Astaro Handbuch V6
Contents
1. Strict TCP Session Handling Um einen zuverl ssigen Datentrans port zu gew hrleisten wird das in der Transportschicht vorhandene Transmission Control Protocol TCP verwendet TCP baut dabei eine Rechner zu Rechnerverbindung auf und sendet Daten solange erneut ab bis es vom Zielrechner eine positive Best tigung ber den Erhalt der Daten empf ngt Dieser Verbindungsaufbau wird als TCP Hand 261 System benutzen amp beobachten shake bezeichnet und erfolgt in drei Schritten Bevor ein Client z B mit einem Server Daten austauschen kann sendet er zuerst ein TCP Paket in dessen Header unter anderem das sogenannte SYN Bit Sequenznummer gesetzt ist Dieses ist eine Aufforderung an den Server eine Verbindung herzustellen Au erdem bermittelt der Client die sogenannte Fenstergr e Dieser Wert legt die maximale Anzahl der Byte f r die Nutzdaten im Datenpaket fest damit dieses auf dem Client noch verarbeitet werden kann Im zweiten Schritt ant wortet der Server in dem er sein ACK Bit Acknowledge im Header setzt und bermittelt ebenfalls seine Fenstergr e Im letzten Schritt akzeptiert der Client mit dem ACK Bit und beginnt anschlie end mit dem Senden der eigentlichen Daten Die Firewall nimmt PSH Pakete an ohne dass sie einen TCP Hand shake erhalten hat Dies ist z B notwendig wenn nach einem Re start des Internet Sicherheitssystems oder nach einer bernahme des zweiten Firewall Systems bei einem High Availa2. 60 61 68 Use external indicators 49 User Authentication Active Directory NT Domain Membership 98 Active Directory NT Membership einstellen 100 Einleitumng ER LDAP einstellen 112 LDAP erweitert 115 LDAP Server ioe 102 Microsofts IAS RADIUS einstellen sen 92 MS Active Directory Server elnstellen 104 Novell eDirectory Server einstellen 110 NTEM dire ipi a 98 OpenLDAP Server Konfigurieren 111 RADIUS scrie ni ymai y 91 SAN orae 96 SAM NT 2000 XP einstellen 96 User Manual 466 Users Filters 148 Te 146 USV eene Age ler rat 22 Validate Packet Length 262 Index Virus Protection for E Mail Lizensierung e 56 POP3 Aa era 332 SMIP eben Eege 318 Virus Protection for Web Ein ausschalten 291 Lizensierung sn 56 WebAdmin Access and Authentication E EE NETET 117 Auswahlfeld icce 41 Auswahltabelle 42 Block Password Guessing BR ee ek deeg 118 Bockierschutz f r Loggin Versuche einstellen 118 Drop down Men 43 Einleitung 20 46 General Settings 116 Hierarchiefeld 43 HITRSH nr 116 Info Box eccere 20 Lee EE 47 Men 40 Online Hilfe 45 Refresh aan 45 starten eisen 47 Statusampel s c 40 Verzeichnis cc 40 WebAdmin Site Certificate 119 Zertifikat f r WebAdmin Einleitung 119 erstellen
3. IP address assignment Logging Hier stellen Sie ein wie ausf hrlich die Informationen in den PPTP Logs protokolliert werden Stellen Sie den Protokollumfang auf Ausf hrlich Extensive wenn Verbindungsprobleme zum Host auftreten und ffnen anschlie end das Live Log Fenster Sobald Sie nun die Verbindung starten k nnen Sie den Vorgang in Echtzeit verfolgen Das PPTP Live Log befindet sicht im Men Local Logs Browse Encryption Hier stellen Sie die Verschl sselungsst rke 40 Bit oder 128 Bit dieser VPN Verbindungsart ein Beachten Sie dass bei Microsoft Windows 2000 im Gegensatz zu Windows 98 und Windows 212 System benutzen amp beobachten ME nur die Verschl sselungsst rke 40 Bit installiert ist Sie ben tigen zus tzlich das High Encryption Pack oder Service Pack 2 SP2 kann allerdings sp ter nicht mehr deinstalliert werden N Sicherheitshinweis Stellen Sie im Drop down Men Encryption die Verschl s selungsst rke immer auf Strong 123 Bit ein es sei denn der Endpunkt Host unterst tzt diese Verschl sselungsst rke nicht Authentication In diesem Drop down Men stellen Sie die Authenti fizierungsmethode ein Wenn Sie im Men System User Authenti cation einen RADIUS Server konfiguriert haben k nnen Sie hier auch RADI US Authentifizierung einsetzen Die Konfiguration des Microsoft IAS RADIUS Servers und die Einstellungen im WebAdmin werden in Kapitel 5 1 8 ab Seite 83 erkl rt IP A
