im Feld dar ber angegebene Domain auf Ein Ja oder auf Aus Nein Auch IP Adressen aufl sen Ja Nein Nein Der mGuard l st nur Hostnamen auf d h liefert zu Hostnamen die zugeordnete IP Adresse Ja Wie bei Nein Zus tzlich ist es m glich f r eine IP Adresse die dieser Adresse zugeordneten Hostnamen geliefert zu bekommen Hostnamen Die Tabelle kann beliebig viele Eintr ge aufnehmen Ein Hostname darf mehreren IP Adressen zugeordnet werden Einer IP Adresse d rfen mehrere Hostnamen zugeordnet werden TTL Abk rzung f r Time To Live Angabe in Sekunden Standard 3600 1 Stunde Gibt an wie lange abgerufene Zuordnungspaare im Cache des abrufenden Rechners gespeichert bleiben d rfen IP Die IP Adresse die dem Hostnamen in dieser Tabellenzeile zugeordnet wird 150 von 283 Konfiguration Menti Netzwerk Dom ne mit allen Zuordnungspaaren l schen Den entsprechenden Tabelleneintrag l schen Die Funktion Lokale Aufl sung von H
269. liebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Namen von Regels tzen sofern definiert Bei Angabe eines Namens f r Re gels tze treten die Firewall Regeln in Kraft die unter diesem Namen gespei chert sind siehe Registerkarte Regels tze BO Im Stealth Modus entspricht Abweisen der Aktion Verwerfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder nicht Log auf Nein setzen werkseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Ja Nein Bei Ja werden alle Verbindungsversuche protokolliert die nicht von den vo ranstehenden Regeln erfasst werden Werkseitige Voreinstellung Nein 1 Extern 2 und Alle Externen nur bei Ger ten mit serie
270. liert betrieben und gewartet werden Bitte verwenden Sie den mGuard ausschlie lich Schlie en Sie die Netzwerk Ports des mGuard nur an LAN Installationen an Ei nige Fernmeldeanschl sse verwenden ebenfalls RJ45 Buchsen diese d rfen Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden Bitte beachten Sie auch die weiteren ger tespezifischen Sicherheitshinweise in e mGuard PCI Ihr PC muss einen freien PCI Slot 3 3V oder 5V bereitstellen e Zum Reinigen des Ger tegeh uses ein weiches Tuch verwenden Kein Sicherheits hinweise auf die daf r vorgesehene Art und f r geeignete Zwecke nicht mit den RJ45 Buchsen des mGuard verbunden werden Warnung 7 angemessene Ma nahmen durchzuf hren den folgenden Abschnitten Allgemeine Hinweise zur Benutzung aggressives L sungsmittel auftragen Schritte zur Inbetriebnahme Schritt 1 Lieferumfang pr fen Release Notes lesen e Umgebungsbedingungen 0 bis 40 C smart blade delta 70 C PCI 55 C mGuard industrial RS EAGLE mGuard e max Luftfeuchtigkeit 90 mGuard industrial RS EAGLE mGuard 95 nicht kondensierend e Nicht direktem Sonnenlicht oder dem direkten Einfluss einer W rmequelle aussetzen um berhitzung zu vermeiden e Anschlusskabel nicht knicken Den Netzwerkstecker nur zum Verbinden mit einem Netzwerk benutzen Um das Ger t in Betrieb zu nehmen f
271. lle Ir ir anhand von Alle CA Zertifikate die Gegenstellenzertifikat mit dem von der Gegen stelle vorgezeigten Zertifi kat die Kette bis zum Root CA Zertifikat bilden ggf PLUS Gegenstellenzertifikate wenn als Filter verwendet Gem dieser Tabelle sind nachfolgend die Zertifikate zur Verf gung zu stellen die der mGuard zur Authentifizierung des jeweiligen SSH Clients heranziehen muss Die nachfolgenden Anleitungen gehen davon aus dass die Zertifikate bereits ordnungsgem im mGuard installiert sind Siehe 6 5 3 Authentifizierung Zertifikate auf Seite 163 BO Ist unter Men punkt Authentifizierung Zertifikate Zertifikatseinstellungen die Verwendung von Sperrlisten CRL Pr fung aktiviert wird jedes von einer CA signierte Zertifikat das SSH Clients vorzeigen auf Sperrung ge pr ft Konfiguration Menti Verwaltung CA Zertifikat Die Konfiguration ist nur dann erforderlich wenn der SSH Client ein von ei ner CA signiertes Zertifikat vorzeigt Es sind alle CA Zertifikate zu konfigurieren die der mGuard ben tigt um mit den von SSH Clients vorgezeigten Zertifikaten jeweils die Kette bis zum je weiligen Root CA Zertifikat zu bilden Die Auswahlliste stellt die CA Zertifikate zur Wahl die in den mGuard unter Men punkt Authentifizierung Zertifikate geladen worden sind X 509 Subject Erm glicht die Filtersetzung in Bezug auf den Inhalt des Feldes Subject im Zertifikat
272. llenzeilen pr sentiert Sind mehrere Datens tze mit Einstellungen gesetzt z B Firewall Regeln werden diese in der Reihenfolge der Eintr ge von oben nach unten ab gefragt bzw abgearbeitet Gegebenenfalls ist also auf die Reihenfolge der Ein tr ge zu achten Durch das Verschieben von Tabellenzeilen nach unten oder oben kann die Reihenfolge ge ndert werden Bei Tabellen k nnen Sie Zeilen einf gen um einen neuen Datensatz mit Einstellungen anzulegen z B die Firewall Einstellungen f r eine bestimmte Verbindung Zeilen verschieben d h umsortieren und Zeilen l schen um den gesamten Datensatz zu l schen 57 von 283 Konfiguration Bedienung Einfiigen von Zeilen ES i gt x EEE ET wl i n gL 2 Orr SL 2 1 Klicken Sie auf den Pfeil unter dem Sie eine neue Zeile einf gen wollen E 2 Folge Die neue Zeile ist eingef gt Jetzt k nnen Sie in der Zeile Werte eintragen oder angeben Verschieben von Zeilen gt lt EEE gt lt i gt lt i lL P n AAC sgr pa se fOL_ 3 oss 7 sgl gt H e mmm e sC 1 Markieren Sie eine oder mehrere Zeilen die Sie verschieben wollen 2 Klicken Sie auf den Pfeil unter den Sie die markierten Zeilen verschieben wollen 3 Folge Die Zeilen sind verschoben L schen von Zeilen or CR O CR O O sU et x RR ES Ee 2 gh 2 re I mn 3 gt eL 3 Es TH 4 SIT nu el 1 Markieren Sie die Zeilen die Sie l schen wollen 2 Klicke
273. ller Schnittstelle Siehe Netzwerk Interfaces auf Seite 109 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Ausgangsregeln Netzwerksicherheit Paketfilter Eingangsregeln Ausgangsregein Reg Erweiterte Einstellungen Ausgehend Se ing N2 00000000 0000 0000 0000 000000000000 gt x no fProtoron Nach p nach Port r 2 Alle Jo 0 0 0 0 Eny 0 0 0 0 0 Eny Annehmen default rule Nein Diese Regeln geben an welcher Verkehr von innen nach au en passieren darf Bitte beachten Sie Port Angaben werden nur f r TCP und UDP ausgewertet Vetondungsversuche De Tel Verbindungsversuche Ausgehend Listet die eingerichteten Firewall Regeln auf Sie gelten f r ausgehende Daten verbindungen die von intern initiiert wurden um mit einer entfernten Gegenstel le zu kommunizieren Werkseinstellung Per Werkseinstellung ist eine Regel gesetzt die alle ausge henden Verbindungen zul sst Ist keine Regel gesetzt sind alle ausgehenden Verbindungen verboten au er VPN Die Anti Virus Funktion siehe Web Sicherheit HTTP auf Seite 194 Web Sicherheit FTP auf Seite 197 E Mail Sicherheit POP3 auf Seite 200 E Mail Sicherheit SMTP auf Seite 203 hat Vorrang vor den hier definierten Firewall Regeln und kann diese teilweise au er Kraft setzen Dieses Verhalten kann unter Men Netzwerksicherheit Paketfilter Er weiterte Einstellungen mit dem Schalter Auf Viren g
274. llten Wert 0 0 0 0 Sonst d h bei Zuteilung einer festen IP Adresse tragen Sie diese hier ein Entfernte IP IP Adresse der Gegenstelle Bei Anbindung ans Internet ist das die IP Adres se des Internet Service Providers ber die der Zugang ins Internet bereit ge stellt wird Da f r die Verbindung das Point to Point Protocol PPP verwendet wird muss im Normalfall diese IP Adresse nicht spezifiziert wer den so dass Sie den voreingestellten Wert bernehmen 0 0 0 0 Netzmaske Die hier anzugegebene Netzmaske geh rt zu den beiden IP Adressen Lokale IP und Entfernte IP blich ist dass entweder alle drei Werte Lokale IP Ent fernte IP Netzmaske fest eingestellt werden oder auf dem Wert 0 0 0 0 ver bleiben Auf der Registerkarte Modem Konsole nehmen Sie Anschlusseinstel lungen f r ein externes Modem vor Siehe Modem Konsole auf Seite 139 135 von 283 Konfiguration Menti Netzwerk Eingehender Ruf Nur mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta Netzwerk Interfaces Eingehender Ruf PPP Einwahloptionen Modem PPP La Vi Lokale 1P 192 168 2 1 EE Entfernte 1P Ine es PPP Login name PPP Passwort Eingangsregeln PPP ID fw serial incoming N 00000000 0000 0000 0000 000000000000 tsp bard ne Protokoll U von p von Port Nachip Nach Port Aktion kommentar Log LogrEintr ge f r unbekannte Verbindungsversuche ein Ausgangsregeln PPP L
275. lverbindung oder ein Terminal EAGLE mGuard Der EAGLE mGuard ist f r die Monta ge auf Hutschienen gema DIN EN 50 022 konzipiert und ist damit vor allem fiir den Einsatz im industriellem Umfeld geeignet Der optionale Konfigurations anschluss und die Option zur Herstel lung einer Telefon W hlverbindung ber die V 24 Schnittstelle er ffnen zu s tzliche Einsatzm glichkeiten mGuard delta Als kompakter LAN Switch Ethernet Fast Ethernet ist diese Ger teausf h rung f r den Anschluss von bis zu 4 LAN Segmenten konzipiert Damit eig net sich das Ger t besonders in logisch segmentierten Netzwerkumgebungen bei denen sich die lokal angeschlossenen Rechner Netze die mGuard Funktionen teilen Eine zus tzliche serielle Schnitt stelle erm glicht Konfiguration ber eine Telefon W hlverbindung oder ein Ter minal Mit seinem robusten Metallgeh use ist der mGuard delta nicht nur als Desktop Ger t sondern auch zur Unterbringung in Verteilerr umen geeignet 12 von 283 Typische Anwendungsszenarien 2 Typische Anwendungsszenarien Stealth Modus Netzwerkrouter DMZ Nachfolgend werden verschiedene m gliche Anwendungsszenarien f r den mGuard skizziert CJ Firewall Anti Virus VPN Im Stealth Modus Werkseinstellung kann der mGuard zwischen einen einzel nen Rechner und das tibrige Netzwerk gesetzt werden Die Einstellungen f r Firewall Anti Virus und VPN k nnen mit einem Web browser unter de
276. m mern dienen zur Unterscheidung unterschiedlicher Zentralen Eine andere Nummer muss nur in folgendem Fall verwendet werden Ein mGuard vorgeschaltet einer Maschine muss zu zwei oder mehreren ver schiedenen Wartungszentralen und deren mGuards Verbindungen mit einge schalteter TCP Kapselung aufnehmen IP Fragmentierung IKE Fragmentierung Ja Nein UDP Pakete k nnen insbesondere dann bergro werden wenn bei Aufbau einer IPsec Verbindung die Verbindung zwischen den beteiligten Ger ten per IKE ausgehandelt wird und dabei Zertifikate ausgetauscht werden Es gibt Router die nicht in der Lage sind gro e UDP Pakete weiterzuleiten wenn di ese auf dem bertragungsweg z B per DSL in 1500 Bytes gro e St cke fragmentiert worden sind Manches defekte Ger t leitet dann nur das erste Fragment weiter so dass dann die Verbindung fehlschl gt Wenn zwei mGuards miteinander kommunizieren kann von vornherein daf r gesorgt werden dass nur kleine UDP Pakete ausgesandt werden Damit wird verhindert dass die Pakete unterwegs fragmentiert und damit m glicherweise von einigen Routern nicht korrekt weitergeleitet werden Wenn Sie diese Option nutzen wollen setzen Sie diesen Schalter auf Ja B Wird der Schalter auf Ja gesetzt ist diese Einstellung nur wirksam wenn die Gegenstelle ein mGuard ist auf dem die Firmware ab Version 5 1 0 installiert ist In allen anderen F llen bleibt die Einstellung unwirksam schadet aber nicht MTU
277. m glichkeiten netadmin und audit beziehen sich auf Zugriffsrechte mit dem Innominate Device Manager Client Zertifikat Die Konfiguration ist in den folgenden F llen erforderlich SSH Clients zeigen jeweils ein selbst signiertes Zertifikat vor SSH Clients zeigen jeweils ein von einer CA signiertes Zertifikat vor Es soll eine Filterung erfolgen Zugang erh lt nur der dessen Zertifikats Kopie im mGuard als Gegenstellenzertifikat installiert ist und in dieser Tabelle dem mGuard als Client Zertifikat zur Verf gung gestellt wird Dieser Filter ist dem Subject Filter dar ber nicht nachgeordnet sondern ist auf gleicher Ebene angesiedelt ist also dem Subject Filter mit einem logischen ODER beigeordnet Der Eintrag in diesem Feld legt fest welches Gegenstellenzertifikat der mGuard heranziehen soll um die Gegenstelle den SSH Client zu authentifi zieren Dazu in der Auswahlliste eines der Gegenstellenzertifikate ausw hlen Die Auswahlliste stellt die Gegenstellenzertifikate zur Wahl die in den mGuard unter Men punkt Authentifizierung Zertifikate geladen worden sind F r den Zugriff autorisiert als Alle Benutzer root admin netadmin audit Filter der festlegt dass der SSH Client f r eine bestimmte Verwaltungsebene autorisiert sein muss um Zugriff zu erhalten Erl uterung Der SSH Client zeigt bei Verbindungsaufnahme nicht nur sein Zertifikat vor sondern gibt auch den Systembenutzer an f r den die SSH S
278. m neuen Header versehen zum VPN Gateway der Gegenstelle dem Tunnelende gesendet Dort werden die bertragenen Da tagramme entschl sselt und aus ihnen die urspr nglichen Datagramme wie derhergestellt Diese werden dann zum Zielrechner weitergeleitet Transport Host gt Host Bei diesem Verbindungstyp werden nur die Daten der IP Pakete verschl s selt Die IP Header Informationen bleiben unverschl sselt Bei Wechsel auf Transport werden die nachfolgenden Felder bis auf Protokoll ausgeblendet weil diese Parameter entfallen Lokal Remote bei Verbindungstyp Tunnel Netz gt Netz Unter Lokal und Remote definieren Sie die Netzwerkbereiche f r beide Tunne lenden P IPsec Tunnel N ZN ZN ge n Lokales Internet VPN Gateway Netz Netz gegen ber gegen ber Lokal Hier geben Sie die Adresse des Netzes oder Computers an das oder der lokal am mGuard angeschlossen ist Remote Hier geben Sie die Adresse des Netzes oder Computers an das der sich hinter dem gegen berliegenden VPN Gateway befindet Ist oben unter Adresse des VPN Gateways der Gegenstelle siehe Adresse des VPN Gateways der Gegenstelle auf Seite 214 diese mit any angege ben ist es m glich dass mehrere verschiedene Gegenstellen zum mGuard Verbindung aufnehmen Festlegung einer Default Route ber das VPN Die Adresse 0 0 0 0 0 gibt eine Default Route ber das VPN an Bei dieser wird s mtlicher Datenverkehr f r den keine a
279. m zu ber pr fenden vorgezeigten Zertifikat des VPN Partners steht auch das CA Zertifi kat der ihr bergeordneten CA usw bis hin zum Root Zertifikat Denn je l ckenloser diese Kette des Vertrauens berpr ft wird um eine Gegenstelle als authentisch zu akzeptieren desto h her ist die Sicherheitsstufe In einer Client Server Umgebung ist ein Server ein Programm oder Rechner das vom Client Programm oder Client Rechner Anfragen entgegennimmt und beantwortet Bei Datenkommunikation bezeichnet man auch den Rechner als Client der eine Verbindung zu einem Server oder Host herstellt D h der Client ist der anru fende Rechner der Server oder Host der angerufene Bei IP bertragungsprotokollen werden Daten in Form von Datenpaketen den sog IP Datagrammen versendet Ein IP Datagramm hat folgenden Aufbau IP Header TCP UDP ESP etc Header Daten Payload Der IP Header enth lt die IP Adresse des Absenders source IP address die IP Adresse des Empf ngers destination IP address die Protokollnummer des Protokolls der n chst h heren Protokollschicht nach dem OSI Schichtenmodell die IP Header Pr fsumme Checksum zur berpr fung der Integrit t des Headers beim Empfang Der TCP UDP Header enth lt folgende Informationen Port des Absenders source port Port des Empf ngers destination port eine Pr fsume ber den TCP Header und ein paar Informationen aus dem IP Header u a
280. mGuard baut nun eine Verbindung ber das Internet auf und installiert bei einem g ltigen Voucher die zugeh rige Lizenz auf dem mGuard Lizenzen wiederherstellen Kann benutzt werden falls die im Guard installierten Lizenzen gel scht wur de Klicken Sie dazu auf die Schaltfl che Online Lizenzwiederherstellung Dann werden die Lizenzen die zuvor f r diesen mGuard ausgestellt waren ber das Internet vom Server geholt und installiert Manuelle Lizenzinstallation Lizenz bestellen Nach Klicken auf die Schaltfl che Editiere Lizenzformular wird ber eine In ternet Verbindung ein Formular bereit gestellt ber das Sie die gew nschte Li zenz bestellen k nnen und in deren Felder Sie die folgenden Informationen eingeben Voucher Serial Number Die Seriennummer die auf Ihrem Voucher ge druckt ist Voucher Key Der Voucherschl ssel auf ihrem Voucher Flash Id Wird automatisch vorausgef llt Nach dem Absenden des Formulars wird die Lizenzdatei zum Herunterladen be reitgestellt und kann mit einem weiteren Schritt im mGuard installiert werden Lizenzdatei installieren Um eine Lizenz einzuspielen speichern Sie zun chst die Lizenz Datei als sepa rate Datei auf Ihrem Rechner und gehen dann wie folgt vor 1 Hinter dem Feld Dateiname die Schaltfl che Durchsuchen klicken die Datei selektieren und ffnen so dass ihr Pfad bzw Dateiname im Feld Dateiname angezeigt wird 2 Dann die Schaltfl che Installiere Lizenzdatei
281. mGuard mit extern erreichbaren Rechnern per SIP kommunizieren 187 von 283 Konfiguration Men Netzwerksicherheit nicht blade Kontroller 6 6 2 Flood Pro Netzwerksicherheit DoS Schutz tection Netzwerksicherheit DoS Schutz Flood Protection TCP Maximale Zahl neuer ausgehender TCP Verbindungen SYN pro Sekunde Maximale Zahl neuer eingehender TCP Verbindungen SYN pro Sekunde ICMP Maximale Zahl ausgehender Ping Pakete 5 ICMP Echo Request pro Sekunde Maximale Zahl eingehender Ping Pakete ICMP Echo Request pro Sekunde Stealth Mode Jeweils maximale Zahl ausgehender ARP Requests und ARP Replies pro Sekunde Jeweils maximale Zahl eingehender ARP Requests und ARP Replies pro Sekunde TCP Maximale Zahl neuer ausgehender TCP Verbindungen SYN pro Sekunde Werkseinstellung 75 Maximale Zahl neuer eingehender TCP Verbindungen SYN pro Sekunde Werkseinstellung 25 ICMP Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden TCP Verbindungen pro Sekunde fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k n nen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zu s tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen dann k nnen Sie die Werte erh hen Maximale Zahl ausgehender Ping Pakete ICMP Echo Request pro Sekunde
282. matisch eingehende ICMP Pakete akzeptiert Bitte beachten Sie Der SNMP Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Das SNMP Simple Network Management Protocol wird vorzugsweise in kom plexeren Netzwerken benutzt um den Zustand und den Betrieb von Ger ten zu berwachen Das SNMP gibt es in mehreren Entwicklungsstufen SNMPv1 SNMPv2 und SNMPv3 Die lteren Versionen SNMPv1 SNMPv2 benutzen keine Verschl sselung und gelten als nicht sicher Daher ist davon abzuraten SNMPv1 SNMPv2 zu benut zen SNMPv3 ist unter dem Sicherheitsaspekt deutlich besser wird aber noch nicht von allen Management Konsolen unterst tzt Ist SNMPv3 oder SNMPv1 v2 aktiviert wird das oben auf der Registerkarten zunge durch ein gr nes Signalfeld angezeigt Sonst d h bei nicht aktivem SNMPv3 und SNMPv1 v2 ist das Signalfeld auf Rot BO SNMP Get oder Walk Anfragen k nnen l nger als eine Sekunde dau ern Dieser Wert entspricht jedoch dem Standard Timeout Wert einiger SNMP Management Applikationen Bitte setzen Sie aus diesem Grund den Timeout Wert Ihrer Management Ap plikation auf Werte zwischen 3 und 5 Sekunden falls Timeout Probleme auf treten sollten Einstellungen Aktiviere SNMPv3 Ja Nein Wollen Sie zulassen dass der mGuard per SNMPv3 berwacht werden kann setzen Sie diesen Schalter auf Ja Um Zugriff
283. meter entfallen Lokal Wie oben Remote Wie oben Die virtuelle IP fiir den Client Wie oben vorige Seite NAT fiir Psec Tunnel Verbindungen Aus Lokales Masquerading 1 zu 1 NAT Standard Aus Lokales Masquerading Kann nur fiir VPN Typ Tunnel verwendet werden Kann im folgenden Fall eingesetzt werden Eine Zentrale unterhalt zu sehr vielen Zweigstellen jeweils einen VPN Tunnel In den Zweigstellen ist jeweils ein lokales Netzwerk mit zahlreichen Rechnern installiert die tiber den jeweiligen VPN Tunnel mit der Zentrale verbunden sind In diesem Fall k nnte der Adressraum zu klein sein um die Rechner an den ver schiedenen VPN Tunnelenden insgesamt darin unterzubringen Lokales Mas querading schafft hier Abhilfe Die im Netzwerk einer Zweigstelle angeschlossenen Rechner treten durch das lokale Masquerading f r das VPN Gateway der Zentrale unter einer einzigen IP Adresse in Erscheinung Au erdem wird erm glicht dass die lokalen Netzwerke in den unterschiedlichen Zweigstel 219 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller len lokal jeweils die selben Netzwerkadresse benutzen Nur die Zweigstelle kann VPN Verbindungen zur Zentrale aufbauen Interne Netzwerkadresse fiir lokales Masquerading Gibt das Netz d h den IP Adressenbereich an fiir den das lokale Mas querading angewendet wird Nur wenn ein Rechner eine IP Adresse aus diesem Bereich hat wird in den Datenpaketen die dieser Rechner b
284. n punkt Verwaltung Zentrale Ver waltung Konfiguration holen f r die Einstellung Schedule die Einstel lung Zeitgesteuert ausgew hlt ist Siehe 6 2 5 Verwaltung Konfigurationsprofile Konfiguration holen auf Seite 102 e Das Unterbrechen der Verbindung zu bestimmter Uhrzeit beim Netz werk Modus PPPoE Dies ist der Fall wenn unter dem Men punkt Netzwerk Interfaces All gemein der Netzwerk Modus auf PPPoE und der Automatische Recon nect auf Ja gesetzt ist Siehe 6 4 1 Netzwerk Interfaces Netzwerk Modus PPPoE auf Seite 125 e Anerkennung von Zertifikaten solange die Systemzeit noch nicht syn chronisiert ist Dies ist der Fall wenn unter dem Men punkt Authentifizierung Zertifi kate Zertifikatseinstellungen f r die Option Beachte den G ltigkeits zeitraum von Zertifikaten und CRLs die Einstellung Warte auf Synchronisation der Systemzeit ausgew hlt ist Siehe 6 5 3 Authentifi zierung Zertifikate Zertifikatseinstellungen auf Seite 167 Die Systemzeit kann durch verschiedene Ereignisse synchronisiert werden a Der mGuard besitzt eine eingebaute Uhr und diese wurde mindestens 63 von 283 Konfiguration Menti Verwaltung einmal mit der aktuellen Zeit synchronisiert Nur wenn das Feld Zustand der eingebauten Uhr sichtbar ist hat der mGuard eine eingebaute Uhr An der dortigen Anzeige lasst sich ablesen ob sie synchronisiert ist Eine synchronisierte eingeb
285. n Sie auf das Zeichen zum L schen x yy 3 Folge Die Zeilen sind gel scht Arbeiten mit nicht sortierbaren Tabellen Tabellen bei denen die Reihenfolge der in ihnen enthaltenen Datens tze tech nisch keine Rolle spielt sind nicht sortierbar Es ist also nicht m glich Zeilen einzuf gen oder zu verschieben Bei solchen Tabellen k nnen Sie Zeilen l schen wie oben bei sortierbaren Tabellen und Zeilen am Tabellenende anf gen um einen neuen Datensatz mit Einstellun gen anzulegen z B Benutzerfirewall Templates Entsprechend unterscheiden sich die Symbole zum Anf gen Einf gen einer neuer Tabellenzeile E fiir Einfiigen bei einer sortierbaren Tabelle 58 von 283 Konfiguration Bedienung Anf gen von Zeilen nicht sortierbare Tabelle x E E al E r p E al PR WI E 1 Klicken Sie auf den Pfeil um eine neue Zeile anzuf gen e 2 Folge Die neue Zeile wird unter der bestehenden Tabelle angefiigt Jetzt k nnen Sie in der Zeile Werte eintragen oder angeben Weitere Bedienhinweise Folgende Schaltfl chen stehen auf dem Seitenkopf auf allen Seiten zur Verf gung Zum Abmelden nach einem Konfigurations Zugriff auf den mGuard F hrt der Benutzer kein Logout durch wird ein Logout automatisch durchgef hrt sobald keine Aktivit t mehr stattfindet und die durch die Konfiguration festgelegte Zeit abgelaufen ist Ein erneuter Zugriff kann dann nur durch erneutes Anmelden Login er
286. n Ya RAN GR shes IRRE REIN de 10 SUPPOR EE 10 1 1 GerAteversiOnen iaa a A NA E E A EA 11 MGUard industrii RS acarne Eege pw dees putas under nie 11 mGU rd Sm rt eege e ar dade Sea EE Ee 11 MGuard PCI Rasse ann dealt eo bg iA Baie adap ehren 11 mGu rd EE 11 EAGEE M UArd 3 2 ee ege Eeer 12 monid E EE 12 2 Typische Anwendungsszenarien cssusssossesnssssnnsssnnssnnnssnnsnsnnsnusnnnsnnnnsnsnnsnnnsssnnnssnnnsnsnnsnennsnnnne 13 Stealth Modus 2 32 22 2 22 asien innerer 13 Netzwerk ome runs nn ainichn nkdniuunhlankanie 13 TOD MI Ze Sr a a ne hh a a es 13 VPN Gateway aa oles divest as tates Sead ee teased 14 WEAN Uber VEN a ee ee fa ed dated cee rel 14 Aufl sen von Netzwerkkonflikten irre nastea eieae eeni 15 3 Bedienelemente und Anzeigen essesssoesoossoessoessesssesscossoossossossooessoesoesssessessseosoossoosoosesosssssssessses 16 3 1 AmGuard industrial Ries ee EE ann ann E 16 Ja 0016 1 E21 06 nE E 17 3 3 m uard POL NEE 18 3 4 GU lade saa AAA A A sonleaedneleess ents 19 3 3 BAGER mGuard arean aara e EEA E EER 20 3 6 nt delinea n AA S se Pak es a os 21 A KE ee OT UE 22 Sicherheits ou 22 Allgemeine Hinweise zur Benutzung essen ennnnon 22 Schritte zur Inbetriebnahme ccc cece cccesccecessscecsssseccssssecesssseeecssseeecssssesessass 22 Zum Lieferumfang geh ren nennen nn 23 4 1 mGuard industrial RS installieren snrsriicsniansit ians aa a ai 24 ler 24 Ree EE 24 HATISCHIMISSE 231 Eege a ee
287. n abl uft Dead Peer Detection Wenn die Gegenstelle das Dead Peer Detection DPD Protokoll unterst tzt k nnen die jeweiligen Partner erkennen ob die IPsec Verbindung noch g ltig ist oder nicht und evtl neu aufgebaut werden muss Verz gerung bis zur n chsten Anfrage nach einem Lebenszeichen Zeitspanne in Sekunden nach welcher DPD Keep Alive Anfragen gesendet werden sollen Diese Anfragen testen ob die Gegenstelle noch verf gbar ist Werkseinstellung 30 Sekunden Zeit berschreitung bei Ausbleiben des Lebenszeichens nach welcher die Gegenstelle f r tot befunden wird Zeitspanne in Sekunden nach der die Verbindung zur Gegenstelle f r tot er kl rt werden soll wenn auf die Keep Alive Anfragen keine Antwort erfolgte Werkseinstellung 120 Sekunden 230 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Wenn der mGuard eine Verbindung fiir tot befindet handelt er entspre chend der Einstellung die unter Verbindungsinitiierung festgelegt ist siehe Definition dieser VPN Verbindung Registerkarte Allgemein Verbindungsinitiierung 231 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller 6 9 4 IPsec VPN L2TP ber IPsec Erm glicht den Aufbau von VPN Verbindungen durch das IPsec L2TP Protokoll zum mGuard Dabei wird ber eine IPsec Transportverbindung das L2TP Protokoll gefahren um darin wiederum eine Tunnelverbindung mit dem Point to Point Protokoll PPP aufzubauen Dur
288. n die physikalische Verbindung mit der DTR Leitung der seri ellen Schnittstelle Weil die mGuard Modelle diese Leitung an der externen seriellen Schnittstelle nicht zur Verf gung stellen muss dann die obige Initi alisierungssequenz um die anzuh ngenden Zeichen AT amp DO OK ein Leerzeichen gefolgt von AT amp DO gefolgt von einem Leerzeichen gefolgt von OK erweitert werden Gem des erweiterten HA YES Befehlssatz be deutet diese Sequenz dass das Modem die DTR Leitung nicht verwendet BO Soll das externe Modem f r ausgehende Rufe verwendet werden ist es an ei ner Nebenstellenanlage angeschlossen und erzeugt diese Nebenestellenanla ge kein Freizeichen nach dem Abheben dann muss das Modem angewiesen werden vor dem W hlen nicht auf ein Freizeichen zu warten In diesem Fall erweitern sie bitte die Initialisierungssequenz um die anzuh ngenden Zeichen ATX3 OK ein Leerzeichen gefolgt von ATX3 gefolgt von einem Leer zeichen gefolgt von OK In dem Fall sollten Sie in die Anzurufende Te lefonnummer auf Seite 131 nach der Ziffer zur Amtsholung das Steuerzeichen W einf gen damit auf das Freizeichen gewartet wird 141 von 283 Konfiguration Menti Netzwerk gt mGuard industrial RS mit eingebautem Modem eingebautem ISDN Modem ISDN Terminaladapter Der mGuard industrial RS verf gt optional ber ein eingebautes Analog Modem einen eingebauten ISDN Terminaladapter Das eingeb
289. n f r das sekund re externe Interface treten nur dann in Kraft wenn das sekund re externe Interface aktiviert ist Das ist insbesondere dann zu ber cksichtigen wenn die Routing Angaben f r des prim re und das sekund re externe Interface sich 115 von 283 Konfiguration Menti Netzwerk berschneiden oder gleich sind und durch die Priorit t des sekund ren externen Interface eine Filterwirkung mit folgendem Effekt erzielt wird Datenpakete die aufgrund ihres Zieles sowohl f r das prim re als auch das sekund re externe Interface passen gehen auf jeden Fall ber das sekund re externe Interface aber nur wenn dieses aktiviert ist Aktiviert bedeutet im Betriebsmodus aushilfsweise Folgendes Nur wenn bestimmte Bedingungen erf llt werden wird das sekund re externe Interface aktiviert und erst dann wirken sich die Routing Ein stellungen des sekund ren externen Interface aus Die Netzwerkadresse 0 0 0 0 0 bezeichnet generell das gr te defi nierbare Netz also das Internet Im Netzwerkmodus Router kann das lokale Netz das am mGuard ange schlossen ist ber das sekund re externe Interface erreicht werden sofern die Firewall Einstellungen so festgelegt sind dass sie das zulas sen permanent Datenpakete deren Ziel den Routing Einstellungen entspricht die f r das se kund re externe Interface festgelegt sind werden immer ber dieses externe Interface geleitet Das sekund re externe Interface ist imm
290. nderen Tunnel oder Routen existieren durch diesen VPN Tunnel geleitet Eine Default Route ber das VPN sollte nur f r einen einzigen Tunnel an gegeben werden 217 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller BO Im Stealth Modus kann eine Default Route ber das VPN nicht verwendet werden Option nach Installation einer VPN Tunnel Group Lizenz Wird als Adresse des VPN Gateway der Gegenstelle Yoany angegeben k n nen sich auf der entfernten Seite viele mGuards bzw viele Netzwerke befin den Dann wird beim lokalen mGuard im Feld Remote ein sehr gro er Adressenbereich festgelegt und bei den entfernten mGuards wird jeweils f r das bei ihnen unter Lokal angegebene Netz ein Teil dieses Adressenbereichs verwendet Um das zu illustrieren Die Angaben in den Feldern Lokal und Re mote beim lokalen und bei entfernten mGuards k nnten zum Beispiel wie folgt lauten Lokaler mGuard Entfernter mGuard A Lokal Remote Lokal Remote 10 0 0 0 8 10 0 0 0 8 gt 10 1 7 0 24 10 0 0 0 8 Entfernter mGuard B Lokal Remote gt 10 3 9 0 24 10 0 0 0 8 usw Auf diese Weise kann durch die Konfiguration eines einzigen Tunnels der Verbindungsaufbau durch viele Stellen gew hrt werden BO Zur Nutzung dieser M glichkeiten muss vorher die VPN Tunnel Group Li zenz installiert werden es sei denn das Ger t wurde bereits entsprechend ausgeliefert Wird eine solche Lizenz installiert muss das
291. nem Neustart Bei einer aktiven VPN Verbindung ist das Gateway der Gegenstelle als Hostname angegeben Dann muss der mGuard nach einem Neustart bei einem DNS Server die zum Hostnamen geh rige IP Adresse anfordern Oft Es sind VPN Verbindungen eingerichtet und es werden regelm ig DPD Nachrichten gesendet siehe Dead Peer Detection auf Seite 230 Oft Der mGuard ist so konfiguriert ist dass er seine externe IP Adresse regelm ig einem DNS Service z B DynDNS mitteilt damit er unter seinem Hostnamen erreichbar bleibt Oft Die IP Adressen von VPN Gateways von Gegenstellen m ssen beim DynDNS Service angefordert bzw durch Neuanfragen auf dem aktuellen Stand gehalten werden Sporadisch Der mGuard ist so konfiguriert dass SNMP Traps zum ent fernten Server gesendet werden Sporadisch Der mGuard ist so konfiguriert dass er Fernzugriff per HTTPS SSH oder SNMP zul sst und annimmt Dann sendet der mGuard Antwortpakete an jede IP Adresse von der ein Zugriffsversuch erfolgt sofern die Firewallregeln den Zugriff zulassen w rden Oft Der mGuard ist so konfiguriert dass er in regelm igen Abst nden Verbindung zu einem HTTPS Server aufnimmt um gegebenenfalls ein dort vorliegendes Konfigurationsprofil herunterzuladen Siehe Verwal tung Zentrale Verwaltung auf Seite 102 Bei Nein baut der mGuard mit Hilfe des angeschlossenen Modems so fr h wie m glich nach seinem Neustart oder nach Aktivi
292. ner B zeigt sein Zertifikat seiner Gegenstelle vor Partner A Damit A das ihm von B vorgezeigte Zertifikat also das Zertifikat seiner Gegen stelle akzeptieren und die Kommunikation mit B erlauben kann gibt es folgende M glichkeit A hat zuvor von B eine Kopie des Zertifikats erhalten z B per Da tentr ger oder E Mail mit dem sich B bei A ausweisen wird Anhand eines Ver gleiches mit dieser Kopie kann A dann erkennen dass das von B vorgezeigte Zertifikat zu B geh rt Die Kopie des Zertifikats das in diesem Beispiel Partner B an A bergeben hatte nennt man auf die Oberfl che des mGuard bezogen Gegenstellenzertifikat Damit die wechselseitige Authentifizierung gelingen kann m ssen also zuvor beide Partner sich gegenseitig die Kopie ihres Zertifikats mit dem sie sich aus weisen werden einander bergeben Dann installiert A die Kopie des Zertifikats von B bei sich als Gegenstellenzertifikat Und B installiert die Kopie des Zertifi kats von A bei sich als Gegenstellenzertifikat BO Als Kopie eines Zertifikats auf keinen Fall die PKCS 12 Datei Dateinamen Erweiterung p12 nehmen und eine Kopie davon der Gegenstelle geben um eine sp tere Kommunikation per X 509 Authentifizierung mit ihr zu erm g lichen Denn die PKCS 12 Datei enth lt auch den privaten Schl ssel der nicht aus der Hand gegeben werden darf Siehe Erstellung von Zertifikaten auf Seite 165 Um eine Kopie eines in den mGuard importierten Maschinenzert
293. ner PPP Verbindung erreichbar ist Entfernte IP IP Adresse der Gegenstelle von der PPP Verbindung PPP Login name Anmeldename welchen die PPP Gegenstelle angeben muss um per PPP Verbindung Zugriff auf den mGuard zu bekommen PPP Passwort Das Passwort welches die PPP Gegenstelle angeben muss um per PPP Ver bindung Zugriff auf den mGuard zu bekommen Eingangsregeln PPP Firewallregeln f r PPP Verbindungen zum LAN Interface Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Ein tr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Di ese wird dann angewandt Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle Von Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Rou ting auf Seite 263 Von Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die
294. ner am LAN Port gesicherter Port des mGuard angeschlossen sein und somit mehrere IP Adressen am LAN Port gesicherter Port des mGuard verwendet werden Automatische Konfiguration Ignoriere NetBIOS ber TCP auf TCP Port 139 Nein Ja Nur bei automatischer Stealth Konfiguration Hat ein Windows Rechner mehr als eine Netzwerkkarte installiert kann es vorkommen dass er in den von ihm ausgehenden Datenpaketen abwechselnd unterschiedliche IP Adres sen als Absenderadresse benutzt Das betrifft Netzwerkpakete die der Rech ner an den TCP Port 139 NetBIOS sendet Da der mGuard aus der Absenderadresse die Adresse des Rechners ermittelt und damit die Adresse unter der der mGuard erreichbar ist m sste der mGuard entsprechend hin und herschalten was den Betrieb erheblich st ren w rde Um das zu verhin dern setzen Sie diesen Schalter auf Ja sofern Sie den mGuard an einem Rechner angeschlossen haben der diese Eigenarten aufweist Stealth Management IP Adresse 120 von 283 Stealth Management IP Adresse Geben Sie hier eine weitere IP an ber welche der mGuard administriert werden kann Wenn Sie Stealth Konfiguration auf mehrere Clients gestellt haben dann ist der Fernzugang nur ber diese IP m glich Die IP Adresse 0 0 0 0 deaktiviert diese Funktion Achtung Bei automatischer Stealth Konfiguration wird VLAN f r die Management IP nicht unterst tzt IP Adresse e Nezmaske EE Verende Management VAN Le DR H
295. nfiguration Men QoS Nach IP Legt fest dass nur solche Datenpakete passieren d rfen die zur angegebenen IP Adresse weitergeleitet werden sollen Angabe entsprechend wie oben unter Von IP Die Angabe 0 0 0 0 0 steht f r alle Adressen d h in diesem Fall findet keine Filterung nach IP Adresse des Absenders statt Aktueller TOS DSCP Wert Jedes Datenpaket enth lt ein TOS bzw DSCP Feld TOS steht f r Type Of Service DSCP f r Differentiated Services Code Point Hier wird angegeben zu welcher Art von Traffic das Datenpaket geh rt So wird z B ein IP Tele fon in dieses Feld der von ihm ausgehenden Datenpakete etwas anderes hin einschreiben als ein FTP Programm Wenn Sie hier einen Wert ausw hlen d rfen nur die Datenpakete passieren die in ihrem TOS bzw DSCP Feld diesen Wert haben Mit Alle findet keine Filterung nach TOS DSCP Wert statt Garantiert Die anzugebende Zahl legt fest wie viele Datenpakete s bzw kbit s je nach eingestellter Ma einheit s 0 auf jeden Fall passieren d rfen Das gilt f r den Datenstrom der den links angegebenen Kriterien dieses Regelsatzes ent spricht also passieren darf Liefert dieser Datenstrom mehr Datenpakete pro Sekunde dann darf der mGuard bei Kapazit tsengp ssen die berz hlige An zahl an Datenpaketen verwerfen Obergrenze Die anzugebende Zahl legt fest wie viele Datenpakete s bzw kbit s je nach eingestellter Ma einheit s 0 maximal passieren d
296. ngen m ssen funktionieren 47 von 283 Konfiguration vorbereiten 5 2 Lokale Konfiguration Bei Inbetriebnahme Der mGuard wird per Web Browser konfiguriert der auf dem zum Konfigurie ren verwendeten Rechner ausgef hrt wird z B MS Internet Explorer ab Versi on 5 0 Mozilla Firefox ab Version 1 5 oder Safari B gt Der Web Browser muss SSL d h https unterst tzen Der mGuard ist gem Werkseinstellung unter folgender Adressen erreichbar Werkseinstellung Stealth Modus https 1 1 1 1 Auslieferungszustand bis auf mGuard delta und blade Kontroller Router Modus https 192 168 1 1 Auslieferungszustand mGuard delta und blade Kontroller 5 2 1 mGuard industrial RS mGuard smart mGuard blade und EAGLE mGuard Bei konfigurierter Netzwerkschnitt stelle Bei nicht konfigurierter Netz werkschnittstelle Damit der mGuard tiber die Adresse https 1 1 1 1 angesprochen werden kann muss er an eine konfigurierte Netzwerkschnittstelle angeschlossen sein Das ist der Fall wenn man ihn zwischen eine bestehende Netzwerkverbindung steckt siehe Abbildung im Abschnitt e mGuard smart anschlie en auf Seite 30 In diesem Fall wird der Web Browser nach Eingabe der Adresse https 1 1 1 1 die Verbindung zur Konfigurations Oberfl che des mGuard herstellen siehe Lokale Konfigurationsverbindung herstellen auf Seite 53 Fahren Sie in die sem Falle dort fort Falls die Netzwerkschnittstelle d
297. ngen aufgebaute Verbindungen wird der Anti Virus Schutz nicht angewendet Optionen Anti Virus Schutz f r HTTP Ja Nein Bei Ja werden empfangene und ausgehende Dateien vom mGuard auf Viren gescannt sofern sie ber HTTP Verbindungen bertragen werden die unten in der Liste der HTTP Server definiert sind Scannen bis zur Gr sse von Voreingestellt 5 MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Dateien die gr er sind werden nicht gescannt In diesem Fall wird abh ngig von der Einstellung bei berschreiten der Gr enbe grenzung eine Fehlermeldung an den Browser gesendet oder automatisch in den Durchlassmodus geschaltet 194 von 283 Konfiguration Men Web Sicherheit nicht blade Kontroller Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag im Anti Virus Log vorgenommen In diesem Fall haben Sie folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren Sie k nnen die Option f r den automatischen Durchlassmodus akti vieren Bei Virusdetektion Fehlermeldung an den Browser Erkennt der Virenfilter einen Virus innerhalb eines Datentransfers vom HT
298. nmeldeanschl ssen verbunden werden Zum Anschluss eines seriellen Terminals oder eines Modems ist ein serielles Kabel mit RJ12 Stecker zu ver wenden Die maximale Leitungsl nge des seriellen Kabels betr gt 30m Der Serial Port serielle Schnittstelle kann so benutzt werden wie es unter Se rial Port auf Seite 29 beschrieben ist 32 von 283 Inbetriebnahme 4 4 EAGLE mGuard installieren Klemmblock Der Anschluss der Versorgungsspannung und des Meldekontaktes erfolgt ber einen 6 poligen Klemmblock Meldekontakt 24V P1 ov OV 24V P2 O Q O O O O BEE Sicherheitshinweis Der EAGLE mGuard ist fiir den Betrieb mit Sicherheits kleinspannung ausgelegt Entsprechend diirfen an die Versorgungsspannungsan schl sse sowie an den Meldekontakt nur PELV Spannungskreise oder wahlweise SELV Spannungskreise mit den Spannungsbeschr nkungen gem EN 60950 1 angeschossen werden Der EAGLE mGuard kann an einer Gleichspannung von 9 6 60V DC max 1A beziehungsweise an einer Wechselspannung von 18 30V AC max 1A betrieben werden Verwenden Sie die Pins 24V und ON zum Anschlu einer Wechsel spannung m Betriebsspannung NEC Class 2 power source 12VDC bzw 24VDC 25 33 Sicherheitsklein spannung SELV PELV redundante Eing nge entkoppelt max 5A Pufferzeit min 10ms bei 24VDC Redundante Spannungsversorgung Die Versorgungsspannung ist redundant anschlie bar Beide Ein
299. nnamed nicht sichtbar sein in der Tabelle der Regel s tze eine weitere Zeile ffnen Regelsatz bearbeiten Rechts im betreffenden Eintrag auf die Schaltfl che Editieren klicken Aktiv Ja Nein Aktiviert deaktiviert das betreffende Template Name Name des Templates Der Name ist beim Erstellen des Templates festgelegt worden Nach Klicken auf die Schaltfl che Editieren wird die Seite Regelsatz angezeigt Nach Klicken auf Editieren erscheint folgende Registerkarte 190 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Allgemein Optionen Ein beschreibender Name fiir das Template Aktiv Kommentar Timeout Timeout Typ Ein beschreibender Name fiir das Template Sie k nnen das Benutzerfirewall Template frei benennen bzw umbenennen Aktiv Ja Nein Bei Ja ist das Benutzerfirewall Template aktiv sobald sich Firewall Benut zer beim mGuard anmelden die auf der Registerkarte Template Benutzer s u erfasst sind und denen dieses Template zugeordnet ist Es spielt keine Rol le von welchem Rechner und unter welcher IP sich ein Benutzer anmeldet Die Zuordnung Benutzer Firewall Regeln erfolgt tiber die Authentifizie rungsdaten die der Benutzer bei seiner Anmeldung angibt Benutzername Passwort Kommentar Optional erl uternder Text Timeout Standard 28800 Gibt in Sekunden an wann die Firewall Regeln auBer Kraft gesetzt werden Dauert die Sitzung des
300. nnen P u h92 168 2 0724 pt Jungesichertes FTP Nicht Scannen v BDO Um den Anti Virus Schutz f r FTP Datenverkehr ber einen Proxy zu akti vieren f gen Sie eine neue Zeile in die Liste der Server ein und ersetzen den voreingestellten Port 21 durch den Proxy Port 198 von 283 Konfiguration Men Web Sicherheit nicht blade Kontroller DO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Nach Viren zu scannen kann ausgehende Verbindungen erlauben die bli cherweise durch die unter Netzwerksicherheit Paketfilter und Netzwerk sicherheit Benutzerfirewall definierten Firewallregeln unterbunden sind Bitte beachten Sie daher auch Auf Viren gescannte Verbindungen unterlie gen Firewall Regeln Nein Ja auf Seite 185 um dieses Verhalten anzupas sen Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h Dateien von allen FTP Servern werden gescannt Um einen Bereich anzugeben benutzen Sie die CIDR Schreibwei se siehe CIDR Classless Inter Domain Routing auf Seite 263 B Da ein Verbindungswunsch zun chst durch den mGuard
301. ntar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werkseitige Voreinstellung 237 von 283 Konfiguration Menti SEC Stick 6 10 2 Verbindungen SEC Stick Verbindungen SEC Stick Verbindungen SEC Stick Verbindungen x wen __ Benutzermame name Firma a nein nobody IT ee SEC Stick Verbindungen SEC Stick Verbindungen Liste der definierten SEC Stick Verbindungen Wollen Sie eine neue Verbind nug hinzuf gen klicken sie links oben auf den Pfeil nach unten Eine bereits be stehende Verbindung k nnen Sie bearbeiten indem Sie auf die Schaltfl che Editieren klicken Aktiv Ja Nein Um eine definierte SEC Stick Verbindung nutzen zu k nnen muss der Schal ter Aktiv auf Ja gesetzt werden Benutzername F r jeden zugriffsberechtigten Inhaber eines SEC Sticks muss eine SEC Stick Verbindung mit einem eindeutig zugeordneten Benutzernamen definiert werden Anhand dieses Benutzernamens werden die definierten Verbin dungen eindeutig identifiziert Name Name der Person Firma Angabe der Firma Nach Klicken auf Editieren erscheint folgende Seite SEC Stick Verbindungen Allgemein Benutzername Cr Bezeichnung des Benutzers m i Firma LL lt ffentlicher SSH Schl ssel mit
302. ntifizierung Zertifikate auf Seite 163 abgesehen vom Gegenstellenzertifikat s u BO Ist unter Men punkt Authentifizierung Zertifikate Zertifikatseinstellungen die Verwendung von Sperrlisten CRL Priifung aktiviert wird jedes von einer CA signierte Zertifikat das VPN Gegenstellen vorzeigen auf Sper rung gepr ft Ausgenommen sind lokal konfigurierte hier importierte Ge genstellenzertifikate Remote CA Zertifikat gt Wenn sich die VPN Gegenstelle mit einem selbst signierten Maschinenzertifi kat authentisiert In diesem Fall w hlen Sie aus Kein CA Zertifikat sondern das Gegenstellenzertifikat unten Dann ist unten unter Gegenstellenzertifikat das Gegenstellenzertifikat zu in stallieren 223 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller Es ist nicht m glich ein Gegenstellenzertifikat zu referenzieren das unter Mentipunkt Authentifizierung Zertifikate geladen ist gt Wenn sich die VPN Gegenstelle mit einem von einer CA signierten Maschi nenzertifikat authentisiert Es gibt die M glichkeit das von der Gegenstelle vorgezeigte Maschinenzer tifikat wie folgt zu authentifizieren A durch CA Zertifikate B durch das entsprechende Gegenstellenzertifikat Authentifizierung durch CA Zertifikate An dieser Stelle ist ausschlie lich das CA Zertifikat von der CA zu referen zieren in der Auswahlliste auszuw hlen welche das von der VPN Gegen stelle vorgezeigte Zertifik
303. ntlichten Minor Release zur Verf gung Bet tigen Sie daher nach erfolgtem Update nochmals diesen Button bis die Meldung erscheint dass kein neueres Minor Release zur Verf gung steht N chstes Major Release installieren X y z en Hinweis Eventuell existiert kein direktes Update von der aktuell auf dem System befindlichen Version zum n chsten Major Release F hren Sie daher ein Minor Release Update durch und wiederholen Sie diesen Schritt bis die Meldung erscheint dass kein neues Minor Release zur Verf gung steht F hren Sie anschlie end das Update zum n chsten Major Release aus Update Server OX EEE L https update innominate con Um ein Firmware Update durchzuf hren gibt es zwei M glichkeiten Sie haben die aktuelle Package Set Datei auf Ihrem Rechner der Dateiname hat die Endung tar gz und Sie f hren ein lokales Update durch ODER Sie laden die Package Set Datei per Internet vom Update Server herunter und installieren dann die Pakete BO Abh ngig von der Gr e des Updates kann dieses mehrere Minuten dauern BO Falls zum Abschluss des Updates ein Neustart erforderlich sein sollte werden Sie durch eine Nachricht darauf hingewiesen B Sie d rfen w hrend des Updates auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte ansonsten besch digt wer den und nur noch durch den Hersteller reaktiviert werden K nnen BO Ab Version 5 0 0 der mGuard Firmware muss vor
304. nur aktiviert wenn der gt Betriel jus ersatzweise eingestellt ist und keiner der Tests erfolgreich ist Intervall zwischen den Starts der Testl ufe Sekunden Anzahl der Durchl ufe durch die Testliste bevor das sekund re gt externe Interface aktiviert wird erwende die prim ren Einstellungen unver ndert E DNS Modus Benutzerdefinerte Nameserver q F u IP m 198 41 0 4 Ist der Betriebsmodus des sekund ren externen Interface auf aushilfsweise ge stellt dann wird durch periodisch durchgef hrte Ping Tests Folgendes berpr ft Ist ein bestimmtes Ziel oder sind bestimmte Ziele erreichbar wenn Datenpakete dorthin ihren Weg aufgrund aller f r den mGuard festgelegten Routing Einstel lungen au er der f r das sekund re externe Interface nehmen Nur wenn kei ner der Ping Tests erfolgreich ist geht der mGuard davon aus dass es zurzeit nicht m glich ist das die Ziel e ber das prim re externe Interface Ethernet Schnittstelle oder WAN Port des mGuard zu erreichen In diesem Fall wird das sekund re externe Interface aktiviert so dass bei entsprechender Routing Ein stellung f r das sekund re externe Interface die Datenpakete ber dieses Inter face geleitet werden Das sekund re externe Interface bleibt so lange aktiviert bis bei nachfolgenden Ping Tests der mGuard ermittelt dass das bzw die Ziel e wieder erreichbar sind Wird diese Bedingung erf llt werden die Datenpakete wieder ber
305. nzu geben in kBit s oder Pakete s Die hier angegebene Gesamtbandbreite sollte etwas geringer angegeben wer den als tats chlich vorhanden damit die Priorisierung optimal arbeitet Damit wird verhindert dass Puffer von weitervermittelnden Ger ten berlaufen k nnen und dadurch einen unerw nschten Effekt erzeugen Name Sie k nnen die voreingestellten Namen f r die Egress Queues bernehmen oder andere vergeben Die Namen legen nicht die Priorit tsstufe fest Garantiert Bandbreite die der betreffenden Queue auf jeden Fall zur Verf gung stehen soll Je nach dem ob oben unter Maximalbandbreite rate diese in kbit s ODER in Pakete s angegeben ist verwenden Sie auch hier die selbe Ma ein heit ohne diese explizit anzugeben Die Summe aller garantierten Bandbreiten muss in Bezug zur Gesamtband breite kleiner oder gleich sein Obergrenze Bandbreite die der betreffenden Queue vom System maximal zur Verf gung gestellt werden darf Je nach dem ob oben unter Maximalbandbreite rate diese in kbit s ODER in Pakete s angegeben ist verwenden Sie auch hier die selbe Ma einheit ohne diese explizit anzugeben Der Wert muss gr er sein als die garantierte Bandbreite oder dieser gleich sein Es kann auch der Wert unlimited angegeben werden der keine weitere Beschr nkung bewirkt Priorit t Niedrig Mittel Hoch Legt fest mit welcher Priorit t die betreffende Warteschlange sofern vorhan den abgearbeitet werden muss f
306. o tragen Sie ein MEZ 5 Wichtig ist allein die Angabe 1 2 oder 1 usw weil nur sie ausgewertet wird die davor stehenden Buchstaben nicht Sie k nnen MEZ oder beliebig anders lauten z B auch UTC W nschen Sie die Anzeige der MEZ Uhrzeit g ltig f r Deutschland mit automatischer Umschaltung auf Sommer bzw Winterzeit geben Sie ein MEZ 1MESZ M3 5 0 M10 5 0 3 Zeitmarke im Dateisystem 2h Aufl sung Ja Nein Ist dieser Schalter auf Ja gesetzt schreibt der mGuard alle zwei Stunden die aktuelle Systemzeit in seinen Speicher Folge Wird der mGuard aus und wieder eingeschaltet wird nach dem Einschalten eine Uhrzeit in diesem 2 Stunden Zeitfenster angezeigt und nicht eine Uhr zeit am 1 Januar 2000 NTP Server NTP Network Time Protocol Der mGuard kann f r Rechner die an seinem LAN Port angeschlossen sind als NTP Server fungieren In diesem Fall sind die Rechner so zu konfigurieren dass als Adresse des NTP Servers die lokale Adres se des mGuard angegeben ist Wird der mGuard im Stealth Modus betrieben muss bei den Rechnern die Ma nagement IP Adresse des mGuard verwendet werden sofern diese konfiguriert ist oder es muss die IP Adresse 1 1 1 1 als lokale Adresse des mGuard angege ben werden Damit der mGuard als NTP Server fungieren kann muss er selber das aktuelle Datum und die aktuelle Uhrzeit von einem NTP Server Zeit Server beziehen Dazu muss die Adresse von mindestens einem NTP Serv
307. olgende Seite Psec VPN Verbindungen B to HH Allgemein Optionen Ein beschreibender Name f r die VPN Verbindung Aktiv ee HH Adresse des VPN Gateways der Se say S am Eine IP Adresse ein Hostname oder y beliebige mehrere Gegenstellen oder a een hinter einem NAT Router Verbindungsinitiierung Tage zl Kapsele den VPN Datenverkehr in TCP ein TCP Port des Servers welcher die gekapselte Verbindung annimmt Transport und Tunneleinstellungen KI Aktiv TV ka Remote virtuelle AG sl rond 192 168 1 1 32 192 168 254 1 32 BESSE Nur im Stealth Modus Ein beschreibender Name fiir die VPN Verbindung Sie k nnen die Verbindung frei benennen bzw umbenennen Werden weiter unten unter Transport und Tunneleinstellungen mehrere Verbindungskan le definiert benennt dieser Name das gesamte Set der VPN Verbindungskan le die unter diesem Namen zusammengefasst sind Gemeinsamkeiten bei VPN Verbindungskan len gleiches Authentifizierungsverfahren festgelegt auf der Registerkarte Authentifizierung siehe Authentifizierung auf Seite 222 e gleiche Firewall Einstellungen e gleiche Einstellung der IKE Optionen Aktiv Ja Nein Legt fest ob die unten definierten VPN Verbindungskan le insgesamt aktiv Ja sein soll oder nicht Nein Adresse des VPN Gateways der Gegenstelle Eine IP Adresse ein Hostname oder any f r beliebige mehrere Gegen stellen oder Gegenstellen hinter einem NAT Ro
308. olle nur blade Kontroller B Backup F r diesen Slot ist die automatische Konfigurationssicherung auf dem Kontroller aktiviert deaktiviert R Restore F r diesen Slot ist das automatische Zur ckspielen der Konfigurati on nach Austausch des mGuards aktiviert deaktiviert 6 3 2 Bladekontrolle Blade 01 bis 12 Blade in slot Diese Seiten zeigen f r jeden installierten mGuard Statusinformationen an und erlauben das Speichern und Zur ckspielen der Konfiguration des jeweiligen mGuards Bladekontrolle Blade 01 Ubersicht Geratetyp ID Bus Kontroller ID Seriennummer Flash ID Softwareversion MAC Adressen Status LAN Link Status WAN Link Status Temperatur Ger tetyp Name des Ger ts z B blade oder blade XL ID bus Kontroller ID ID dieses Slots am Kontrollbus der bladeBase Seriennummer Seriennummer des mGuards Flash ID Flash ID des Flashspeichers des mGuards Software Version Die Version der auf dem mGuard installierten Software MAC Adressen Alle vom mGuard verwendeten MAC Adressen Status Status des mGuards LAN Status Status des LAN Ports WAN Status Status des WAN Ports 107 von 283 Konfiguration Menti Bladekontrolle nur blade Kontroller Konfiguration Bladekontrolle Blade 01 Blade in Slot 01 Konfiguration Konfiguration Veraltet Konfigurationssicherung Blade 01 gt Kontroller e Sichern Zur ckspielen Neukonfigurierung bei Aus
309. ologie von VPN Verbindungen k nnen Gegenstellen des mGuard auch untereinander Daten austauschen In diesem Fall ist zu empfehlen dass der lokale mGuard f r die Authentifizie rung m glicher Gegenstellen CA Zertifikate heranzieht siehe Authentifi zierung auf Seite 222 Die Einstellung Ja wird nur auf dem mGuard ben tigt der zwischen zwei verschiedenen VPN Gegenstellen vermitteln soll Damit die Vermittlung zwischen zwei VPN Gegenstellen funktioniert muss auf dem vermittelnden mGuard das lokale Netzwerk so konfigu riert werden dass die Remote Netze in denen sich die VPN Gegenstel len befinden enthalten sind Nat rlich muss das umgekehrt lokales und entferntes Netz vertauscht auch bei den VPN Gegenstellen so einge richtet sein Siehe dazu das Beispiel in der Skizze auf Seite 217 Die Einstellung Ja wird im Netzwerk Modus Stealth nicht unterst tzt Starte und stoppe die angegebene VPN Verbindung ber den CMD mGuard industrial RS Kontakt Aus Namen von VPN Verbindungen Der mGuard industrial RS verf gt ber Anschl sse an die ein externer Taster oder Ein Aus Schalter und eine Signal LED angeschlossen werden k nnen ber den Taster bzw Ein Aus Schalter kann eine der konfigurierten VPN Verbindungen aufgebaut und wieder abgebaut werden Welche VPN Verbin dung das ist wird hier festgelegt Sind unter dem Men punkt Psec VPN Verbindungen siehe IPsec VPN Verbindungen auf Seite 212
310. ommentar Log SI 0 0 0 0 0 Extern E Annehmen Nein 5 Diese Regeln gestatten es SEC Stick Fernzugriff zu aktivieren Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Der SEC Stick Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Listet die eingerichteten Firewall Regeln auf Sie gelten f r SEC Stick Fernzu griff Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Ein tr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Di ese wird dann angewandt Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Die hier angegebenen Regeln treten nur in Kraft wenn der Schalter Aktiviere SEC Stick Fernzugang auf Ja steht Weil Zugriffe von Intern auch m glich sind wenn dieser Schalter auf Nein steht tritt f r diesen Fall eine Firewallregel die den Zugriff von Intern verwehren w rde nicht in Kraft Sie k nnen mehrere Regeln festlegen Bei den Angaben haben Sie folgende M glichkeiten Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugriff erlaubt bezieh
311. ommunications Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense 283 von 283
312. on Bei Inbetriebnahme auf Seite 48 e Bestehende Firewalls gegebenenfalls deaktivieren e Achten Sie darauf dass der Browser keinen Proxy Server verwendet Im MS Internet Explorer Version 6 0 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter LAN Einstellungen auf die Schaltfl che Einstellungen klicken im Dialogfeld Einstellungen f r lokales Netzwerk LAN daf r sorgen dass unter Proxyserver der Eintrag Proxyserver f r LAN verwenden nicht aktiviert ist e Falls andere LAN Verbindungen auf dem Rechner aktiv sind deaktivieren Sie diese f r die Zeit der Konfiguration Unter Windows Men Start Einstellungen Systemsteuerung Netzwerk verbindungen bzw Netzwerk und DF Verbindungen das betreffende Symbol mit der rechten Maustaste klicken und im Kontextmen Deaktivie ren w hlen Bei erfolgreichem Nach erfolgreicher Verbindungsaufnahme erscheint dieser Sicherheitshinweis Verbindungsaufbau MS Internet Explorer Sicherheitshinweis EN Erl uterung Informationen die Sie mit dieser Site austauschen k nnen von Da das Ger t nur ber ver o anderen weder angesehen noch ver ndert werden Das S u Sicherheitszertifikat der Site ist jedoch fehlerhaft schl sselte Zu gange admi nistrierbar ist wir mit D Das Sicherheitszertifikat wurde von einer Firma ausgestellt R strierbar is S d es die Sie nicht als vertrauensw rdig eingestuft haben einem selbstunterzeichne Unte
313. onPot Nach NachPot Aktion Kommentar Log 8 1 aie z Jo 0 0 0 0 any fo 0 0 0 0 Jany Annehmen z defaut rule plez Nein z Log Entrge f r unbekannte Verbindungsversuche Te Ausgehend Log ID fw v am v000_000 out N2 2e78bf14 389 17cc adab 000che0220 7 PS ne Protokon vonie _ vonport nach _ nachpor Aktion Kommentar too E E 1 aie z Jo 0 0 0 0 Eny fo 0 0 0 0 any Annehmen z Ja default rule plez Nein Log Eintr ge f r unbekannte Verbindungsversuche uer ee Firewall eingehend ungesicherter Port Firewall ausgehend gesicherter Port Wahrend die unter dem Mentipunkt Netzwerk Sicherheit vorgenommenen Ein stellungen sich nur auf Nicht VPN Verbindungen beziehen siehe oben unter Men Netzwerksicherheit nicht blade Kontroller auf Seite 177 beziehen sich die Einstellungen hier ausschlieBlich auf die VPN Verbindung die auf die sem Registerkarten Set definiert ist Das bedeutet praktisch Haben Sie mehrere VPN Verbindungen definiert k nnen Sie f r jede einzelne den Zugriff von au Ben oder von innen beschr nken Versuche die Beschr nkungen zu bergehen k nnen Sie ins Log protokollieren lassen BO Gem werkseitiger Voreinstellung ist die VPN Firewall so eingestellt dass f r diese VPN Verbindung alles zugelassen ist F r jede einzelne VPN Verbindung gilt aber unabh ngig voneinander gleich wohl die erweiterten Firewall Einstellungen die weiter oben definiert und er
314. onfiguration Menti Verwaltung Zeit und Datum Verwaltung Systemeinstellungen Host Meldekontakt i m 0 Shell Zugang Zeit und Datum Aktuelle Systemzeit UTC Aktuelle Systemzeit lokale Zeit Zustand der Systemzeit Zustand der eingebauten Uhr le Systemzeit 2007 07 11 10 56 42 Zeitzone in POSIX 1 Notation JMEZ 1MESZ M3 5 0 M10 5 0 Zeitmarke im Dateisystem fl sung Nein 2h Aufl sung NTP Server Aktiviere NTP Zeitsynchronisation 4 NTP Status Ze SI pool ntp org Zeit und Datum Aktuelle Systemzeit UTC Anzeige der aktuellen Systemzeit in Universal Time Coordinates UTC So lange die NTP Zeitsynchronisation noch nicht aktiviert ist s u und Zeit marken im Dateisystem deaktiviert sind beginnt die Uhr mit dem 1 Januar 2000 Aktuelle Systemzeit lokale Zeit Anzeige Soll die eventuell abweichende aktuelle Ortszeit angezeigt werden m ssen Sie unter Zeitzone in POSIX 1 Notation s u den entsprechenden Eintrag machen Zustand der Systemzeit Anzeige Zeigt an ob die Systemzeit des mGuards zur Laufzeit des mGuards einmal mit einer tats chlich aktuell g ltigen Zeit synchronisiert wurde Solan ge hier angezeigt wird dass die Systemzeit des mGuards nicht synchronisiert ist f hrt der mGuard keine zeitgesteuerten Aktivit ten aus Das sind Fol gende e Zeitgesteuertes Holen der Konfiguration von einem Konfigurations Ser ver Dies ist der Fall wenn unter dem Me
315. onfiguriert ete inetd conf F gen Sie in diese Datei die entsprechende Zeile ein oder setzen Sie die notwen digen Parameter f r den TFTP Service Verzeichnis f r Daten ist tftpboot tftp dgram udp wait root usr sbin in tftpd s tftpboot Im Verzeichnis tftpboot m ssen die mGuard Imagedateien gespeichert sein install p7s jffs2 img p7s Falls durch das Flashen ein Major Release Upgrade der Firmware vorgenommen wird muss die fiir das Upgrade erworbene Lizenz Datei unter dem Namen licence lic ebenfalls dort abgelegt werden Bitte stellen Sie sicher dass es sich um die Lizenzdatei handelt welche wirklich zum Ger t geh rt Siehe Verwal tung Update auf Seite 85 Starten Sie dann den inetd Prozess neu um die Konfigurations nderungen zu bernehmen Sollten Sie einen anderen Mechanismus verwenden z B xinetd dann informie ren Sie sich bitte in der entsprechenden Dokumentation Glossar 8 Glossar Asymmetrische Verschlusselung DES 3DES AES CA Zertifikat Bei der asymmetrischen Verschl sselung werden Daten mit einem Schl ssel ver schl sselt und mit einem zweiten Schl ssel wieder entschl sselt Beide Schl ssel eignen sich zum Ver und Entschl sseln Einer der Schl ssel wird von seinem Ei gent mer geheim gehalten Privater Schl ssel Private Key der andere wird der ffentlichkeit ffentlicher Schl ssel Public Key d h m glichen Kommuni kationspartnern gegeben Eine mit dem
316. ort in der Spalte Aktion ausgew hlt Aktiv Ja Nein Aktiviert deaktiviert den betreffenden Regelsatz Firewall Regeln Protokoll TCP UDP ICMP Alle Von IP Nach IP 0 0 0 0 0 bedeutet alle IP Adressen Um einen Adressenbereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir 110 181 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller 182 von 283 Aktion Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zurtickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Namen von Regels tzen sofern definiert Neben Annehmen Abweisen und Verwerfen f hrt die Auswahlliste auch die Namen bereits definierter Regels tze auf Wird ein Name ausgew hlt referenziert wird dieser d h die Regeln dieses Regelsatzes
317. ostnamen findet z B in folgendem Szena rio Anwendung Ein Werk betreibt mehrere gleich aufgebaute Maschinen jede als eine sogenann te Zelle Die lokalen Netze der Zellen A B und C sind jeweils per mGuard ber das Internet mit dem Werksnetz verbunden In jeder Zelle befinden sich mehrere Steuerungselemente die ber ihre IP Adressen angesprochen werden k nnen Dabei werden je Zelle unterschiedliche Adressr ume verwendet Ein Service Techniker soll in der Lage sein sich bei Maschine A B oder C vor Ort mit seinem Notebook an das dort vorhandene lokale Netz anzuschlie en und mit den einzelnen Steuerungen zu kommunizieren Damit der Techniker nicht f r jede einzelne Steuerung in Maschine A B oder C deren IP Adresse kennen und eingeben muss sind den IP Adressen der Steuerungen jeweils Hostnamen nach einheitlichem Schema zugeordnet die der Service Techniker verwendet Dabei sind die bei den Maschinen A Bund C verwendeten Hostnamen identisch d h zum Beispiel dass die Steuerung der Verpackungsmaschine in allen drei Ma schinen den Hostnamen pack hat Jeder Maschine ist aber ein individueller Do main Name zugeordnet z B cell a example com Der Service Techniker Notebook kann sein Notebook d Service Techniker bei Maschine A B oder C ans lokale Netz an schlie en und in jedem dieser Netze dieselben Hostnamen benutzen um mit den entspre chenden Maschinen steuerungen zu kommunizieren Das Notebook kann die zu verwend
318. outerRedBackupDown TRAP TYPE 2 mGuardTResRedundancyBackupDown Trap wird gesendet wenn das Master Ger t das Backup Ger t nicht erreichen kann Wird nur gesendet wenn ICMP Pr fungen aktiviert sind Benutzerfirewall Traps Ja Nein VPN Traps enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung enterprise oid generic trap specific trap additional Erl uterung mGuardTrapUserFirewall enterpriseSpecific mGuardTrapUserFirewallLogin 1 mGuardTResUserFirewallUsername mGuardTResUserFirewallSrcIP mGuardTResUserFirewallAuthenticationMethod Trap bei Einloggen eines Benutzers der Benutzer Firewall mGuardTrapUserFirewall enterpriseSpecific mGuardTrapUserFirewallLogout 2 mGuardTResUserFirewallUsername mGuardTResUserFirewallSrcIP mGuardTResUserFirewallLogoutReason Trap bei Ausloggen eines Benutzers der Benutzer Firewall mGuardTrapUserFirewall enterpriseSpecific mGuardTrapUserFirewallAuthError TRAP TYPE 3 mGuardTResUserFirewallUsername mGuardTResUserFirewallSrcIP mGuardTResUserFirewallAuthenticationMethod Trap bei Authentifizierungs Fehler Status nderungen von IPsec Verbindungen Ja Nein enterprise oid genericTrap specific trap additional Erl uterung enterprise oid genericTrap specific trap additional Erl uterung mGuardTrapVPN enterpriseSpecif
319. pen Source Software 84 von 283 Konfiguration Menti Verwaltung 6 2 4 Verwaltung Update BO Ab Version 5 0 0 der mGuard Firmware muss vor der Installation eines Ma jor Release Upgrades z B von Version 4 x y auf 5 x y oder von Version 5 x y auf Version 6 x y f r das betreffende Ger t erst eine Lizenz erworben werden Die Lizenz muss vor der Durchf hrung des Firmware Updates auf dem Ger t installiert werden siehe 6 2 3 Verwaltung Lizenzierung In stallieren auf Seite 83 Minor Release Upgrades bedeutet gleichbleibende Hauptversion z B in nerhalb von 5 x y k nnen bis auf Weiteres ohne Lizenz installiert werden DO Ab Firmware Version 5 0 des mGuard bleiben Lizenzen auch nach Flashen der Firmware installiert bersicht Verwaltung Update System Information Version Basis Updates Anti Virus Information Anti Viren Schutz Status Letztes Datenbank Update Datenbank Update Status Paket Versionen bootloader 1 3 2 default bridge utils 0 9 5 default busybox 1 1 6 default bzip2 0 0 2 default clamav 0 89 35 default djbdns 25 3 default ebtables 0 3 0 default ez ipupdate 3 0 13 default 00000995906 Sie k nnen die erfolgreiche Freischaltung des Virenfilters berpr fen Die Information ber das Ablaufdatum Ihrer Anti Virus Lizenz Siehe Verwal tung Lizenzierung auf Seite 82 System Information Version Die aktuelle Software Version des mGuard Basis Die Software Ve
320. pr fung zu den normalen Betriebsbedingungen der EN 61131 2 2003 Zertifizierungen CE FCC EAGLE mGuard L nge eines 10BASE T 100BASE TX Twisted Pair Segmentes ca Netzausdehnung 100 m NEC Class 2 power source 12VDC bzw 9 6VDC 60VDC oder 18VAC 30 VAC Betriebsspannung Sicherheitskleinspannung SELV PELV redundante Eing nge ent koppelt max 5A Pufferzeit min 10 ms bei 24VDC Potentialdifferenz zwischen Eingangsspannung und Geh use Potentialdifferenz zu Eingangsspannung 24 VDC 32 VDC Potentialdifferenz zu Eingangsspannung Masse 32 VDC Leistungsaufnahme max 7 2 W bei 24 VDC 24 6 Btu IT h Uberstromschutz am nicht wechselbare Schmelzsicherung Eingang Abmessungen BxHxT46mmx 131 mmx 111 mm Masse 340 g 281 von 283 Technische Daten Umgebungstemperatur Lagerungstemperatur Umgebende Luft 0 C bis 55 C Umgebende Luft 40 C bis 80 C Relative Luftfeuchtigkeit 10 bis 95 nicht kondensierend Luftdruck geignet bis 2000 m 795 hPa Verschmutzungsgrad 2 EMV St rfestigkeit Entladung statischer Elektrizit t Kontaktentladung EN 61000 4 2 Pr fsch rfegrad 3 Luftentladung EN 61000 4 2 Pr fsch rfegrad 3 Elektromagnetische Felder EN 61000 4 3 Pr fsch rfegrad 3 Schnelle Transienten EN 61000 4 4 Pr fsch rfegrad 3 Sto spannungen symmetrisch EN 61000 4 5 Pr fsch rfegrad 2 Sto spannungen unsymme
321. profils f r diesen Slot auf dem Kontroller Herunterladen der Konfiguration zum Client L dt das auf dem Kontroller gespeicherte Konfigurationsprofil f r diesen Slot auf den Konfigurations PC 108 von 283 Konfiguration Menti Netzwerk 6 4 Men Netzwerk 6 4 1 Netzwerk Interfaces Der mGuard verf gt ber folgende von au en zug ngliche Interfaces Schnitt stellen Ethernet Serielle Eingebautes Intern LAN Schnittstelle Modem Extern WAN mGuard Smart ja nein nein mGuard industrial RS mGuard blade EAGLE ja ja nein mGuard mGuard delta optional ia ia ia mGuard industrial RS J J J Der LAN Port wird an einen Einzelrechner oder das lokale Netzwerk intern angeschlossen Der WAN Port ist fiir den Anschluss an das externe Netz Bei Ger ten mit serieller Schnittstelle kann der Anschluss ans externe Netz auch oder zusatzlich tiber die serielle Schnittstelle mittels eines Modems erfolgen Alterna tiv kann die serielle Schnittstelle auch wie folgt benutzt werden fiir ppp Einwahl ins lokale Netz oder f r Konfigurationszwecke Bei Ger ten mit eingebautem Modem Analog Modem oder ISDN Terminaladapter kann zus tzlich das Mo dem benutzt werden um Zugriffsm glichkeiten zu kombinieren Die Details dazu m ssen auf den Registerkarten Allgemein Ethernet Ausge hender Ruf Eingehender Rufund Modem Konsole konfiguriert werden F r weitere Erl uterungen zur Nutzungsm glichkeit der seriellen Schn
322. r Datei bei einer E Mail zus tzlich Absender Datum Betreff e Ausgegebene Warnungen bei automatischer Einschaltung des Durchlassmo dus wenn die zu filternde Datei die eingestellte Dateigr e berschreitet und nicht gefiltert wurde e Start und Ende der Virenfilterprogramme e Fehlerausgaben des Virenfilters Fehlermeldungen Virus Detection Ein Virus wurde erkannt Die Fehlermeldung enth lt den Namen des Virus den Absender der E Mail das Absendedatum und den Namen der infizierten Datei bzw den Namen der komprimierten Archivdatei und des infizierten Bestandteils dieses Archivs Beispiel einer Virenmeldung mGuard detected a virus The mail could not be delivered found Virus Email Worm Win32 NetSky q From sick example com Date Fri 13 Aug 2004 11 33 53 0200 about _ you zip document txt exe 000012a7 00000077 00000000 Message Details From sick example com Subject Private document Date Fri 13 Aug 2004 11 33 53 0200 Exceeded maximum filesize Die eingestellte Begrenzung der Dateigr e wurde berschritten Um die Datei trotzdem bertragen zu k nnen deaktivieren Sie f r den Download den Virenfilter f r den entsprechenden Server oder global Alternativ k nnen Sie unter Men Web Sicherheit bzw E Mail Sicherheit den Einstellparameter bei berschreiten der Gr enbegrenzung auf den Durchlassmodus schalten 258 von 283 Konfiguration Menti Logging BO In beiden F llen wird die be
323. r Pakete f r ppp W hlverbindung Einwahl 243 von 283 Konfiguration Menti QoS 6 11 3 Egress Queues VPN VPN via Intern VPN via Extern VPN via Extern 2 VPN via Einwahl VPN via Intern VPN via Extern VPNviaextern2 IJ VPNviaEinwahl Aktivierung Aktiviere Egress Qos i SR Gesamtbandbreite rate sirable Fee eer SR Queues CX No Name _Garantiert _bergrenze ___ Priorit t Kommentar Au Urgent 10 fonimited Foch za som Important io 7 forma I miner _ J SI Default 10 unlimited Mittel E 0 H Low Priority 10 unlimited Niedrig VPN via Intern Einstellung f r Egress Queues VPN via Inten VPN via Extern vPmviaextern2 Iva Gescht Aktivierung vir Ere 8 SR Gesamtbandbreite rate Maximalbandbreite rate IEN e Queues FS m O3 Name Garantiert Obergrenze Priorit t Kommentar SI urgent 10 unlimited Hoch S S IS important 10 funlimited Mittel E E d Default D funlimited Mitel E St H Low Priority 10 unlimited Niedrig VPN via Extern Einstellung f r Egress Queues ven vie intern VPN via Extern VPN via e ven via Einwahl Aktivierung Aire arene Gos E Gesamtbandbreite rate Maximalbandbreite rate UE E Queues SL Crane Obergrenze Prost kommentar so i urgent 10 unlimited Hoch A 7 important fo a rime _ J SI d Default m unlimited Mittel E EI H Low Priority 10 unlimited Niedrig H
324. r URL https 1 1 1 1 vorgenommen werden Auf dem Rechner selbst m ssen keine Konfigurations nderungen durchgef hrt werden Intranet DSL Modem Internet oder Router Der mGuard kann f r mehrere Rechner als Netzwerkrouter die Internetanbin dung bereitstellen und das Firmennetz dabei mit seiner Firewall sch tzen Dazu kann einer der folgenden Netzwerk Modi des mGuard genutzt werden e Router wenn der Internet Anschluss z B ber einen DSL Router oder eine Standleitung erfolgt e PPPoE wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPPoE Protokoll verwendet wird z B in Deutschland e PPTP wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPTP Protokoll verwendet wird z B in sterreich e Modem wenn der Internet Anschluss ber ein seriell angeschlossenes Modem Hayes bzw AT Befehlssatz kompatibel erfolgt Bei Rechnern im Intranet muss der mGuard als Defaultgateway festgelegt sein Intranet Internet Server Firewall Eine DMZ Demilitarized Zone deutsch entmilitarisierte Zone ist ein gesch tz tes Netzwerk das zwischen zwei anderen Netzen liegt Z B kann sich die Web 13 von 283 Typische Anwendungsszenarien VPN Gateway WLAN ber VPN pr senz einer Firma so in der DMZ befinden dass nur aus dem Intranet heraus mittels FTP ne
325. r aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert 205 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 6 9 Men IPsec VPN nicht blade Kontroller 6 9 1 Optionen Nur bei IPsec VPN Global IPsec VPN Global Optionen DynDNS berwachung Optionen Erlaube Paketweiterleitung zwischen VPN Verbindungen ne Starte und stoppe die angegebene VPN Verbindung ber den CMD Kontakt und signalisiere den Zustand der Verbindung ber den ACK Kontakt Am CMD Kontakt angeschlossener Schaltertyp Archiviere Diagnosemeldungen zu VPN Verbindungen Nein TCP Kapselung Horche auf eingehende VPN Verbindungen die eingekapselt sind TCP Port auf dem zu horchen ist Server ID 0 63 KI z EI A E al ANE ols Si is s IP Fragmentierung Einige Router sind nicht in der Lage gro e UDP Pakete weiterzuleiten Die folgenden Optionen erlauben es die Gr e der von IPsec erzeugten UDP Pakete zu reduzieren um solche Router durchqueren zu k nnen IKE Fragmentierung MTU f r IPsec Voreinstellung ist 16260 Erlaube Paketweiterleitung zwischen VPN Verbindungen Ja Nein Bei Nein Standard VPN Verbindungen existieren f r sich separat Bei Ja Hub and Spoke Feature eingeschaltet Eine Zentrale unterh lt VPN Verbindungen zu mehreren Zweigstellen die auch untereinander kommuni zieren k nnen Bei Aufbau solch einer sternf rmigen Top
326. r den Packet Filter Re geln Quell MAC Angabe der Quell MAC Adresse xx xx xx xXx xx xx steht f r alle MAC Adressen Ziel MAC Angabe der Ziel MAC Adresse xx xx xx Xx xx xx steht f r alle MAC Adres sen Der Wert ff ff ff ff ff ff ist die Broadcast MAC Adresse an die z B alle ARP Anfragen geschickt werden Ethernet Protokoll any steht f r alle Ethernet Protokolle Weitere Protokolle k nnen mit dem Namen oder in HEX angegeben werden zum Beispiel e IPv4 oder 0800 e ARP oder 0806 Aktion Annehmen bedeutet die Datenpakete d rfen passieren 1 mGuard industrial RS mGuard blade EAGLE mGuard mGuard delta 183 von 283 Konfiguration Menti Netzwerksicherheit nicht blade Kontroller Erweiterte Einstellungen Verwerfen bedeutet die Datenpakete werden verworfen Kommentar Ein frei wahlbarer Kommentar fiir diese Regel Der MAC Filter unterst tzt keine Logging Funktionalit t Netzwerksicherheit Paketfilter Konsistenzpriifungen Maximale Lange fiir Ping Pakete ICMP Echo Request Aktiviere TCP UDP ICMP Konsistenzpr fungen Netzwerkmodi Router PPTP PPPoE ICMP via prim rem externen Interface f r den mGuard ICMP via sekundarem externen Interface f r den mGuard Bitte beachten Sie Bei aktiviertem SNMP Zugriff werden automatisch eingehende ICMP Pakete angenommmen AntiVirus Scanner Auf Viren gescannte Verbindungen unterliegen Firewall Regeln nein Stealth Mode Erlaube Weiterleitung
327. r die Seite mit den gew nschten Einstell m glichkeiten anklicken z B Verwaltung Lizenzierung Dann wird im Hauptfenster die Seite angezeigt in Form einer oder mehrerer Registerkar ten auf denen Sie Einstellungen vornehmen k nnen Gliedert sich eine Seite in mehrere Registerkarten oben auf die Registerkartenzunge auch Tab genannt klicken um zu bl ttern 2 Auf der betreffenden Seite bzw Registerkarte die gew nschten Eintr ge machen Siehe dazu auch den nachfolgenden Unterabschnitt Arbeiten mit sortierbaren Tabellen auf Seite 57 3 Damit die Einstellungen vom Ger t bernommen werden die Schaltflache Ubernehmen klicken Nach der bernahme vom System erhalten Sie eine best tigende Rtickmeldung Damit sind die neuen Einstellungen in Kraft Sie bleiben in Kraft auch nach einem Neustart Reset e Befindet sich unten rechts die Schaltfl che Zur ck kehren Sie durch Klicken auf diese Schaltfl che auf die Seite zur ck von der Sie gekommen sind Bei Eingabe unzul ssiger Werte Nach Eingabe unzul ssiger Werte z B einer unzul ssigen Zahl in einer IP Adresse und nach anschlie endem Klicken auf bernehmen wird die Schrift des betreffenden Registerkarten Titels in Rot dargestellt Das erleichtert Ihnen das Auffinden des Fehlers Arbeiten mit sortierbaren Tabellen Viele Einstellungen werden als Datens tze gespeichert Entsprechend werden Ih nen die einstellbaren Parameter und deren Werte in Form von Tabe
328. r ist Sie bilden die Schnittstelle zu anderen Teilen des LAN oder zum Internet Findet hier der Ubergang zum Internet statt wer den die IP Adressen normalerweise vom Internet Service Provider ISP vor gegeben Wird dem mGuard eine IP Adresse dynamisch zugeteilt k nnen Sie hier die gerade g ltige IP Adresse nachschlagen Im Stealth Modus bernimmt der mGuard die Adresse des lokal angeschlos senen Rechners als seine externe IP Status des Netzwerk Modus Anzeige des Status des ausgew hlten Netzwerk Modus Aktive Defaultroute Nur Anzeige Hier wird die IP Adresse angezeigt ber die der mGuard ver sucht ihm unbekannte Netze zu erreichen Hier kann insbesondere dann no ne stehen wenn sich der mGuard im Stealth Modus befindet Benutzte DNS Server Nur Anzeige Hier wird der Name der DNS Server angezeigt die vom mGuard zur Namensaufl sung benutzt werden Diese Information kann n tz lich sein wenn der mGuard z B die DNS Server verwendet welche ihm vom Internet Service Provider vorgegeben werden Netzwerk Modus Stealth Router PPPoE PPTP Modem Eingebautes Modem Modem Eingebautes Modem Steht nicht bei allen mGuard Modellen zur Verf gung siehe Netzwerk Interfaces auf Seite 109 Der mGuard muss auf den Netzwerkmodus gestellt werden der seiner Einbin dung in das Netzwerk entspricht Siehe auch Typische Anwendungsszenarien auf Seite 13 Je nach dem auf welchen Netzwerkmodus der mG
329. r usw w hlbar Warte In diesem Fall ist der mGuard bereit die Verbindung anzunehmen die eine entfernte Gegenstelle aktiv zum mGuard initiiert und aufbaut Wenn Sie unter Adresse des VPN Gateways der Gegenstelle Yany ein getragen haben m ssen Sie Warte ausw hlen 215 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller Kapsele den VPN Datenverkehr in TCP ein Nein Ja Standard Nein Bei Anwendung der Funktion TCP Kapselung siehe TCP Kapselung auf Seite 208 diesen Schalter nur dann auf Ja setzen wenn der mGuard bei der von ihm initiierten VPN Verbindung den von ihm ausgehenden Datenverkehr einkapseln soll In diesem Fall muss auch die Nummer des Ports angegeben werden tiber den die Gegenstelle die eingekapselten Datenpakete empfangt TCP Port des Servers welcher die gekapselte Verbindung annimmt Standard 8080 Nummer des Ports tiber den die Gegenstelle die eingekapsel ten Datenpakete empf ngt Die hier angegebene Portnummer muss mit der Portnummer bereinstimmen die beim mGuard der Gegenstelle als TCP Port auf dem zu horchen ist festgelegt ist Men punkt Psec VPN Global Registerkarte Optionen BO Bei Einsatz von TCP Kapselung siehe TCP Kapselung auf Seite 208 Wenn der mGuard eine VPN Verbindung zu einer Wartungszentrale aufbau en und den Datenverkehr dorthin einkapseln soll Es muss Initiiere oder Initiiere bei Datenverkehr festgelegt werden Wenn der mGuard bei ein
330. r zugesprochen wird Und das k nnte sich unterscheiden von Zugriffsrechten die ihm in weiter unten stehenden Filtern zugeord net sind Sind nachfolgend in der Tabelle mit der Spalte X 509 Zertifikat Gegen stellenzertifikate als Filter konfiguriert dann haben diese Filter Vorrang gegen ber den Filtersetzungen hier F r den Zugriff autorisiert als root admin netadmin audit user Legt fest welche Benutzer bzw Administratorrechte dem aus der Ferne zu greifenden Bediener einger umt werden F r eine Beschreibung der Berechtigungsstufen root admin und user siehe Authentifizierung Lokale Benutzer auf Seite 158 Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte bei Zugriffen mit dem Innominate Device Manager X 509 Zertifikat Die Konfiguration ist in den folgenden F llen erforderlich Von entfernt zugreifende Benutzer zeigen jeweils ein selbst signiertes Zertifikat vor Von entfernt zugreifende Benutzer zeigen jeweils ein von einer CA signiertes Zertifikat vor Es soll eine Filterung erfolgen Zugang erh lt nur der dessen Zertifikats Kopie im mGuard als Gegenstellenzertifikat installiert ist und in dieser Tabelle dem mGuard als X 509 Zertifikat zur Verf gung gestellt wird Dieser Filter hat Vorrang gegen ber dem Subject Filter in der Tabelle dar ber sofern verwendet Der Eintrag in diesem Feld legt fest welches Gegenstellenzertifikat der mGuard heranziehen soll um die
331. rauben zur Montage der bladeBase Zum mGuard delta geh ren zus tzlich e eine 5V DC Stromversorgung e zwei UTP Ethernetkabel 23 von 283 Inbetriebnahme 4 1 mGuard industrial RS installieren Montage Das Ger t wird in betriebsbereitem Zustand ausgeliefert F r die Montage und die Vornahme der Anschl sse ist folgender Ablauf zweckm ig 1 Ziehen Sie den Klemmblock unten vom mGuard industrial RS ab und ver drahten Sie die Meldeleitungen und die weiteren Anschl sse soweit vorhan den bzw soweit sie verwendet werden siehe unten unter Anschlussm glichkeiten Klemmblock unten auf Seite 26 Die Schrauben der Schraubklemmen mit mindestens 0 22 Nm anziehen Verdrahteten Klemmblock nach der Montage des Ger tes auf der Hutschiene wieder aufsetzen 2 Montieren Sie den mGuard industrial RS auf einer 35 mm Hutschiene nach DIN EN 50 022 H ngen Sie dazu die obere Rastf hrung des mGuard industrial RS in die Hut schiene ein und dr cken Sie den mGuard industrial RS dann nach unten gegen die Hutschiene so dass er einrastet FA Lan S ke 3 Am Klemmblock oben die Versorgungsspannung anschlie en siehe unten unter Versorgungsspannung auf Seite 25 4 Am LAN Port bzw WAN Port die erforderlichen Netzwerkanschl sse vor nehmen siehe unten unter Netzwerkverbindung auf Seite 25 5 Gegebenenfalls am SERIAL Port das entsprechende Ger t anschlie en siehe unten unter Serial Port au
332. rd ihm vom Internet Service Provider dynamisch eine IP Adresse zugeordnet d h die Adresse wechselt von Sitzung zu Sitzung Auch wenn der Rechner z B bei einer Flatrate ber 24 Stunden ununterbrochen online ist wird die IP Adresse zwischendurch gewechselt Soll ein solcher Rechner ber das Internet erreichbar sein muss er eine Adresse haben die der entfernten Gegenstelle bekannt sein muss Nur so kann diese die Verbindung zum Rechner aufbauen Wenn die Adresse des Rechners aber st n dig wechselt ist das nicht m glich Es sei denn der Betreiber des Rechners hat ein Account bei einem DynDNS Anbieter DNS Domain Name Server Dann kann er bei diesem einen Hostnamen festlegen unter dem der Rechner k nftig erreichbar sein soll z B www example com Zudem stellt der DynDNS Anbieter ein kleines Programm zur Verf gung das auf dem betreffen den Rechner installiert und ausgef hrt werden muss Bei jeder Internet Sitzung des lokalen Rechners teilt dieses Tool dem DynDNS Anbieter mit welche IP Adresse der Rechner zurzeit hat Dessen Domain Name Server registriert die aktuelle Zuordnung Hostname IP Adresse und teilt diese anderen Domain Name Servern im Internet mit Wenn jetzt ein entfernter Rechner eine Verbindung herstellen will zum Rechner der beim DynDNS Anbieter registriert ist benutzt der entfernte Rechner den Hostnamen des Rechners als Adresse Dadurch wird eine Verbindung herge stellt zum zust ndigen DNS Domain Name Server
333. rden Alle mGuard Versionen bis auf mGuard delta und blade Kontrol ler in den Stealth Modus automatisch mit der Adresse 1 1 1 1 mGuard delta und beim blade Kontroller in den Router Modus mit der Adresse 192 168 1 1 Weiterhin wird f r die Ethernetanschl sse das MAU Management eingeschaltet HTTPS ber den lokalen Ethernetanschlu LAN freigegeben B Die konfigurierten Einstellungen f r VPN Verbindungen und Firewall bleiben erhalten ebenso Passw rter M gliche Gr nde zum Ausf hren der Recovery Prozedur Der mGuard befindet sich im Router oder PPPoE Modus und die Ger teadresse des mGuard ist konfiguriert worden abwei chend von der Standardeinstellung und Sie kennen die aktuelle IP Adresse des Ger tes nicht 265 von 283 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware Aktion 1 Die Rescue Taste langsam 6 mal driicken 2 Nach ca 2 Sekunden antwortet der mGuard e mGuard industrial RS e Bei Erfolg leuchtet die State LED gr n e Bei Misserfolg leuchtet die Error LED rot e smart e Bei Erfolg leuchtet die mittlere LED gr n e Bei Misserfolg leuchtet die mittlere LED rot e blade PCI e Bei Erfolg leuchtet die LAN LED rot e Bei Misserfolg leuchtet die WAN LED rot e EAGLE mGuard e Bei Erfolg leuchtet die STATUS LED gelb e Bei Misserfolg leuchtet die ERROR LED rot e mGuard delta e Bei Erfolg leuchtet die STATUS LED gr n e Bei Misserfolg bleibt die
334. rend des Speicherns des Profils angege benen Passwort entsprechen Die LED STATUS blinkt beim ACA11 auch die LED V 24 bis das Laden be endet ist Folge Das vom ACA geladene Konfigurationsprofil wird inden EAGLE mGuard geladen und in Kraft gesetzt Es erscheint nicht in der Liste der im EAGLE mGuard gespeicherten Konfigurationsprofile gt Die Konfiguration auf dem ACA enth lt auch die Passw rter f r die Benutzer root admin netadmin audit und user Diese werden beim Laden vom ACA ebenfalls tibernommen 91 von 283 Konfiguration Menti Verwaltung 6 2 6 Abfrage Verwaltung SNMP Verwaltung SNMP Einstellungen Aktiviere SNMPv3 en Ei Aktiviere SNMPvi v2 rer ET Port f r SNMP Verbindungen 161 nur Fernzugang SNMPv1 v2 Community Lesen und schreien E Nur lesen C TI Erlaubte Netzwerke BS Log ID fw snmp sccess N2 00000000 0000 0000 0000 00000000000 vonte interface aktion kommentar tog St fo 0 0 0 0 Eten 2 annehmen 2 TT nein 2 Diese Regeln gestatten es SNMP zu aktivieren Wichtig Setzen Sie sichere Passworte fiir SNMPv3 bevor Sie Fernzugriff erlauben Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Bei aktiviertem SNMP Zugriff werden auto
335. res Interface explizit mit An nehmen erlauben bevor Sie durch Klicken auf die bernehmen Schaltfl che 1 Extern 2 und Einwahl nur bei Ger ten mit serieller Schnittstelle Siehe Netz werk Interfaces auf Seite 109 Konfiguration Menti Verwaltung die neue Einstellung in Kraft setzen Sonst muss bei Aussperrung die Revo very Prozedur durchgef hrt werden Aktion M glichkeiten e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werkseitige Voreinstellung X 509 Authentifizierung Erlaube X 509 Zertifikate fiir den SSH Zugang Ja Nein Bei Nein werden zur Authentifizierung nur die herk mmlichen Authentifizie rungsverfahren Benutzername und Passwort bzw privater und ffentlicher Schl ssel erlaubt nicht das X 509 Authentifizierungsverfahren
336. rfen Das gilt f r den Datenstrom der den links angegebenen Kriterien dieses Regelsatzes ent spricht also passieren darf Liefert dieser Datenstrom mehr Datenpakete pro Sekunde dann verwirft der mGuard die berz hlige Anzahl an Datenpaketen Kommentar 242 von 283 Optional kommentierender Text Konfiguration Men QoS 6 11 2 Egress Queues Intern Extern Extern 2 Einwahl Den Diensten werden entsprechende Priorit tsstufen zugeordnet Bei Verbin dungsengp ssen werden dann je nach zugeordneter Priorit tsstufe die ausge henden Datenpakete in Egress Queues Warteschlangen f r anstehende Pakete gestellt die mit entsprechender Priorit t abgearbeitet werden Die Zuordnung von Priorit tsstufe und Bandbreite sollte im Idealfall so erfolgen dass f r Daten pakete von in Realzeit zu vollziehenden bertragungen immer gen gend Band breite zur Verf gung steht w hrend Pakete von anderen wie z B FTP Downloads im Ernstfall vor bergehend auf Warten gesetzt werden Die Hauptanwendung von Egress QoS ist die optimale Ausnutzung der zur Ver f gung stehenden Bandbreite am jeweiligen Anschluss In einigen F llen kann auch eine Begrenzung der Paketrate n tzlich sein z B um einen langsamen Rechner im gesch tzten Netz vor berlast zu sch tzen Das Feature Egress Queues kann f r alle Schnittstellen eingesetzt werden und f r VPN Verbindungen QoS Egress Queues Aktivierung Aktiviere Egress QoS Gesam
337. riebenen Schritte aus e Sie haben die Treiberdateien auf einem Datentr ger Falls nicht Erh ltlich sind die Treiberdateien im Download Bereich der Website www innominate com herunterladbar als ZIP Archiv Entpacken Sie das ZIP Archiv Brennen bzw kopieren Sie die entpackten Dateien auf einen Datentr ger z B CD USB Speicherstick oder Diskette Nach Einbau der Hardware den Computer einschalten Melden sich mit Administratorrechten an und warten Sie bis das folgende Fenster erscheint Willkommen Mit diesem Assistenten k nnen Sie Software f r die folgende Hardwarekomponente installieren Ethemet Controller D Falls die Hardwarekomponente mit einer CD oder Diskette geliefert wurde legen Sie diese jetzt ein Wie m chten Sie vorgehen Software von einer Liste oder bestimmten Quelle installieren f r fortgeschrittene Benutzer Klicken Sie auf weiter um den Vorgang fortzusetzen lt Zur ck Abbrechen 1 Nach Einlegen bzw Einstecken des Datentr gers w hlen Sie Software von einer Liste oder bestimmten Quelle installieren f r fortgeschrittene Benutzer und klicken Sie auf Weiter Wahlen Sie die Such und Installationsoptionen i Q ie die Kontrollk stchen um die Standardsuche zu erweitern oder einzuschr nken Lokale Pfade und Wechselmedien sind in der Standardsuche mit einbegriffen Der zutreffendste Treiber wird installiert IV Wechselmedien durchsuchen Diskette CD IT Fo
338. rm www example com dann muss der mGuard ermitteln welche IP Adresse sich hinter dem Hostnamen verbirgt Dazu nimmt er Verbindung zu einem Domain Name Server DNS auf um dort die zugeh rige IP Adresse zu erfragen Die zum Hostnamen ermittelte IP Adres se wird im Cache gespeichert damit sie bei weiteren Hostnamensaufl sungen di rekt d h schneller gefunden werden kann Durch die Funktion Lokale Aufl sung von Hostnamen kann der mGuard au er dem so konfiguriert werden dass er selber DNS Anfragen f r lokal verwendete Hostnamen beantwortet indem er auf ein internes zuvor konfiguriertes Ver zeichnis zugreift Die lokal angeschlossenen Clients k nnen manuell oder per DHCP so konfigu riert werden dass als Adresse des zu benutzenden DNS Servers die lokale Adresse des mGuard verwendet wird Wird der mGuard im Stealth Modus be trieben muss bei den Clients die Management IP Adresse des mGuard verwen det werden sofern diese konfiguriert ist oder es muss die IP Adresse 1 1 1 1 als lokale Adresse des mGuard angegeben werden Zu benutzende Nameserver M glichkeiten s DNS Root Nameserver e Provider definiert z B via PPPoE oder DHCP e Benutzerdefiniert unten stehende Liste DNS Root Nameserver Anfragen werden an die Root Nameserver im Internet gerichtet deren IP Adressen im mGuard gespeichert sind Diese Adressen ndern sich selten Provider definiert z B via PPPoE oder DHCP Es werden die Domain Name Server des
339. rnten Netz hergestellt gt Die Erdung der Frontblende des Geh uses des EAGLE mGuard erfolgt ber 34 von 283 Inbetriebnahme Inbetriebnahme Netzwerkverbin dung Demontage m den Erdungsanschluss BO Das Geh use darf nicht ge ffnet werden BO Die Schirmungsmasse der anschlie baren Industrial Twisted Pair Leitungen ist elektrisch leitend mit der Frontblende verbunden Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Ma nahmen zu treffen Der EAGLE mGuard darfbei Aufstellung in Wohn und B roumgebungen ausschlie lich in Schaltschr nken mit Brand schutzeigenschaften gem EN 60950 1 betrieben werden Mit dem Anschluss der Versorgungsspannung ber den 6 poligen Klemmblock nehmen Sie den EAGLE mGuard in Betrieb Verriegeln Sie den Klemmblock mit der seitlichen Verriegelungsschraube Wenn Ihr Rechner bereits an einem Netzwerk angeschlossen ist dann patchen Sie den EAGLE mGuard zwischen die bereits bestehende Netzwerkverbindung Beachten Sie bitte dass die Konfiguration zun chst nur ber das LAN Interface erfolgen kann und die Firewall des EAGLE mGuard den gesamten IP Datenver kehr vom WAN zum LAN Interface unterbindet IX Es ist keine Treiber Installation erforderlich BO Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und d
340. rsion mit der dieser mGuard urspr nglich geflasht wurde Updates Liste der Updates die zur Basis hinzu installiert worden sind Anti Virus Information Anti Viren Schutz Status Hier k nnen Sie den Status der Scan Engine berpr fen Wenn die berwa chung f r mindestens ein Protokoll aktiviert ist wird hier der Status oben an gezeigt Letztes Datenbank Update Es werden die Versionsnummern und das Erstellungsdatum der Virensigna turen angezeigt 85 von 283 Konfiguration Menti Verwaltung Update Datenbank Update Status Hier wird angezeigt ob die Datenbank Aktualisierung aktiviert ist ob gerade ein Datenbank Update durchgef hrt wird oder ob die Aktualisierung wegen einer abgelaufenen Anti Virus Lizenz gesperrt ist Paket Versionen Listet die einzelnen Software Module des mGuard auf Gegebenenfalls f r Sup portzwecke interessant Verwaltung Update Anti Virus Muster Lokales Update Dateiname RS Durchsuchen Installiere Pakete Der Name der Package Set Datei hat die Endung tar gz Das Format des einzugebenden Dateinamens ist update a b c d e f tar gz Online Update Package Set Name Installiere Package Set Automatische Updates Neuestes Patch Release installieren x y Z InstalliereineuesteiPatches Aktuelles Minor Release x Y z zur Hauptversion PEP installieren Hinweis Eventuell steht kein direktes Update von der aktuell auf dem System befindlichen Version zum neuesten ver ffe
341. rsuchen Sie das Zertifikat um festzustellen ob Sie der ausstellenden Institution vertrauen m chten ten Zertifikat ausgeliefert Lei Das Datum des Sicherheitszertifikates ist gultig Der auf dem Sicherheitszertifikat angegebene Name stimmt nicht mit dem Namen der Site berein Soll der Vorgang fortgesetzt werden Ja L nin Zertifikat anzeigen Quittieren Sie den entsprechenden Sicherheitshinweis mit Ja Folge Das Login Fenster wird angezeigt Benutzername admin Passwort biii Zugangsart Administration W hlen Sie die Zugangsart Administration oder Benutzerfirewall und ge ben Sie Ihren Benutzernamen und Ihr Passwort ein die f r diese Zugangsart fest gelegt ist Benutzerfirewall siehe Netzwerksicherheit Benutzerfirewall auf Seite 190 54 von 283 Konfiguration vorbereiten Fur Administration ist werkseitig voreingestellt Benutzername admin Passwort mGuard DO Gro und Kleinschreibung beachten Zur Konfiguration machen Sie auf den einzelnen Seiten der Oberfl che des mGuard die gew nschten bzw erforderlichen Angaben Siehe Konfiguration auf Seite 57 BO Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Authentifizierung Lokale Benutzer auf Seite 158 55 von 283 Konfiguration vorbereiten 5 4 Fernkonfiguration Voraussetzung Der mGuard muss so konfiguriert sein
342. rt x Low Priority E Extern Einstellung f r Egress Queue Zuordnungen QoS Egress Zuordnungen Standard Standard Queue T Zuordnungen E Teen vone _vonport _nachip nachPort Aktueller TOs DSCP wert Newer Tos DscP Wert Queuename _ Kommentar HET A oo0c0 P o o Sen os Minimize Delay E Unverandet lien 2 St 2 ale zl boaaug Emm 0 0000 Fe T0S Maximize Reliability E Unverandet 2 important 2 TI fale EI i 0 0 00 Si TOS Minimize Cost E Unverandet low Pen N I Extern 2 Einstellung f r Egress Queue Zuordnungen QoS Egress Zuordnungen Einwahl Standard BEI tec SR Zuordnungen Regen ailae Slihbauag Mm DES lee Minimize Delay E MJunverandet Euren EN 7 a ae zl banag mm fo0 00 0 EMM TOS Maximize Reliability zl Unverandert importa zl aa Eoo MEER SSS TOS Minimize Costs verander EU MJtowPrionty SSC Einwahl Einstellung f r Egress Queue Zuordnungen 246 von 283 Konfiguration Men QoS 6 11 5 Egress Zuordnungen VPN VPN via Intern VPN via Extern VPN via Extern2 VPN via Einwahl QoS Egress Zuordnungen VPN VPN via Intern Standard Standard Queue Cr _ Zuordnungen P X EEE BEE IE CF CO ECT ERSTER TEE ee HET II in DESCH lee Minimize Delay EM uvean EM JUrcent SCT St 2 ate E foo000 P 000 00 Emm T0S Maximize Reliability Unver ndert A important E Sala II in ooo Si
343. rtifikaten au thentifiziert werden soll kann die Adresse des VPN Gateway der Gegenstelle konkret durch IP Adresse oder Hostname oder durch any angegeben wer den Wird sie durch eine konkrete Adresse angegeben und nicht durch any dann muss ein VPN Identifier siehe VPN Identifier auf Seite 226 spezifiziert werden DO Wenn sich die Gegenstelle hinter einem NAT Gateway befindet muss any gew hlt werden Ansonsten wird das Aushandeln weiterer Verbindungs schl ssel nach der ersten Kontaktaufnahme fehlschlagen gt Bei Einsatz von TCP Kapselung siehe TCP Kapselung auf Seite 208 Es muss eine feste IP Adresse oder ein Hostname angegeben werden wenn dieser mGuard die VPN Verbindung initiieren und den VPN Datenverkehr einkapseln soll Ist dieser mGuard einer Wartungszentrale vorgeschaltet zu der mehrere ent fernte mGuards VPN Verbindungen herstellen und eingekapselte Datenpa kete senden muss das VPN Gateway der Gegenstelle mit any angegeben werden Verbindungsinitiierung Initiiere Initiiere bei Datenverkehr Warte Initiiere In diesem Fall initiiert der mGuard die Verbindung zur Gegenstelle Im Feld Adresse des VPN Gateways der Gegenstelle s 0 muss die feste IP Adresse der Gegenstelle oder deren Name eingetragen sein Initiiere bei Datenverkehr Die Verbindung wird automatisch initiiert wenn der mGuard bemerkt dass die Verbindung genutzt werden soll Ist bei jeder Betriebsart des mGuard Stealth Route
344. rtragene Datei nicht nach Viren untersucht Temporary Virus Scanner Failure Ein tempor rer Fehler trat bei dem Versuch auf eine Datei zu scannen Eine Wie derholung der bertragung zu einem sp teren Zeitpunkt oder ein Update der Vi rensignaturdatei kann evtl das Problem beheben M gliche Fehlerursachen e Die Scan Engine ist nicht in der Lage die Datei zu bearbeiten e Die Speicherkapazit t des Innominate mGuard reicht nicht zur Dekompres sion der Datei aus e Interner Fehler der Scan Engine Exceptional Virus Scanner Failure Ein Kommunikationproblem mit der Scan Engine trat auf M gliche Fehlerursachen e Fehlgeschlagenes Signatur Update durch fehlerhafte Angabe des Update Servers Men punkt Verwaltung gt Update e Ung ltige Lizenz f r den Virenfilter e Besch digtes oder fehlerhaftes Update der Virensignaturdatei Update running Der Virenfilter verf gt ber keine Virensignaturen der Download der Virensi gnaturen wurde bereits gestartet Sie k nnen den Fortschritt des Downloads im Men punkt Logging gt Logs ansehen gt Anti Virus Update verfolgen DHCP Server Relay Meldungen der unter Netzwerk gt DHCP konfigurierbaren Dienste Anti Virus Update Das Update Log enth lt Meldungen ber den Start und Verlauf des Update Pro zesses der Virensignaturdateien SNMP LLDP Meldungen der unter Verwaltung gt SNMP konfigurierbaren Dienste IPsec VPN Listet alle VPN Ereignisse auf Das Format entspr
345. rung auf Seite 82 e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensi gnaturen siehe Abschnitt Verwaltung Update auf Seite 85 Virensch utz Web Sicherheit FTP Virenschutz Optionen Anti Virus Schutz f r FTP Scannen bis zur Gr sse von SMB Bei Virusdetektion FTP Fehlermeldung M Bei berschreiten der Gr ssenbegrenzung Daten blockieren ST Liste der FTP Server SX Semer _serverPort Kommentar scannen FE 0 0 0 0 0 ER FTP out to any Scannen z Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r FTP muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Das FTP Protokoll wird zum Down oder Upload von Dateien genutzt e Bei aktiviertem Virenschutz erfolgt die Weiterleitung einer bertragenen Datei erst dann nachdem sie komplett geladen und gescannt wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindig keit zu Verz gerungen in der Reaktionszeit der Benutzer Software kommen e Um den Anti Virus Schutz f r FTP zu testen bietet sich zun chst der unge f hrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse http www eicar org anti_virus_test_file htm heruntergeladen werden kann e Der mGuard kann nur zum Schutz des FTP Clients genutzt werden e Der Anti Virus Schutz wirkt f r FTP Verbindungen die von einem FTP Client vom lokalen Netzwerk Interface des
346. ruppe zu ndern editieren und Verbindungen zu l schen IPsec VPN Verbindungen Verbindungen DIR Fem a Z Athen VPN Verbindung VPN Verbindungskan le neu definieren In der Tabelle der Verbindungen beim Eintrag mit dem Namen unnamed auf die Schaltfl che Editieren klicken Sollte der Eintrag unnamed nicht sichtbar sein in der Tabelle eine weitere Zeile ffnen VPN Verbindung VPN Verbindungskan le bearbeiten Rechts im betreffenden Eintrag auf die Schaltfl che Editieren klicken 212 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller URL f r Starten Stoppen Statusabfrage einer VPN Verbindung Die folgende URL kann verwendet werden um VPN Verbindungen unabh ngig von ihrer Aktiv Einstellung zu starten zu stoppen oder den Verbindungsstatus abzufragen https server nph vpn cgi name verbindung amp cmd up down status Beispiel wget https admin mGuard 192 168 1 1 nph vpn cgi name Athen cmd up Ein solches Kommando bezieht sich auf alle Verbindungskan le die unter dem betreffenden Namen in diesem Beispiel Athen zusammengefasst sind Das ist der Name der auf der Registerkarte Allgemein als Ein beschreibender Name f r die VPN Verbindung aufgef hrt ist Sofern Mehrdeutigkeit besteht wirkt der Aufruf des URL nur auf den ersten Eintrag in der Liste der Verbindungen Ein Ansprechen einzelner Kan le einer VPN Verbindung ist nicht m glich Sind einzelne Kan l
347. rver E 10 0 0 0 0 bio Joe out to any Scannen Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r POP3 muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Das POP3 Protokoll wird von Ihrem E Mail Client zum Empfang von E Mails genutzt e Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Des halb sollten Sie Verschl sselungsoptionen wie STLS oder SSL nicht aktivie ren Die verschl sselte Authentifizierung mittels AUTH ist dagegen nutzbar da die eigentliche bertragung der E Mail unverschl sselt erfolgt e Der Anti Virus Schutz wirkt f r POP3 Verbindungen die von einem POP3 Client vom lokalen Netzwerk Interface des mGuards her zum WAN aufge baut werden F r in anderen Richtungen aufgebaute Verbindungen wird der Anti Virus Schutz nicht angewendet Anti Virus Schutz f r POP3 E Mail Abholung Ja Nein Bei Ja werden empfangene Dateien vom mGuard auf Viren gescannt sofern sie ber POP3 Verbindungen bertragen werden die unten in der Liste der POP3 Server definiert sind Tipp Bei einer POP3 Verbindung rufen die meisten E Mail Clients alle E Mails ber eine einzige Verbindung ab Darum kann eine neue Einstellung erst greifen wenn der E Mail Transfer der aktuellen Verbindung vollzogen ist Falls bei laufendem E Mail Transfer die Einstellungen ge ndert werden sollen m ssen Sie den laufenden Transfer erst abbrechen dam
348. rvices Code Point Hier wird angegeben zu welcher Art von Traffic das Datenpaket geh rt So wird z B ein IP Tele fon in dieses Feld der von ihm ausgehenden Datenpakete etwas anderes hin einschreiben als ein FTP Programm das Datenpakete auf einen Server hochl dt Wenn Sie hier einen Wert ausw hlen werden nur die Datenpakete genom men die in ihrem TOS bzw DSCP Feld diesen Wert haben um sie je nach Eintrag im Feld Neuer TOS DSCP Wert aufeinen anderen Wert zu setzen Konfiguration Men QoS Neuer TOS DSCP Wert Wenn Sie den TOS DSCP Wert der Datenpakete ndern wollen die anhand der gegebenen Regeln selektiert sind w hlen Sie hier aus was ins TOS bzw DSCP Feld geschrieben werden soll Weitere Erl uterungen zu Aktueller TOS DSCP Wert und Neuer TOS DSCP Wert finden Sie in folgenden RFC Dokumenten RFC3260 New Terminology and Clarifications for Diffserv RFC3168 The Addition of Explicit Congestion Notification ECN to IP RFC2474 Definition of the Differentiated Services Field DS Field RFC1349 Type of Service in the Internet Protocol Suite Queuename Name der Egress Queue welcher der Traffic zugeordnet werden soll Kommentar Optional kommentierender Text 249 von 283 Konfiguration Menti Redundanz 6 12 Menu Redundanz 6 12 1 Firewall Redundanz Mit Hilfe der Redundanzf higkeit ist es m glich zwei mGuards zu einem ein zigen virtuellen Router zusammenzufassen Da
349. s bzw berwachungsm glichkeiten auf den mGuard diffe renziert festzulegen m ssen Sie auf dieser Seite unter Erlaubte Netz werke die Firewall Regeln f r die verf gbaren Interfaces entsprechend definieren F r den Zugang per SNMPv3 ist eine Authentifizierung mittels Login und Passwort notwendig Die Werkseinstellungen f r die Login Parameter lauten Login admin Passwort SnmpAdmin Bitte beachten Sie die Gro Kleinschreibung F r die Authentifizierung wird MDS unterst tzt f r die Verschl sselung DES 92 von 283 Konfiguration Menti Verwaltung Die Login Parameter fiir SNMPv3 k nnen nur mittels SNMPv3 ge ndert werden Aktiviere SNMPv1 v2 Ja Nein Wollen Sie zulassen dass der mGuard per SNMPv1 v2 berwacht werden kann setzen Sie diesen Schalter auf Ja Zus tzlich m ssen Sie unter SNMPv1 v2 Community die Login Daten an geben Um Zugriffs bzw berwachungsm glichkeiten auf den mGuard diffe renziert festzulegen m ssen Sie auf dieser Seite unter Erlaubte Netz werke die Firewall Regeln f r die verf gbaren Interfaces entsprechend definieren Port f r SNMP Verbindungen Standard 161 Wird diese Port Nummer ge ndert gilt die ge nderte Port Nummer nur f r Zugriffe ber das Interface Extern Extern 2 VPN und Einwahl F r internen Zugriff gilt weiterhin 161 Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressen angabe gegebenenfalls die Port Nummer angeben
350. s Queues siehe Egress Queues auf Seite 243 unter dem Namen Urgent eine Queue mit garan tierter Bandbreite und Priorit t definiert Dann legen Sie hier fest nach welchen Regeln Audio Daten erkannt werden und dass diese Daten zur Queue Urgent ge h ren sollen Protokoll Alle TCP UDP ICMP ESP Protokoll e auf das die sich die Zuordnung bezieht Von IP IP Adresse des Netzes Ger ts von wo die Daten kommen 0 0 0 0 0 bedeutet alle IP Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Rou ting auf Seite 263 Den Traffic von dieser Quelle ordnen Sie weiter hinten in dieser Zeile der Queue zu die Sie unter Queuename ausw hlen Von Port Benutzter Port bei der Quelle von wo die Daten kommen wird nur ausgewer tet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir 110 Nach IP IP Adresse des Netzes Ger ts wohin die Daten gehen Angabe entsprechend wie oben unter Von IP Nach Port Benutzter Port bei der Quelle wohin die Daten gehen Angabe entsprechend wie oben unter Von Port Aktueller TOS DSCP Wert Jedes Datenpaket enth lt ein TOS bzw DSCP Feld TOS steht f r Type Of Service DSCP f r Differentiated Se
351. s in Kraft tritt Dadurch k nnte das 2 der nachfolgend aufgef hrten Ziele nicht realisiert werden Dieser Mechanismus hat folgende Ziele 1 Nach Inkraftsetzen einer neuen Konfiguration muss sichergestellt sein dass der mGuard sich weiterhin vom entfernten Standort aus konfigurie ren l sst 2 Bei eng gesetzten Zyklen z B bei Schedule 15 Minuten muss ver hindert werden dass der mGuard stur ein m glicherweise fehlerhaftes Konfigurationsprofil in zu kurzen Abst nden immer wieder erneut testet Das k nnte dazu f hren dass der mGuard so mit sich selbst besch ftigt ist dass ein administrativer Eingriff von au en behindert oder verhindert wird 3 Es muss mit gro er Wahrscheinlichkeit ausgeschlossen werden dass u ere Faktoren z B Netzwerkausfall den mGuard bewogen haben eine Neukonfiguration als fehlerhaft zu betrachten Von Innominate wird ein Application Note zur Verf gung gestellt Darin ist beschrieben wie ber ein Konfigurationsprofil ein Rollback angewiesen werden kann Download Timeout Sekunden Standard 120 Gibt an wie lange w hrend eines Downloads der Konfigura tionsdatei ein Timeout Zeit der Inaktivit t maximal dauern darf Bei ber schreitung wird der Download abgebrochen Ob und wenn ja wann ein n chster Download Versuch stattfindet richtet sich nach der Einstellung von Schedule s 0 Login Login Benutzername den der HTTPS Server abfragt Passwort Passwort das der HTT
352. sceeesceaecsaeceecseeeeececseecseeeeseeseeeeeceeeeseeeeenees 63 Shell Zugans 2 222 einen a N E E E a EA at 67 6 2 2 Verwaltung Web Einstellungen 0 0 ce ecceseeseeseceneceeeeeseeeseeseceseseeeeeeeeseeesees 74 Grundeinstellungen mininin at Tia Ea E i a aT EPEE ERa TER 74 PMI AED EE 75 6 2 3 Verwaltung Lizenzierung eccececseeseceseceeceeeeeeceeseeessenseceeeceseecseecseceaeeseeeeneeesees 82 Eed EE EE 82 IS taller enc E 83 EE ENTENTE 84 6 24 Verwaltung Update sa urn en a a kennen 85 WISTS ICH dee dd 85 Update en eat Hast net vex ees boss EEE RSS eee Ea seats 86 EE EE 88 6 2 5 Verwaltung Konfigurationsprofile ueensesseeesnensesnsennennennnnnnnennenne nennen 89 Konfigurationsprofile nn nnnnnse nn 89 4 von 283 Inhalt Profile auf dem ACA n r EAGLE MGuard E 90 6 2 6 Verwaltung SNMP sett EES 92 Etage et eer in ie daadonds delves helles teas couarsucesacgauthacageatonss 92 aD Be er ee a cere Rene EEE AE ree ee 95 EE Eed 101 6 2 7 Verwaltung Zentrale Verwaltung nennen nn 102 Konfiguration holen 102 6 2 8 Verwaltung Neustart cceeseesseesssesnsensnnnnsnnnnnennnnnnnennnennnnnnesnsennensn nn esnnse nn 105 En EE 105 Men Bladekontrolle nur blade Kontroller cccecccesccescessseeeeseceteeeeeseeceeeeeeeeenseenes 106 63 Bladekontrolle bersicht EE 106 6 3 2 Bladekontrolle Blade 01 bis In 107 Blade inslot 4 222 lei riesiges 107 Konfiguratorer ees e r an sehn innen aend eh 10
353. se des mGuards angeschlossen werden kann siehe Profile auf dem ACA nur EAGLE mGuard auf Seite 90 BO Beim Abspeichern eines Konfigurationsprofils werden die Passw rter die zur Authentisierung des administrativen Zugriffs auf den mGuard dienen nicht mitgespeichert Es ist m glich ein Konfigurationsprofil zu laden und in Kraft zu setzen das unter einer lternen Firmware Version des mGuard erstellt wurde Umge kehrt trifft das nicht zu Ein unter einer neueren Firmware Version erstelltes Konfigurationsprofil sollte nicht geladen werden Konfigurationsprofile Die Seite Konfigurationsprofile zeigt oben eine Liste von Konfigurationsprofi len die im mGuard gespeichert sind z B das Konfigurationsprofil Werksein stellung Sofern vom Benutzer Konfigurationsprofile gespeichert worden sind siehe unten werden diese hier aufgef hrt Aktives Konfigurationsprofil Das Konfigurationsprofil das zurzeit in T Kraft ist hat vorne im Eintrag das Active Symbol siehe rechts Sie k nnen Konfigurationsprofile die im mGuard gespeichert sind in Kraft setzen e als Datei auf dem angeschlossenen Konfigurations Rechner speichern e l schen e anzeigen Konfigurationsprofil anzeigen In der Liste den Namen des Konfigurationsprofils anklicken 89 von 283 Konfiguration Menti Verwaltung Profile auf dem ACA nur EAGLE mGuard Die Werkseinstellung oder ein vom Benutzer im mGuard gespeichertes Konfigurationsprofil
354. signiert selbst signiert Der mGuard authenti fiziert die Gegenstelle Ir af anhand von Gegenstellenzertifikat Gegenstellenzertifikat ODER Alle CA Zertifikate die mit dem von der Gegen stelle vorgezeigten Zertifi kat die Kette bis zum Root CA Zertifikat bilden Wichtig Es reicht nicht aus beim mGuard unter Authentifizierung Zertifi kate die zu verwendenden Zertifikate zu installieren Zusatzlich muss bei den jeweiligen Anwendungen VPN SSH HTTPS refe renziert werden welche aus dem Pool der in den mGuard impor tierten Zertifikate jeweils verwendet werden sollen B Das Gegenstellenzertifikat f r das Authentifizieren einer VPN Verbindung bzw der Kan le einer VPN Verbindung wird im Men Psec VPN Ver bindungen installiert Zertifikats einstellungen Zeniikatsensictngen Maschmenzerikate_ Cr Zer nkste Zertifikatseinstellungen Beachte den G ltigkeitszeitraum von Zertifikaten und CRLs ERL Pr fung einschalten Inc ST CRL Download Intervall ne Ei Zertifikatseinstellungen Die hier vollzogenen Einstellungen beziehen sich auf alle Zertifikate und Zerti fikatsketten die der mGuard pr fen soll Generell ausgenommen davon Selbst signierte Zertifikate von Gegenstellen bei VPN alle Gegenstellenzertifikate 167 von 283 Konfiguration Menti Authentifizierung 168 von 283 Beachte den G ltigkeitszeitraum von Zertifikaten und CRLs Nein Warte
355. ssh dss oder ssh rsa JSP O SSH Port Weiterleitung SS a CO 192 168 47 11 3389 Allgemein Aktiv Ja Nein Wie oben Benutzername Wie oben Bezeichnung des Benutzers Name der Person Wiederholt Firma Wie oben 238 von 283 Konfiguration Menti SEC Stick Offentlicher SSH Schliissel mit ssh dss oder ssh rsa Hier muss der ffentliche SSH Schl ssel der zum SEC Stick geh rt im ASCII Format eingetragen werden Das geheime Gegenst ck ist auf dem SEC Stick gespeichert SSH Port Weiterleitung Liste der erlaubten Zugriffe und SSH Port Weiterleitungen bezogen auf den SEC Stick des entsprechenden Benutzers IP Die IP Adresse des Rechners auf den der Zugriff erm glicht wird Port Port Nummer die beim Zugriff auf den Rechner benutzt werden soll Nicht alle Funktionen des SEC Stick k nnen ber die Web Benutzeroberfl che des mGuard konfiguriert werden 239 von 283 Konfiguration Menti QoS 6 11 Men QoS QoS Quality of Service bezeichnet die Dienstg te einzelner bertragungskan le in IP Netzwerken Dabei geht es um die Zuteilung bestimmter Ressourcen an bestimmte Dienste Services bzw Kommunikationsarten damit diese reibungs los funktionieren So muss z B f r die bertragung von Audio oder Videodaten in Realzeit die notwendige Bandbreite bereitgestellt werden um eine zufrieden stellende Kommunikation zu erreichen w hrend ein eventuell langsamerer Da tentransfer per FTP oder E Mail unkr
356. st 232 von 283 Konfiguration Menti IPsec VPN nicht blade Kontroller 6 9 5 IPsec VPN IPsec Status IPsec VPN IPsec Status Name Verbindung reng Status aPsecStatus Athen Gateway 192 168 66 1 al voo1_001 X Traffic host host Hamburg Gateway 192 168 66 1 any v000_001 Traffic host host Informiert ber den Status der IPsec Verbindungen Links sind die Namen der VPN Verbindungen aufgelistet rechts daneben wird jeweils deren aktueller Status angezeigt Schaltfl chen Aktualisieren Um gegebenenfalls die angezeigten Daten auf den aktuellen Stand zu bringen auf die Schaltfl che Aktualisieren klicken Neustart Wollen Sie eine Verbindung trennen und dann neu starten auf die entspre chende Neustart Schaltfl che klicken Editieren Wollen Sie eine Verbindung neu konfigurieren auf die entsprechende Editieren Schaltfl che klicken Verbindung ISAKAMP Status IPsec Status GATEWAY zeigt die IP Adressen der miteinander kommunizierenden VPN Gateways TRAFFIC bezeichnet Rechner bzw Netze die ber die VPN Gateways kommunizieren ID bezeichnet den Subject eines X 509 Zertifikats ISAKMP Status ISAKMP Status Internet security association and key management protocol ist mit established angegeben wenn die beiden beteiligten VPN Gateways einen Kanal zum Schl sselaustausch aufgebaut haben In diesem Fall konnten sie einander kontaktieren und alle Eintr ge bis einschlie li
357. st aussperren Diese Vorsichtsma nahme unbedingt immer dann treffen wenn unter Benutzerauthentifizierung Einstellungen ge ndert werden X 509 Subject Erm glicht die Filtersetzung in Bezug auf den Inhalt des Feldes Subject im Zertifikat das vom Benutzer vorgezeigt wird Dadurch ist es m glich den Zugriff von Benutzern die der mGuard auf Grundlage von Zertifikatspr fungen im Prinzip akzeptieren w rde wie folgt zu beschr nken bzw freizu geben Beschr nkung auf bestimmte Subjects d h Personen und oder auf Subjects die bestimmte Merkmale Attribute haben oder Freigabe f r alle Subjects Siehe dazu auch im Glossar unter Subject Zertifikat Das Feld X 509 Subject darf nicht leer bleiben Freigabe f r alle Subjects d h Personen Mit Sternchen im Feld X 509 Subject legen Sie fest dass im vom HTTPS Client vorgezeigten Zertifikat beliebige Subject Eintr ge erlaubt sind Dann ist es berfl ssig das im Zertifikat jeweils angegebene Subject zu kennen oder festzulegen Beschr nkung auf bestimmte Subjects d h Personen und oder auf Subjects die bestimmte Merkmale Attribute haben Im Zertifikat wird der Zertifikatsinhaber im Feld Subject als Wesenheit ange geben die sich aus mehreren Attributen zusammensetzt Diese Attribute wer den entweder als Object Identifier ausgedr ckt z B 132 3 7 32 1 oder gel ufiger als Buchstabenk rzel mit einem entsprechenden Wert Beispiel CN Ma
358. stehen ber die ICMP Checks ICMP Ping kann der Master daher die Verbindung zum Backup berpr fen und sich gegebenenfalls deaktivieren 252 von 283 Konfiguration Menti Redundanz Aktiviere ICMP Checks Ja Nein Bei Ja wird die Verbindung zum Backup mit Hilfe des ICMP Protokolls tiber wacht Ist der Backup mGuard nicht mehr zu erreichen versucht der Master nachein ander die Hosts zu erreichen die unter Zu berpr fende Hosts im externen internen Netzwerk angegebenen sind Sind auch diese nicht erreichbar deaktiviert sich der Master Zu berpr fende Hosts im externen Netzwerk Geben Sie die IP Adresse an Die Hosts miissen so konfiguriert sein dass sie ICMP Echo Requests beant worten Zu berpr fende Hosts im internen Netzwerk Geben Sie die IP Adresse an Die Hosts m ssen so konfiguriert sein dass sie ICMP Echo Requests beant worten 6 12 2 Ring Netzkopplung Ring Netzkopplung Settings Redundanz Ring Netzkopplung Ring Netzkopplung Settings Aktiviere Ring Netzwerkkopplung Dual Nein e Homing Redundanzport cr SE Aktiviere Ring Netzkopplung Dual Homing Ja Nein Bei Aktivierung wird im Stealth Modus der Status der Ethernetverbindung von einen Port auf den anderen bertragen wodurch sich Unterbrechungen im Netz werk leicht zur ckverfolgen lassen Redundanzport Intern Extern Intern Wenn die Verbindung am LAN Port wegf llt kommt wird auch der WAN Port ausg
359. stellungen die Verwendung von Sperrlisten CRL Pr fung aktiviert wird jedes von einer CA signierte Zertifikat das von entfernt zugreifende Benutzer vorzei gen auf Sperrung gepr ft CA Zertifikat Die Konfiguration ist nur erforderlich wenn der Benutzer der per HTTPS zu greift ein von einer CA signiertes Zertifikat vorzeigt Es sind alle CA Zertifikate zu konfigurieren die der mGuard ben tigt um mit den von Benutzern vorgezeigten Zertifikaten jeweils die Kette bis zum jewei ligen Root CA Zertifikat zu bilden Sollte der Browser des aus der Ferne zugreifenden Benutzers zus tzlich CA Zertifikate anbieten die zur Bildung dieser Kette beitragen dann ist es nicht notwendig dass genau diese CA Zertifikate beim mGuard installiert und an dieser Stelle referenziert werden Es muss aber auf jeden Fall das zugeh rige Root CA Zertifikat beim mGuard installiert und zur Verf gung gestellt re ferenziert sein Bei Auswahl anzuwendender CA Zertifikate oder bei der nderung der Auswahl oder Filtersetzung sollten Sie vor Inkraftsetzen der neuen Einstellung unbedingt erst die Einstellung Login mit X 509 Benutzer zertifikat oder Passwort als Methode zur Benutzerauthentifizierung 79 von 283 Konfiguration Menti Verwaltung 80 von 283 w hlen und testen Erst wenn sichergestellt ist dass diese Einstellung funktioniert auf Login nur mit X 509 Benutzerzertifikat umstellen Sonst k nnte es passieren dass Sie sich selb
360. t nur mGuard industrial RS EAGLE mGuard Verwaltung Systemeinstellungen Meldekontakt Modus Meldekontakt Funktions berwachung Kontakt Redundante Stromversorgung Link berwachung Manuelle Einstellung Kontakt Shell Zugang Der Meldekontakt ist ein Relais mit welchem der mGuard Fehlerzust nde signa lisieren kann Siehe auch Meldekontakt auf Seite 27 und Seite 33 Der Meldekontakt kann automatisch durch die Funktions berwachung ge schaltet werden Standard oder durch Manuelle Einstellung mGuard industrial RS installieren auf Seite 24 und EAGLE mGuard installieren auf Seite 33 Modus Meldekontakt Siehe auch Funktions berwachung Kontakt Zeigt den Zustand des Meldekontakts an Entweder Offen Fehler oder Ge schlossen Ok Redundante Stromversorgung Bei Ignorieren hat der Zustand der Stromversorgung keinen Einfluss auf den Meldekontakt Bei berwachen wird der Meldekontakt ge ffnet wenn eine der zwei Ver sorgungsspannungen ausf llt Link berwachung berwachung des Linkstatus der Ethernetanschl sse M gliche Einstellun gen sind Ignorieren Nur Intern trusted berwachen Nur Extern untrusted berwachen Beide berwachen Manuelle Einstellung Kontakt Wenn oben unter Meldekontakt die Einstellung Manuelle Einstellung ge w hlt wurde so kann man ihn hier auf Geschlossen oder Offen Alarm stel len 62 von 283 K
361. t h ngt vom Web Browser des von ent fernt zugreifenden Benutzers ab Option 2 kommt dann zur Anwendung wenn der Web Browser dem mGuard ein Zertifikat anbietet Login nur mit X 509 Benutzerzertifikat Der Browser des Benutzers muss sich sich mit Hilfe eines X 509 Zertifikates und dem zugeh rigen privaten Schl ssel authentisieren Dazu sind unten wei tere Angaben zu machen Bevor Sie die Einstellung Login nur mit X 509 Benutzerzertifikat in Kraft setzen unbedingt erst die Einstellung Login mit X 509 Benutzer zertifikat oder Passwort w hlen und testen Erst wenn sichergestellt ist dass diese Einstellung funktioniert auf Login nur mit X 509 Benutzer zertifikat umstellen Sonst k nnte es passieren dass Sie sich selbst aus sperren Diese Vorsichtsma nahme unbedingt immer dann treffen wenn unter Benutzerauthentifizierung Einstellungen ge ndert werden Ist als Methode der Benutzerauthentifizierung festgelegt Login nur mit X 509 Benutzerzertifikat ODER Login mit X 509 Benutzerzertifikat oder Passwort Dann wird nachfolgend festgelegt wie der mGuard den aus der Ferne zugreifen den Benutzer gem X 509 zu authentifizieren hat Die Tabelle unten zeigt welche Zertifikate dem mGuard zur Authentifizierung des per HTTPS zugreifenden Benutzers zur Verf gung stehen m ssen wenn der Benutzer bzw dessen Browser bei Verbindungsaufnahme eines der folgenden Zertifikatstypen vorzeigt e ein von einer CA signiertes Zertifik
362. t Adresse der Rechner fest Default Gateway Legt fest welche IP Adresse beim Rechner als Default Gateway benutzt wird In der Regel ist das die interne IP Adresse des mGuard Konfiguration Menti Netzwerk DNS Server Adresse des Servers bei dem Rechner tiber den Domain Name Service DNS Hostnamen in IP Adressen aufl sen lassen k nnen Wenn der DNS Dienst des mGuard genutzt werden soll dann die interne IP Adresse des mGuards angeben WINS Server Adresse des Servers bei dem Rechner ber den Windows Internet Naming Service WINS Hostnamen in Adressen aufl sen k nnen Statische Zuordnung anhand der MAC Adresse Die MAC Adresse Ihres Rechners finden Sie wie folgt heraus Windows 95 98 ME Starten Sie winipefg in einer DOS Box Windows NT 2000 XP Starten Sie ipconfig all in einer Eingabeaufforde rung Die MAC Adresse wird als Physikalische Adresse angezeigt Linux Rufen Sie in einer Shell sbin ifconfig oder ip link show auf Bei den Angaben haben Sie folgende M glichkeiten MAC Adresse des Clients Die MAC Adresse ohne Leerzeichen oder Bindestriche des Rechners IP Adresse des Clients Die statische IP des Rechners die der MAC Adresse zugewiesen werden soll Die statischen Zuweisungen haben Vorrang vor dem dynamischen IP Adresspool Statische Zuweisungen d rfen sich nicht mit dem dynamischen IP Adresspool berschneiden Eine IP darf nicht in mehreren statischen Zuweisungen verwendet wer
363. t aus dem Subject Feld des Zertifikats hier als Kurzname vorgeschlagen sofern das Feld Kurzname bis jetzt leer ist Dieser Name kann tibernommen oder frei ge ndert werden Sie miissen einen Namen vergeben den vorgeschlagenen oder einen anderen Und Namen miissen eindeutig sein diirfen also nicht doppelt vergeben wer den Verwendung des Kurznamens Bei der Konfiguration von SSH Men Verwaltung Systemeinstellungen Shell Zugang von HTTPS Men Verwaltung Web Einstellungen Zugriff und von VPN Verbindungen Men Psec VPN Verbindungen werden die in den mGuard importierten Zertifikate per Auswahlliste angebo ten In dieser werden die Zertifikate jeweils unter dem Kurznamen angezeigt den Sie hier auf dieser Seite den einzelnen Zertifikaten geben Darum ist eine Namensvergabe zwingend erforderlich Zertifikats Kopie erstellen Aus dem importierten Maschinenzertifikat k nnen Sie eine Kopie erzeugen z B f r die Gegenstelle so dass diese den mGuard damit authentifizieren kann Diese Kopie enth lt nicht den privaten Schl ssel und ist deshalb unbe denklich Gehen Sie dazu wie folgt vor Beim betreffenden Maschinenzertifikat neben dem Zeilentitel Zertifikat her unterladen auf die Schaltfl che Aktuelle Zertifikatsdatei klicken Im sich daraufhin ffnenden Dialogfeld die gew nschten Angaben machen Konfiguration Menti Authentifizierung CA Zertifikate CA Zertifikate sind Zertifikate von Zertifizi
364. t die Quell IP Adresse und den Quell Port aus gegen die eigene offizielle IP Adresse und einen eigenen bisher unbenutzen Port Dazu f hrt er eine Tabelle die die Zuordnung der urspr nglichen mit den neuen Werten herstellt Beim Empfang eines Antwort Datagramms erkennt der NAT Router anhand des angegebenen Zielports dass das Datagramm eigentlich f r einen internen Rech ner bestimmt ist Mit Hilfe der Tabelle tauscht der NAT Router die Ziel IP Adresse und den Ziel Port aus und schickt das Datagramm weiter ins interne Netz Bei den Protokollen UDP und TCP wird jedem Teilnehmer eine Portnummer zu geordnet Uber sie ist es m glich zwischen zwei Rechnern mehrere UDP oder TCP Verbindungen zu unterscheiden und somit gleichzeitig zu nutzen Bestimmte Portnummern sind f r spezielle Zwecke reserviert Zum Beispiel werden in der Regel HTTP Verbindungen zu TCP Port 80 oder POP3 Verbindun Glossar Proxy PPPoE PPTP Router Trap X 509 Zertifikat gen zu TCP Port 110 aufgebaut Ein Proxy Stellvertreter ist ein zwischengeschalteter Dienst Ein Web Proxy z B Squid wird gerne vor ein gr eres Netzwerk geschaltet Wenn z B 100 Mitarbeiter geh uft auf eine bestimmte Webseite zugreifen und dabei ber den Web Proxy gehen dann l dt der Proxy die entsprechenden Seiten nur einmal vom Server und teilt sie dann nach Bedarf an die anfragenden Mitarbeiter aus Dadurch wird der Traffic nach au en reduziert was Kosten spart Akron
365. t ist 75 von 283 Konfiguration Menti Verwaltung 76 von 283 Beispiel Ist dieser mGuard tiber die Adresse 123 124 125 21 tiber das Internet zu errei chen und ist fiir den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser diese Port Nummer nicht hinter der Adresse angegeben werden Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B https 123 124 125 21 442 HINWEIS B gt Der mGuard authentisiert sich bei der Gegenstelle in diesem Fall dem Brow ser des Bedieners mit einem selbst signiertem Maschinenzertifikat Es han delt sich um ein von Innominate einmalig fiir jeden mGuard ausgestelltes Zertifikat D h jeder mGuard wird mit einem einzigartigen selbstunterzeich neten Maschinenzertifikat ausgeliefert Erlaubte Netzwerke Erlaubte Netzwerke Log ID tw hittps access NS ObS81640 de3e 1262 SaSt 000cDe0108ee FE ne 7 von interface Aktion Kommentar too SE 1 0 0 0 0 0 Extern Annehmen Nein gt Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines HTTPS Fernzugriffs Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Ein tr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Di ese wird dann angewandt Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein die auch passen w rden werden diese ignoriert gt Die hier angege
366. ta EEN 280 EAGLE LE E 281 8 von 283 Einleitung 1 Einleitung Netzwerk Features Firewall Features Anti Virus Features Der mGuard sichert IP Datenverbindungen Dazu vereinigt das Ger t folgende Funktionen Netzwerkkarte mGuard PCI Switch mGuard delta VPN Router VPN Virtuelles Privates Netzwerk f r sichere Daten bertra gung ber ffentliche Netze hardwarebasierte DES 3DES und AES Ver schl sselung IPsec Protokoll Konfigurierbare Firewall f r den Schutz vor unberechtigtem Zugriff Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs und Zieladresse und blockiert unerw nschten Datenverkehr Virenschutz mit Unterst tzung f r die Protokolle HTTP FTP SMTP und POP3 Die Konfiguration des Ger tes erfolgt einfach mit einem Web Browser F r weiterf hrende Informationen Siehe Webseite von Innominate www innominate de zusammen mit weite ren Dokumenten Stealth Auto Static Multi Router Static DHCP Client PPPoE f r DSL PPTP f r DSL und Modem VLAN DHCP Server Relay auf den internen und externen Netzwerkschnittstellen DNS Cache auf der internen Netzwerkschnittstelle Administration ber HTTPS und SSH Optionales Umschreiben von DSCP TOS Werten Quality of Service Quality of Service QoS LLDP MAU Management Stateful Packet Inspection Anti Spoofing IP Filter L2 Filter nur im Stealth Mode NAT mit FTP IRC und PPTP Unterstiitzung nur in den Rout
367. tage auf Hutschienen gem DIN EN 50 022 und ist damit vor allem f r den Einsatz im industriellem Umfeld geeignet VPN Tunnel k nnen per Software oder Hardware Schalter initiiert werden Die Versorgungsspannung ist redundant anschlie bar 9 36 VDC Kleinste Ger teausf hrung Kann z B einfach zwischen Rechner oder lokalem Netz an LAN Port des mGuard und ei nem vorhandenem Router an WAN Port des mGuard gesteckt werden ohne dass beim bestehenden System Konfi gurations nderungen oder Treiberin stallationen erforderlich sind Konzipiert f r den schnellen Einsatz im B ro oder unterwegs Diese in einem PCI Steckplatz einsetz bare Karte bietet im Treibermodus dem Rechner in dem die Karte installiert ist alle mGuard Funktionen und fungiert zus tzlich als normale Netzwerkkarte Im Power over PCI Modus kann eine im Rechner bereits vorhandene Netz werkkarte oder aber ein anderer Rech ner Netz angeschlossen werden Das mGuard bladePack besteht aus dem mGuard bladeBase das problemlos in Standard 3 U Racks 19 Zoll eingebaut werden kann und bis zu 12 mGuard blades zuz glich einem Blade Control ler aufnimmt Damit eignet sich diese Ger teausf hrung vor allem im industri ellem Umfeld um mehrere Server Systeme individuell und unabh ngig vonein 11 von 283 Einleitung ander sch tzen zu k nnen Eine zus tzliche serielle Schnittstelle erm glicht Fernkonfiguration ber eine Telefon W h
368. tatten es SEC Stick Fernzugriff zu aktivieren Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Der SEC Stick Zugriff von der internen Seite und ber eingehende Rufe Einwahl ist standardm ig freigeschaltet und kann ber die Firewallregeln eingeschr nkt werden Zugriff ber SEC Stick BO Zugriff ber SEC Stick ist eine lizenzpflichtige Funktion Sie kann nur be nutzt werden wenn die entsprechende Lizenz erworben und installiert ist SEC Stick Dienst einschalten Ja Nein Mit Ja legen Sie fest dass der an einem entfernten Standort eingesetzte SEC Stick bzw dessen Besitzer sich einloggen kann In diesem Fall muss zus tz lich der SEC Stick Fernzugang aktiviert werden n chster Schalter Aktiviere SEC Stick Fernzugang Ja Nein Mit Ja wird der SEC Stick Fernzugang aktiviert Port f r SEC Stick Verbindungen nur Fernzugang Standard 22002 Wird diese Port Nummer ge ndert gilt die ge nderte Port Nummer nur f r Zugriffe ber das Interface Extern Extern 2 oder VPN F r internen Zugriff gilt weiterhin 22002 235 von 283 Konfiguration Menti SEC Stick Erlaubte Netzwerke Log ID f secstick access N 00000000 0000 6000 0000 000000000000 Te vonie interface _ aktion K
369. tausch von Blade 01 Konfigurationssicherung des Blade 01 L schen l schen Hochladen der Konfiguration vom Client Hochladen vom Client Herunterladen der Konfiguration zum Client Herunterladen zum Client Konfigurationssicherung Blade __ gt Kontroller Automatisch Kurz nach einer Konfigurations nderung des mGuards wird die neue Konfiguration automatisch auf dem Kontroller gespeichert Manuell Die Konfiguration kann mit Sichern auf dem Kontroller gesichert werden Mit Zur ckspielen kann die auf dem Kontroller gesicherte Konfiguration in den mGuard bertragen werden Wurde nach einer manuellen Konfigurationssicherung das Blade umkonfiguriert aber die neue Konfiguration nicht erneut gesichert ist die im Kontroller gespeicherte Konfiguration veraltet Dies wird auf der Registerkarte Konfiguration durch Konfiguration Veraltet angezeigt siehe oben abgebildeter Screenshot Das ist als Hinweis auf ein Vers umnis zu verstehen Sorgen Sie in die sem Fall f r die Konfigurationssicherung auf den Kontroller Neukonfiguration bei Austausch des Blade Beim Austausch eines mGuards in diesem Slot wird die auf dem Kontroller gespeicherte Konfiguration auf das neue Ger t in diesem Slot bertragen Konfigurationssicherung des Blade H l schen L scht die auf dem Kontroller gespeicherte Konfiguration f r das Ger t in diesem Slot Hochladen der Konfiguration vom Client Hochladen und Speichern des angegebenen Konfigurations
370. tbandbreite rate Maximalbandbreite rate important Default Low Priority unlimited Intern Einstellung f r Egress Queues an der LAN Schnittstelle Cas extern Essenz zs Aktivierung Aktiviere Egress Qos MT Gesamtbandbreite rate Maximalbandbreite rate Kate Tos Queues SL name Gerne _ _______Obergrene _ 2 Priorat kommentar SI i Urgent a unlimited Hoch E Bei Important m 7 meer _ J so 3 Default 10 unlimited Mittel er Low Priority 10 unlimited Niedrig E O Extern Einstellung f r Egress Queues an der WAN Schnittstelle Extern Nos Egress Queues Aktivierung Aldiviere Egress QoS Gesamtbandbreite rate Es E SEN Queues DX O3 name Garantiert OPerarenze Priorit t Kommentar SI urgent 10 unlimited Hoch Die important fio inimted mite gt F m d Default 10 unlimited Mittel St Low Priority bo unlimited Niedrig Extern 2 Einstellung f r Egress Queues bei der sekund ren externen Schnittstelle Aktivierung Aktiviere Egress QoS Gesamtbandbreite rate Maximalbandbreite rate Junlimited kbit s z Queues 2X nm Garantiert f Obergrenze _ Prost f Kommentar wl Urgent 10 unlimited Hoch zl T E 2 fimportant fio o keete 1 ea 3 Haj Default Femme SE wd E Ges Einwahl Einstellung fur Egress Queues f
371. tellenanlage ange schlossen ist bei der f r Anrufe nach drau en mit einer bestimmten Nummer z B 0 zun chst das externe Festnetz das Amt geholt wer den muss und erst dann die Telefonnummer des gew nschten Teilneh mers gew hlt werden kann Beispiel ATDOW765432 T Wechsel auf Tonwahlverfahren Soll bei Anschluss an einen tonwahlf higen Telefonanschluss das schnellere Tonwahlverfahren verwendet werden setzen Sie das W hl sonderzeichen T vor die Rufnummer Beispiel ATDT765432 Authentifizierung PAP CHAP Keine PAP Password Authentication Protocol CHAP Challenge Handshake Authentication Protocol Das sind Bezeichnungen fiir Verfahren zur sicheren Ubertragung von Authentifizierungsdaten tiber das Point to Point Protocol Wenn der Internet Service Provider verlangt dass sich der Benutzer mit Be nutzername und Passwort anmeldet wird PAP oder CHAP als Authentifizie 131 von 283 Konfiguration Menti Netzwerk rungsverfahren benutzt Benutzername und Passwort sowie eventuell weitere Angaben die der Benutzer fiir den Aufbau einer Verbindung ins Internet an geben muss werden dem Benutzer vom Internet Service Provider mitgeteilt Je nach dem ob PAP oder CHAP oder Keine ausgew hlt wird erscheinen unterhalb die entsprechenden Felder In diese tragen Sie die entsprechenden Daten ein Wenn die Authentifizierung per PAP erfolgt Authentifizierung PAP Benutzername C Passwort CNH PAP Server Authentifi
372. ter Windows XP konfigurieren Sie die Netzwerkschnittstelle wie folgt Start Systemsteuerung Netzwerkverbindungen klicken Das Symbol des LAN Adapters mit der rechten Maustaste klicken so dass sich das Kontextmen ffnet Im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Regi sterkarte Allgemein unter Diese Verbindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren Dann die Schaltfl che Eigenschaften klicken so dass folgendes Dialogfenster angezeigt wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen Of SC IP Adresse SIERT Ed Subnetzmaske 255 255 0 Standardgateway 168 1 Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server OK Abbrechen Nachdem Sie die Netzwerkschnittstelle konfiguriert haben sollten Sie die Kon figurationsoberfl che des mGuards mit einem Webbrowser unter der URL https 1 1 1 1 erreichen k nnen Wenn dies nicht m glich ist dann ist m gli cherweise das Standardgateway ihres Computers nicht erreichbar In diesem Fall muss es ihrem Computer wie folgt vorget uscht werden Standardgat
373. terleiten von Daten zwischen VPNs Hub and Spoke e Bis zu 250 VPN Tunnel e VPN Durchsatz max 35MBit s bei 266MHz und 70MBit s bei 533MHz mGuard e Remote Logging e Router Firewall Redundanz e Administration unter Benutzung von SNMP v1 v3 und Innominate Device Manager IDM PKI Unterst tzung fiir HTTPS SSH Remote Access e Kann ber die LAN Schnittstelle als NTP und DNS Server agieren Bei Problemen mit Ihrem mGuard wenden Sie sich bitte an Ihren H ndler Zus tzliche Informationen zum Ger t sowie Release Notes und Software Up dates finden Sie unter folgender Internet Adresse http www innominate de Einleitung 1 1 Gerateversionen mGuard industrial RS mGuard smart mGuard PCI mGuard blade Den mGuard gibt es in folgenden Ger teausf hrungen deren Funktionen weit gehend identisch sind Alle Ger te sind einsetzbar unabh ngig davon welche Prozessor Technologie und welches Betriebssystem die angeschlossenen Rech ner benutzen Der mGuard industrial RS ist in drei Ger teversionen lieferbar mit inte griertem Modem mit integriertem ISDN Terminaladapter oder ohne die se Ger te Er ist dadurch hybrid nutz bar als Firewall VPN Router sowohl ber Ethernet als auch f r serielle W hlverbindungen Der Namenszu satz RS besagt dass dieses Ger t in besonderer Weise f r gesicherte Re mote Services Ferndiagnose Fern konfiguration Teleservice geeignet ist Das Ger t ist konzipiert f r die Mon
374. thentifizierungsmethode Local DB ausgew hlt ist 160 von 283 Konfiguration Menti Authentifizierung RADIUS Server Authentifizierung Firewall Benutzer RADIUS Server BONS Tne DR o 3 RADIUS Wiederholungen RADIUS Server Zugriff RADIUS Timeout Legt fest in Sekunden wie lange der mGuard auf die Antwort des RADIUS Servers wartet Standard 3 Sekunden RADIUS Wiederholungen Legt fest wie oft bei berschreitung des RADIUS Timeout Anfragen an den Radius Server wiederholt werden Standard 3 Server Name des RADIUS Servers oder dessen IP Adresse Port Vom RADIUS Server benutze Port Nummer Secret RADIUS Server Passwort Authentifizierung Firewall Benutzer FirewalkBenutzer_ RADIUS Server Authentisierung ber HTTPS tetas L Exten 5 Zugriff Authentisierung ber HTTPS Interface Extern Intern Extern 2 Einwahl Gibt an ber welche mGuard Interfaces Firewall Benutzer sich beim mGuard anmelden k nnen F r das ausgew hlte Interface muss Web Zugriff ber HTTPS freigeschaltet sein Men Verwaltung Web Einstellungen Registerkarte Zugriff Siehe Zugriff auf Seite 75 L Im Netzwerkmodus Stealth m ssen sowohl das Interface Intern als auch das Interface Extern freigeschaltet werden damit Firewall Benut zer sich beim mGuard anmelden k nnen Dazu m ssen also 2 Zeilen in die Tabelle aufgenommen werden BO VORSICHT Bei Authentisierung ber ein e
375. trisch EN 61000 4 5 Pr fsch rfegrad 3 Leitungsgebundene HF St rungen EN 61000 4 6 Pr fsch rfegrad 3 EMV St raussendung EN 55022 Class A FCC 47 CFR Part 15 Class A Germanischer Lloyd Klassifizierungs und Bauvorschriften VI 7 3 Teill Ed 2003 Festigkeit Zertifizierungen Vibration EC 60068 2 6 Test FC Pr fsch rfegrade nach IEC 61131 2 E2 CDV und Germanischer Lloyd Richtlinien f r die Durchf hrung von Baumu sterpr fungen Teil 1 Schock EC 60068 2 27 Test Ea Pr fsch rfegrad nach IEC 61131 2 E2 CDV cUL 508 CSA 22 2 No 142 erf llt cUL 1604 CSA 22 2 No 213 angemeldet Germanischer Lloyd erf llt 282 von 283 Technische Daten Ce Die Konformit tserkl rungen werden in bereinstimmung mit den BU Direktiven f r die zust ndigen Beh rden an folgender Stelle bereitgehalten Notes on CE identification Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Telephone 49 0 30 6392 3300 FCC Note This equipment has been tested and found to comply with the limits for a Class A digital device persuant to part 15 ofthe FCC Rules These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment This equipment generates uses and can radiate radio frequency energy and ifnot installed and used in accordance with the instruction manual may cause harmful interference to radio c
376. ttchen Schrauben mGuard blade 1 bis 12 Kontrolleinheit Ctrl Stromversorgung Pl amp P2 e Bauen Sie die mGuard bladeBase in das Rack ein z B in der N he des Patchfeldes e Versehen Sie die beiden Stromversorgungen und die Kontrolleinheit an der Vorderseite von links nach rechts mit den Griffplattchen P1 P2 und Ctrl e Verbinden Sie die beiden Stromversorgungen auf der R ckseite der mGuard bladeBase mit 100V oder 220 240V e Schalten Sie die beiden Stromversorgungen ein e Die LEDs an der Vorderseite der Stromversorgungen leuchten nun gr n B gt Unbedingt darauf achten dass eine ausreichende Luftzirkulation f r das BladePack sichergestellt ist DO Bei Stapelung von mehreren BladePacks m ssen ein oder mehrere Zoll L ftereinsch be vorgesehen werden damit die aufgestaute Warmluft abgef hrt werden kann e L sen Sie an der Blende bzw am zu ersetzenden mGuard blade die obere und untere Schraube e Nehmen Sie die Blende ab bzw ziehen Sie das alte mGuard blade heraus e Setzen Sie das neue mGuard blade mit der Leiterplatte in die Kunststofff h rungen und schieben Sie es vollst ndig in das mGuard bladeBase hinein e Sichern Sie das mGuard blade durch leichtes Anziehen der Schrauben e Ersetzen Sie das leere Griffpl ttchen durch das mit der passenden Nummer aus dem Zubeh r der mGuard bladeBase oder ersetzen Sie es durch das des ausgetauschten mGuard blade Dazu das Pl ttchen seitlich hinein bzw
377. uard gestellt ist ndert sich auch die Seite mit den auf ihr angebotenen Konfigurations parametern e Stealth Werkseinstellung au er mGuard delta und blade Kontroller Der Stealth Modus wird verwendet um einen einzelnen Computer oder ein lokales Netzwerk mit dem mGuard zu sch tzen Wesentlich ist Folgendes Ist der mGuard im Netzwerkmodus Stealth wird er in das bestehende Netzwerk 110 von 283 Konfiguration Menti Netzwerk eingef gt siehe Abbildung ohne dass die bestehende Netzwerkkonfigurati on der angeschlossenen Ger te ge ndert wird vorher H Ss Be w p J ey a u we i er Links kann auch Els lt r CH ein LAN sein mGuard cl u 72 a Der mGuard analysiert den laufenden Netzwerkverkehr und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet trans parent d h ohne dass die Rechner umkonfiguriert werden m ssen nachher m CI Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall Vi renschutz und VPN zur Verf gung Von extern gelieferte DHCP Daten werden an den angeschlossenen Rechner durchgelassen Eine auf dem Rechner installierte Firewall muss ICMP Echo Requests Ping zulassen wenn der mGuard Dienste wie VPN DNS NTP etc bereit stellen soll Im Stealth Modus hat der mGuard die interne IP Adresse 1 1 1 1 wel che vom Rechner erreichbar ist wenn das auf dem Rechner konfigu
378. uard industrial RS ohne eingebautes Modem mGuard blade EAGLE mGuard mGuard delta Wird der Netzwerk Modus Modem gew hlt wird die externe Ethernet Schnittstelle des mGuard deaktiviert und der Datenverkehr vom und zum WAN l uft ber die von au en zug ngliche serielle Schnittstelle Serial Port des mGuard An den Serial Port wird ein externes Modem angeschlossen das die Verbindung ins Telefonnetz herstellt Die Anbindung ans Internet erfolgt dann per externem Modem ber das Telefonnetz B gt Beim Wechsel des Netzwerk Modus in oder aus dem Stealth Modus bootet das Ger t automatisch neu DO Wenn Sie die Adresse des mGuard ndern z B durch Wechsel des Netz werk Modus von Stealth auf Router dann ist das Ger t nur noch unter der neuen Adresse zu erreichen Erfolgte die nderung der Konfiguration ber den LAN Port so erhalten Sie eine R ckmeldung ber die neue Adresse be vor die nderung aktiv wird Bei Konfigurations nderungen ber den WAN Port erhalten Sie keine R ckmeldung E gt Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die IP Adresse des LAN Ports und oder die lokale Netzmaske ndern achten Sie unbedingt darauf dass Sie korrekte Werte angeben Sonst ist der mGuard un ter Umst nden nicht mehr erreichbar F r die weitere Konfiguration des Netzwerkmodus Zingebautes Modem Mo dem siehe Netzwerk Modus Modem Eingebautes Modem auf Seite 127 Eingebautes Modem Nur
379. uard konfigurieren m ssen Sie gegebenenfalls 52 von 283 anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen Konfiguration vorbereiten 5 3 Lokale Konfigurationsverbindung herstellen Web basierte Administrator oberfl che Der mGuard wird per Web Browser z B Firefox MS Internet Explorer oder Safari konfiguriert der auf dem Konfigurations Rechner ausgef hrt wird B gt Der Web Browser muss SSL d h https unterst tzen Der mGuard wird je nach Modell entweder im Netzwerk Modus Stealth oder Router ausgeliefert und ist dem entsprechend unter einer der folgenden Adressen erreichbar Werkseinstellung Stealth Modus https 1 1 1 1 Auslieferungszustand bis auf mGuard delta und blade Kontroller Router Modus https 192 168 1 1 Auslieferungszustand mGuard delta und blade Kontroller Gehen Sie wie folgt vor l 3 IP Adresse des mGuard im Stealth Modus https 1 1 1 1 wenn nicht im Stealth Modus https 192 168 1 1 Starten Sie einen Web Browser Z B Firefox MS Internet Explorer oder Safari der Web Browser muss SSL d h https unterst tzen Achten Sie darauf dass der Browser beim Starten nicht automatisch eine Verbindung w hlt weil sonst die Verbindungsaufnahme zum mGuard erschwert werden k nnte Im MS Internet Explorer nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerk
380. uchsen des mGuard verbunden werden LAN Port Verbinden Sie den lokalen Rechner oder das lokale Netzwerk mittels eines UTP Ethernetkabels CAT 5 mit dem LAN Port des mGuard Ist Ihr Rechner bereits an einem Netzwerk angeschlossen dann patchen Sie den mGuard zwischen die bereits bestehende Netzwerkverbindung 25 von 283 Inbetriebnahme Beachten Sie bitte dass die Konfiguration zun chst nur ber das LAN Inter face erfolgen kann und die Firewall des mGuard industrial RS den gesamten IP Datenverkehr vom WAN zum LAN Interface unterbindet WAN Port Buchse zum Anschlie en an das externe Netzwerk z B WAN Internet ber dieses Netz werden die Verbindungen zum entfernten Ger t bzw Netz hergestellt Benutzen Sie ein UTP Kabel CAT 5 gt Es ist keine Treiber Installation erforderlich BO Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern Anschlussm glichkeiten Klemmblock unten Der mGuard industrial RS ist in drei Versionen lieferbar u erlich unterscheid bar anhand der Anschlussm glichkeiten bei der Klemmleiste unten OOOO GGG aada P1 P2 P1 P2 P1 P2 Modem Fault Modem Fault Modem Fault State Error State Error State Error LAN WAN d BR LAN WAN LAN WAN mGuard industrial RS mGuard industrial RS V D 3 S S 3 Ki kel Ben ei o E
381. ue Seiten auf den Server kopiert werden k nnen der lesende Zugriffper HTTP auf die Seiten jedoch auch aus dem Internet heraus m glich ist Die IP Adressen innerhalb der DMZ k nnen ffentlich sein oder aber privat wobei der mit dem Internet verbundene mGuard die Verbindungen mittels Port forwarding an die privaten Adressen innerhalb der DMZ weiterleitet Au enstelle Internet Mitarbeitern einer Firma soll ein verschl sselter Zugang zum Firmennetz von zu Hause oder von unterwegs aus zur Verf gung gestellt werden Der mGuard bernimmt dabei die Rolle des VPN Gateways Auf den externen Rechnern muss dazu eine IPsec f hige VPN Client Software installiert werden das Betriebssystem diese Funktionalit t unterst tzen wie z B Windows 2000 XP oder der Rechner mit einem mGuard ausger stet sein L z6l CGCLg Internet 757 Z 89L COL CLOL CLL LOL CL VL OL CLL 757 Loo CEL un Hauptgbd 192 168 1 0 24 Zwei Geb ude einer Firma sollen ber eine mit IPsec gesch tzte WLAN Strecke miteinander verbunden werden Vom Nebengeb ude soll zudem der Internetzugang des Hauptgeb udes mitgenutzt werden k nnen In diesem Beispiel wurden die mGuards in den Router Modus geschaltet und f r das WLAN ein eigenes Netz mit 172 16 1 x Adressen eingerichtet Da vom Nebengeb ude aus das Internet ber das VPN erreichbar sein soll wird hier eine Default Route ber das VPN eingerichtet Tunnelkonfiguration im Nebengeb ude
382. ungsweise verboten ist e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 263 Interface Extern Intern Extern 2 VPN Einwahl Gibt an f r welches Interface die Regel gelten soll Sind keine Regeln gesetzt oder es greift keine Regel gelten folgende Standar deinstellungen SEC Stick Fernzugang ist erlaubt ber ntern VPN und Einwahl Zugriffe ber Extern und Extern 2 werden verwehrt Legen Sie die Zugriffsm glichkeiten nach Bedarf fest Vorsicht Wenn Sie Zugriffe ber Intern VPN oder Einwahl verwehren wollen m ssen Sie das explizit durch entsprechende Firewallregeln bewirken in der Sie als Aktion z B Verwerfen festlegen Aktion M glichkeiten e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen 1 Extern 2 und Einwahl nur bei Ger ten mit serieller Schnittstelle Siehe Netz werk Interfaces auf Seite 109 236 von 283 Konfiguration Menti SEC Stick Verwerfen bedeutet die Datenpakete diirfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Komme
383. unter Erlaubte Netzwerke die Firewall Regeln f r die verf gbaren Interfaces entsprechend definieren Port f r SSH Verbindungen nur Fernzugang Standard 22 Wird diese Port Nummer ge ndert gilt die ge nderte Port Nummer nur f r Zugriffe ber das Interface Extern Extern 2 VPN und Einwahl F r internen Zugriff gilt weiterhin 22 Die entfernte Gegenstelle die den Fernzugriff aus bt muss beim Login ge gebenenfalls die Port Nummer angeben die hier festgelegt ist 67 von 283 Konfiguration Menti Verwaltung 68 von 283 Beispiel Ist dieser mGuard tiber die Adresse 123 124 125 21 tiber das Internet zu errei chen und ist fiir den Fernzugang gem Standard die Port Nummer 22 fest gelegt dann muss bei der entfernten Gegenstelle im SSH Client z B PuTTY oder OpenSSH diese Port Nummer evtl nicht angegeben werden Bei einer anderen Port Nummer z B 2222 ist diese anzugeben z B ssh p 2222 123 124 125 21 Erlaubte Netzwerke Erlaubte Netzwerke Log ID fw ss access N2 02415472 78cc 1c1f 9045 000 be0105es Sg vom interface aktion __ Kommentar tog 1 SE 1 10 1 0 0 16 Extern 5 Annehmen Nein x Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Da tenpakete eines SSH Fernzugriffs Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfol
384. up Ziel Sie wollen wissen welcher Hostname zu einer bestimmten IP Adresse geh rt ODER 260 von 283 Konfiguration Menti Support welche IP Adresse zu einem bestimmten Hostnamen geh rt Vorgehen In das Feld Hostname die IP Adresse bzw den Hostnamen eingeben Auf die Schaltfl che Lookup klicken Sie erhalten daraufhin die Antwort wie sie der mGuard aufgrund seiner DNS Konfiguration ermittelt IKE Ping Support Werkzeuge IKE Ping Hostname IP Address IKE Ping Ziel Sie wollen ermitteln ob die VPN Software eines VPN Gateways in der Lage ist eine VPN Verbindung aufzubauen oder ob z B eine Firewall das verhin dert Vorgehen In das Feld Hostname IP Address den Namen bzw die IP Adresse des VPN Gateways eingeben Auf die Schaltflache Ping klicken Sie erhalten eine entsprechende Meldung 261 von 283 Konfiguration Menti Support 6 14 2 Support Erweitert Hardware Snapshot Support Erweitert Diese Seite listet verschiedene Hardwareeigenschaften des mGuards auf Support Erweitert Support Snapshot Hiermit wird eine Zusammenfassung des mGuard Zustands fiir Supportzwecke erstellt Diese Funktion dient fiir Support Zwecke Erstellt eine komprimierte Datei im tar gz Format in der alle aktuellen Konfi gurations Einstellungen und Log Eintrage erfasst sind die zur Fehlerdiagnose relevant sein k nnten B gt Diese Datei enth lt keine privaten Informat
385. ur bei mGuard industrial RS mit eingebautem Mo dem ISDN Terminaladapter Das sekund re externe Interface wird ber das eingebaute Modem das eingebaute ISDN Modem ISDN Terminaladapter gebildet Einstellungen f r die Modemverbindung nehmen Sie vor auf der Regis terkarte Ausgehender Ruf siehe Seite 131 Unter Ausgehender Ruf 114 von 283 Konfiguration Menti Netzwerk legen Sie auch fest ob die Telefonverbindung bedarfsweise nach Ein wahl zur Gegenstelle oder dauerhaft als Standleitung zur Verf gung ste hen soll Anschlusseinstellungen f r ein externes Modem nehmen Sie vor auf der Registerkarte Modem Konsole siehe Seite 139 Betriebsmodus permanent aushilfsweise Nach Auswahl des Netzwerkmodus Modem oder Eingebautes Modem f r das sekund re externe Interface muss der Betriebsmodus des sekund ren exter nen Interface festgelegt werden Sekund res externes Interface sote ps SR Betriebsmodus I permanent E Sekund re externe Routen Netzwerk Gateway Sowohl in der Betriebsart permanent als auch in der Betriebsart aushilfswei se muss dem mGuard f r das sekund re externe Interface das Modem zur Verf gung stehen damit der mGuard ber das am Modem angeschlossene Telefonnetz eine Verbindung zum WAN Internet herstellen kann permanent aushilfsweise Welche Datenpakete ber das prim re externe Interface Ethernet Schnittstel le und welche Datenpakete ber das sekund re extern
386. uten dauern Dennoch stellt der NTP Server die Systemuhr des mGuards nach wenigen Sekunden auf die aktuelle Zeit um sobald er erfolgreich einen der konfigurierten NTP Server kontaktiert hat Dann betrachtet der mGuard seine Systemzeit auch bereits als synchronisiert Nachjustierungen erfolgen in der Regel nur noch im Sekundenbereich NTP Server Geben Sie hier einen oder mehrere Zeit Server an von denen der mGuard die aktuelle Zeitangabe beziehen soll Falls Sie mehrere Zeit Server angeben verbindet sich der mGuard automatisch mit allen um die aktuelle Zeit zu er mitteln Konfiguration Menti Verwaltung Shell Zugang Wird eingeblendet wenn Erlaube X 509 Zertifikate fiir den SSH Zugang auf Ja gesetzt ist Verwaltung Systemeinstellungen Shell Zugang Ablauf der Sitzung Sekunden Aktiviere SSH Fernzugang Nein Port f r SSH Verbindungen 2 nur Fernzugang Erlaubte Netzwerke XL von nterface aktion SI J0 0 0 0 0 Extern E Annehmen 5 Nein i X 509 Authentifizierung Erlaube X 509 Zertifikate f r den SSH Zugang Ze Z SSH Server Zertifikat Keines X E 7 E L Alle Benutzer 2 Wx Client Zertifikat F r den Zugriff autorisiert als SE Alle Benutzer Diese Regeln gestatten es SSH Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client g
387. uter VPN Gateway Internet der Gegenstelle Die Adresse des bergangs zum privaten Netz in dem sich der entfernte Kommunikationspartner befindet Falls der mGuard aktiv die Verbindung zur entfernten Gegenstelle initiie ren und aufbauen soll dann geben Sie hier die IP Adresse oder den Host namen der Gegenstellen an 214 von 283 Konfiguration Men IPsec VPN nicht blade Kontroller Falls das VPN Gateway der Gegenstelle keine feste und bekannte IP Adresse hat kann tiber die Inanspruchname des DynDNS Service siehe Glossar dennoch eine feste und bekannte Adresse simuliert werden Falls der mGuard bereit sein soll die Verbindung anzunehmen die eine entfernte Gegenstelle mit beliebiger IP Adresse aktiv zum lokalen mGuard initiiert und aufbaut dann geben Sie an any Diese Einstellung ist auch bei einer VPN Sternkonfiguration zu w hlen wenn der mGuard an der Zentrale angeschlossen ist So kann eine entfernte Gegenstelle den mGuard anrufen wenn diese Ge genstelle ihre eigene IP Adresse vom Internet Service Provider dyna misch zugewiesen erh lt d h eine wechselnde IP Adresse hat Nur wenn in diesem Szenario die entfernte anrufende Gegenstelle auch eine feste und bekannte IP Adresse hat k nnen Sie diese IP Adresse angeben BO any kann nur zusammen mit dem Authentisierungsverfahren ber X 509 Zertifikate verwendet werden BO Wenn die Gegenstelle mit Hilfe von lokal hinterlegten CA Ze
388. uthentifizieren sich beide Seiten des VPNs ber den gleichen PSK Um den verabredeten Schl ssel dem mGuard zur Verf gung zu stellen gehen Sie wie folgt vor Ins Eingabefeld Pre Shared Secret Key PSK die verabredete Zeichenfolge eintragen Um eine mit 3DES vergleichbare Sicherheit zu erzielen sollte die Zeichen folge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buch staben sowie Ziffern bestehen DO Pre Shared Secret Key kann nicht mit dynamischen any IP Adressen ver wendet werden nur feste IP Adressen oder Hostnamen auf beiden Seiten werden unterst tzt Hinter dem Hostnamen d rften sich aber wechselnde IP Adressen verbergen DynDNS BD Pre shared Secret Key kann nicht verwendet werden wenn sich mindestens einer der Kommunikationspartner oder beide hinter einem NAT Gateway befinden VPN Identifier Uber VPN Identifier erkennen die VPN Gateways welche Konfigurationen zu der gleichen VPN Verbindung geh ren Bei PSK sind folgende Eintr ge g ltig leer die IP Adresse wird verwendet dies ist die Voreinstellung eine IP Adresse ein Hostname mit voran gestelltem ei Zeichen z B vpn1138 example com Konfiguration Men IPsec VPN nicht blade Kontroller e eine E Mail Adresse z B piepiorra example com Firewall IPsec VPN Verbindungen New York Eingehend Log ID fw vpn v000_000 in N2 2e78bf14 3890 17cc addb 000cbe0220c7 ESRA no Protokoll von TI _ v
389. uthentifizierungsverfahren Basic Authentification und NTLM gegen ber dem Proxy Damit die TCP Kapselung durch einen HTTP Proxy hindurch funktio niert muss einerseits der Proxy explizit in den Proxy Einstellungen Men punkt Netzwerk Proxy Einstellungen benannt werden also kein transparenter Proxy und andererseits dieser Proxy die HTTP Methode CONNECT verstehen und erlauben TCP Kapselung bei einem Anwendungsszenario mit Wartungszentrale und ferngewarteten Maschinen Als Teilnehmer der TCP Kapselung initiieren die mGuards der Maschinensteuererungen den VPN Datenverkehr zur Wartungszentrale und kapseln die zu ihr gesendeten Datenpakete ein Sobald eine Verbindung initiiert wird sendet auch die Zentrale die Datenpakete zur betreffen den VPN Gegenstelle automatisch eingekapselt Wartungs eene Maschinen rgs an mase steuerung 1 move Maschinen steuerung 2 zentrale A Maschinen mGuard der Wartungszentrale Erforderliche Grundeinstellungen unter Men punkt IPsec VPN Untermen Global Register Optionen Horche auf eingehende VPN Verbindungen die ein gekapselt sind JA Untermen Verbindungen Register Allgemein Adresse des VPN Gateways der Gegenstelle any Verbindungsinitiierung Warte steuerung 3 d mGuards an Maschinensteuererungen Erforderliche Grundeinstellungen unter Men punkt IPsec VPN Unterment Global Register Optionen Hor
390. wischen 1 und 65535 mit ber die die unterschiedlichen Dienste unterschieden werden Auf UDP und TCP bauen eine Reihe weiterer Protokolle auf z B HTTP Hyper Text Transfer Protokoll HTTPS Secure Hyper Text Transfer Protokoll SMTP Simple Mail Transfer Protokoll POP3 Post Office Protokoll Version 3 DNS Domain Name Service ICMP baut auf IP auf und enth lt Kontrollnachrichten SMTP ist ein auf TCP basierendes E Mail Protokoll Glossar VLAN VPN Virtuelles Pri vates Netzwerk IKE ist ein auf UDP basierendes IPsec Protokoll ESP ist ein auf IP basierendes IPsec Protokoll Auf einem Windows PC bernimmt die WINSOCK DLL oder WSOCK32 DLL die Abwicklung der beiden Protokolle gt Datagramm ber ein VLAN Virtual Local Area Network kann man ein physikalisches Netzwerk logisch in getrennte nebeneinander existierende Netze unterteilen Die Ger te der unterschiedlichen VLANs k nnen dabei nur Ger te in ihrem ei genen VLAN erreichen Die Zuordnung zu einem VLAN wird damit nicht mehr nur allein von der Topologie des Netzes bestimmt sondern auch durch die kon figurierte VLAN ID Die VLAN Einstellung kann als optionale Einstellung zu jeder IP vorgenommen werden Ein VLAN wird dabei durch seine VLAN ID 1 4094 identifiziert Alle Ger te mit der selben VLAN ID geh ren dem gleichen VLAN an und k nnen miteinander kommunizieren Das Ethernet Paket wird f r VLAN nach IEEE 802 1Q um 4 Byte erweitert da von ste
391. x Muster O Fernwartung GmbH C DE Sollen bestimmte Attribute des Subjects ganz bestimmte Werte haben damit der mGuard den Benutzer akzeptiert muss das entsprechend spezifiziert wer den Die Werte der anderen Attribute die beliebig sein k nnen werden dann durch das Wildcard Sternchen angegeben Beispiel CN O C DE mito ohne Leerzeichen zwischen Attributen Bei diesem Beispiel m sste im Zertifikat im Subject das Attribut C DE ste hen Nur dann w rde der mGuard den Zertifikatsinhaber Subject als Kom munikationspartner akzeptieren Die anderen Attribute k nnten in den zu filternden Zertifikaten beliebige Werte haben Wird ein Subject Filter gesetzt muss zwar die Anzahl nicht aber die Reihenfolge der angegebenen Attribute mit der bereinstimmen wie sie in den Zertifikaten gegeben ist auf die der Filter angewendet werden soll Auf Gro und Kleinschreibung ist zu achten ST Es k nnen mehrere Filter gesetzt werden Auf die Reihenfolge ist zu achten Denn bei HTTPS gibt der Browser des zugreifenden Benutzers nicht an mit welchen Benutzer bzw Administratorrechten dieser sich anmeldet Diese Rechtevergabe erfolgt bei der Filtersetzung hier unter Konfiguration Menti Verwaltung Fur den Zugriff autorisiert Das hat folgende Konsequenz Gibt es mehrere Filter die einen bestimmten Benutzer durchlassen tritt der erste Filter in Kraft Und der Benutzer erhalt das Zugriffsrecht das ihm in diesem Filte
392. xterne Interface festgelegt ist nicht der Daten verkehr der von einem lokal angeschlossenem Rechner ausgeht Auch kann auf lokal angeschlossene Rechner nicht von entfernt zugegriffen werden nur ein Fernzugriff auf den mGuard selber ist bei entsprechender Konfiguration m glich VPN Datenverkehr kann wie im Netzwerkmodus Router von und zu den lokal angeschlossenen Rechnern flie en Denn dieser wird vom mGuard verschl sselt und gilt daher als vom mGuard erzeugt Im Netzwerkmodus Router Alle Datenverkehre also die von und zu lokal angeschlossenen Rechnern und die welche vom mGuard erzeugt werden k nnen ber das sekund re externe Interface ins externe Netz WAN gef hrt werden Sekund res externes Interface Netzwerkmodus Netzwerkmodus Aus Modem Eingebautes Modem Aus Standard W hlen Sie diese Einstellung wenn die Betriebsumgebung des mGuard kein sekund res externes Interface braucht Dann k nnen Sie die se rielle Schnittstelle oder das eingebaute Modem falls vorhanden f r andere Zwecke nutzen siehe Modem Konsole auf Seite 139 Modem Eingebautes Modem Bei Auswahl einer dieser Optionen wird der Datenverkehr ins externe Netz WAN ber das sekund re externe Interface gef hrt entweder permanent oder aushilfsweise Modem Das sekund re externe Interface wird ber die serielle Schnittstelle des mGuard und ein daran angeschlossenes externes Modem gebildet Eingebautes Modem n
393. xternes Interface ist Folgendes zu bedenken Kann sich ein Firewall Benutzer ber ein unsicheres Interface einloggen 1 Extern 2 und Einwahl nur bei Ger ten mit serieller Schnittstelle Siehe Netz werk Interfaces auf Seite 109 161 von 283 Konfiguration Menti Authentifizierung Status k nnte es passieren dass bei einer Trennung ohne ordnungsgem es Auslog gen das Login bestehen bleibt und von einer anderen nicht berechtigten Per son missbraucht wird Unsicher ist das Interface z B dann wenn sich ein Benutzer ber das Internet einloggt von einer Stelle oder einem Rechner der dem die IP Adresse vom Internet Service Provider dynamisch zugeordnet wird wie es bei vielen Internet Benutzern blich ist Kommt es w hrend ei ner solchen Verbindung z B zu einer kurzzeitigen Zwangstrennung weil dem eingeloggten Benutzer gerade eine andere IP Adresse zugeordnet wird dann muss sich dieser Benutzer neu einloggen Das alte Login dass er unter seiner alten IP Adresse vollzogen hat bleibt aber bestehen so dass dieses Login von einem Eindringling benutzt werden k nnte der diese alte IP Adresse des rechtm igen Benutzers f r sich verwendet und unter dieser Ab sender Adresse auf den mGuard zugreift Entsprechendes k nnte auch ge schehen wenn ein befugter Firewall Benutzer vergisst sich nach der Sitzung auszuloggen Diese Unsicherheit beim Einloggen ber ein unsicheres Interface wird zwar nicht
394. ym f r Point to Point Protocol over Ethernet Basiert auf den Standards PPP und Ethernet PPPoE ist eine Spezifikation um Benutzer per Ethernet mit dem Internet zu verbinden ber ein gemeinsam benutztes Breitbandmedium wie DSL Wireless LAN oder Kabel Modem Akronym f r Point to Point Tunneling Protocol Entwickelt von Microsoft U S Robotics und anderen wurde dieses Protokoll konzipiert um zwischen zwei VPN Knoten gt VPN ber ein ffentliches Netz sicher Daten zu bertragen Ein Router ist ein Ger t das an unterschiedliche IP Netze angeschlossen ist und zwischen diesen vermittelt Dazu besitzt er f r jedes an ihn angeschlossene Netz eine Schnittstelle Interface Beim Eintreffen von Daten muss ein Router den richtigen Weg zum Ziel und damit die passende Schnittstelle bestimmen ber welche die Daten weiterzuleiten sind Dazu bedient er sich einer lokal vorhande nen Routingtabelle die angibt ber welchen Anschluss des Routers bzw wel che Zwischenstation welches Netzwerk erreichbar ist Vor allem in gro en Netzwerken findet neben den anderen Protokollen zus tz lich das SNMP Protokoll Simple Network Management Protocol Verwendung Dieses UDP basierte Protokoll dient zur zentralen Administrierung von Netz werkger ten Zum Beispiel kann man mit dem Befehl GET eine Konfigurationen abfragen mit dem Befehl SET die Konfiguration eines Ger tes ndern voraus gesetzt das so angesprochene Netzwerkger t ist SNMP fahig E
395. zen e oder nicht Log auf Nein setzen werkseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Bei Ja werden alle Verbindungsversuche protokolliert die nicht von den vo ranstehenden Regeln erfasst werden Konfiguration Menti IPsec VPN nicht blade Kontroller IKE Optionen IPsec VPN Verbindungen B to HH Allgemein ISAKMP SA Schl sselaustausch Verschl sselungsalgorithmus 3DES x Pr fsummenalgorithmus Hash Alle Algorithmen IPsec SA Datenaustausch Verschl sselungsalgorithmus 306s E Pr fsummenalgorithmus Hash Alle Algorithmen Perfect Forward Secrecy PFS Die Gegenstelle mu den gleichen Eintrag haben und die Aktivierung ist aus Sicherheitsgr nden empfohlen SA Lebensdauer ISAKMP SA Lebensdauer IPsec SA Lebensdauer Rekeymargin Rekeyfuzz Keying Versuche 0 bedeutet unbegrenzt Rekey Dead Peer Detection Verz gerung bis zur n chsten Anfrage nach einem Lebenszeichen Zeit berschreitung bei Ausbleiben des Lebenszeichens nach welcher die Gegenstelle f r tot befunden wird Zur ck ISAKMP SA Schl sselaustausch Verschl sselungsalgorithmus Vereinbaren Sie mit dem Administrator der Gegenstelle welches Ver schl sselungsverfahren verwendet werden soll 3DES 168 ist das am h ufigsten benutzte Verfahren und ist deshalb als Stan dard voreingestellt Grunds tzlich gilt Folgendes Je mehr Bits ein Verschl sselungsalgorithmus hat angegeben durch die
396. zes in dem sich der mGuard befindet Verwende Management VLAN Ja Nein Wenn die IP Adresse innerhalb eines VLANs liegen soll so ist diese Option auf Ja zu setzen Management VLAN ID Eine VLAN ID zwischen 1 und 4095 BO Bei automatischer Stealth Konfiguration wird VLAN f r die Manage ment IP nicht unterst tzt Eine Erl uterung des Begriffes VLAN findet sich im Glossar auf Seite 279 Statische Routen Im Stealth Modus bernimmt der mGuard das Default Gateway des an seinem LAN Port angeschlossenen Rechners F r Datenpakete ins WAN die der mGuard selber erzeugt k nnen alternative Routen festgelegt werden Dazu ge h ren u a die Pakete folgender Datenverkehre das Herunterladen von Zertifikats Sperrlisten CRL das Herunterladen einer neuen Konfiguration oder von Virendefinitionsda teien die Kommunikation mit einem NTP Server zur Zeit Synchronisation das Versenden und Empfangen verschl sselter Datenpakete von VPN Verbin dungen 121 von 283 Konfiguration Menti Netzwerk Anfragen an DNS Server Syslog Meldungen das Herunterladen von Firmware Updates das Herunterladen von Konfigurationsprofilen von einem zentralen Server sofern konfiguriert SNMP Traps Soll diese Option genutzt werden machen Sie nachfolgend die entsprechenden Angaben Wird sie nicht genutzt werden die betreffenden Datenpakete tiber das beim Client festgelegte Default Gateway geleitet
397. zierung nen 1 Bedarfsweise Einwahl DP I Verbindungstrennung nach Leerlauf Ja 5 Leerlaufzeit Sekunden Bo Lokale IP Joooo a Entfernte IP Joooo B Netzmaske Ro Benutzername Benutzername der zur Anmeldung beim Internet Service Provider angegeben werden muss um Zugang zum Internet zu erhalten Passwort Passwort das zur Anmeldung beim Internet Service Provider angegeben wer den muss um Zugang zum Internet zu erhalten PAP Server Authentifizierung Ja Nein Bei Ja Die nachfolgen 2 Eingabefelder werden eingeblendet Benutzername des Servers Passwort des Servers Benutzername und Passwort die der mGuard beim Server abfragt Nur wenn der Server die verabredete Benutzernamen Passwort Kombination liefert er laubt der mGuard die Verbindung Nachfolgend aufgefiihrte Felder Siehe unter Wenn als Authentifizierung Keine festgelegt wird auf Seite 133 Wenn die Authentifizierung per CHAP erfolgt Authentifizierung Lokaler Name Name der Gegenstelle _ Passwort f r die Client Authentifizierung e CHAP Server Authentifizierung ncn Sin Bedarfsweise Einwahl E Verbindungstrennung nach Leerlauf R Za Sl Leerlaufzeit Sekunden Bo J Lokale 1P baang J Entfernte IP baang J Netzmaske foooo J Lokaler Name Ein Name f r den mGuard mit dem er sich beim Internet Service Provider meldet Eventuell hat der Service Provider mehrere Kunden und muss durch 132 von 283 Konfiguration Menti Netzwerk
398. zt welche unter Netzwerk gt DNS Server siehe Netzwerk NAT auf Seite 145 definiert sind DNS Root Nameserver Anfragen werden an die Root Nameserver im Internet gerichtet deren IP Adressen im mGuard gespeichert sind Diese Adressen ndern sich selten Provider definiert via PPP Auswahl Es werden die Domain Name Server des Internet Service Providers benutzt der den Zugang zum Internet zur Verf gung stellt Benutzerdefiniert unten stehende Liste Ist diese Einstellung gew hlt nimmt der mGuard mit den Domain Name Ser vern Verbindung auf die in der nachfolgenden Liste Benutzerdefinierte Na meserver aufgef hrt sind Benutzer definierte Nameserver In dieser Liste k nnen Sie die IP Adressen von Domain Name Servern erfas sen Diese benutzt der mGuard bei der Kommunikation ber das sekund re externe Interface sofern dieses aushilfsweise aktiviert ist und der DNS Mo dus s o f r diesen Fall mit Benutzerdefiniert angegeben ist 119 von 283 Konfiguration Menti Netzwerk Netzwerk Modus Stealth Werkseinstellung auBer mGuard delta und blade Kontroller Wenn als Netzwerk Modus Stealth ausgew hlt ist und f r Stealth Konfiguration statisch Externe IP Adresse Aktive Defaultroute Benutzte DNS Server Netzwerkmodus Netzwerkmodus Stealth Konfiguration 2 Automatische Konfiguration Ignoriere NetBIOS ber TCP auf nein TCP Port 139 Stealth Management IP A
Download Pdf Manuals
Related Search