4. 6 Aktivieren Sie die statische Route durch einen Klick auf die Statusampel Durch einen Klick auf das Papierkorb Symbol wird der Eintrag wieder gel scht Kernel Routing Table N Starr Routes Microsadt Internet Empkaner D Static Routes SEN Die Kernel Routing Ta KEE belle wird in einem se 192 160 6 0 24 dev eth scope link 192 160 2 0 24 dev erh iink E paraten Fenster darge beoadcast 192 168 6 255 dev ethO table local proto kernel scope link sec 192 168 6 58 broadcast 192 168 2 255 dev eth table local proto kernel scope link src 192 166 2 1 D brondenae 127 255 255 255 dav io table local proto kernel scope link arc 127 0 0 1 stellt In diesem Fenster een local 192 169 2 1 dev erh table local proto kernel scope host sre 192 169 2 1 broad 192 168 6 0 dev eth table local co k 1 link 192 168 6 50 EE werden alle vom System local 127 0 0 1 dev l table local to kernel scope host sre 127 0 0 1 VE AO E r E V aktuell verwendeten Routen aufgelistet Das System arbeitet die Routen in der dargestellten Reihenfolge ab Die erste zutreffende Route wird verwendet Per Default sind die Routen der Netzwerkkarten bereits eingetragen und nicht editierbar Durch einen Klick auf die Schaltfl che View static routing table wird das Fenster ge ffnet 195 System benutzen amp beobachten Policy Routes Das Policy basierte Routing erm glicht die Weiterleitung bzw das Routen von Datenpaketen nach eigenen sicherheitspol
5. 49 Locomotion Internetseiten zu Fortbewegungsmitteln jeglicher Art z B Frei zeitfahrzeuge Tuning Autoausstellungen Motorr der Flugzeugen Schiffen Unterseebooten Fahrr dern Eisenbahnen etc Medicine 50 health Recreation Nutrition Internetseiten zu Gesundheit Erholung und Ern hrung z B Krankenh user Doktoren Drug Stores Reformh user Psycholo gie Krankenpflege Medizin etc 51 Abortion Internetseiten mit Informationen zu Schwangerschaftabbr chen 287 System benutzen amp beobachten Nudity 52 Pornography Internetseiten mit eindeutigen sexuellen Handlungen und eroti schen Inhalten die f r Kinder und Jugendliche unter 18 Jahren nicht geeignet sind 53 Erotic Sex Internetseiten mit erotischen Fotografien und sonstigem erotischen Material das in dieser und hnlicher Form auch ber das Fern sehen oder ber Zeitschriften zug nglich ist In dieser Kategorie sind auch Sex Toys enthalten Internetseiten mit eindeutige sexu elle Handlungen sind hier nicht enthalten 54 Swimwear Lingerie Internetseiten mit Bade und Unterw schemode bzw Nacktheit in hnlicher Form z B Bikini und Strandmode Damenunterw sche etc Ordering 55 Online Purchasing Internetseiten mit Warenangeboten die oline bestellt werden k nnen 56 Auctions Small Advertisements Internetseiten von Online und Offline Auktionsh usern Verstei gerungen und Online und Offline Werbung Private H
6. 120 installieren 121 Zertifizierungen 129 483 Notizen Notizen 484 Notizen 485 Notizen 486 2006 Astaro AG astaro cCom
7. 329 Einleitung 304 Expression Filter 319 Feature Settings 314 File Extension Filter 317 konfigurieren 305 Max Message Size 329 MIME Error Checking 315 Outgoing TLS 329 Postmaster Address 305 Profiles and Domain Group Assignment Tabelle 307 Route Target 308 Scan outgoing Messages 315 Sender Blacklist 308 SMTP Authentication 327 Spam Protection 320 Spam Recipient Whitelist323 Spam Sender Whitelist 322 SPF Fail Check 310 TLS Verschl sselung 329 Use DATIV 310 314 481 Index Use Greylisting 311 314 Use RBL 309 314 Use Gmartbost 330 Verify Recipient 312 Verify Sender 312 Virus Protection 318 SNMP Einleitumng 79 Trap Server zuweisen 80 Zugang erlauben 79 SOCKS Benutzerauthentifizierung Goler dE 345 konfigurieren 344 Spam Protection Lizensierung ce 56 POP 33 24 04 332 KGR EE EE 320 Spoofing Protection 263 Spyware Protection Die Technologie 292 Strict TCP Session Handling 261 Surf Protection Block Spyware 292 Block suspicious and unkown sites 294 Categories 281 291 Categories editieren 289 Custom HTML Content Removal ssec 296 Einleitung 279 einschalten und
8. Both source and destination addresses In diesem Modus werden ICMP Pakete zur ckgewiesen die sowohl die Quell IP adresse als auch die Ziel IP Adresse behandeln zuerst werden die UDP Pakete f r die Quelladresse gefilter Wenn dann noch zu viele Anfragen vorhanden sind werden zus tzlich die UDP Pakete f r die Zieladresse gefiltert Destination address only In diesem Modus werden nur die UDP Pakete zur ckgewiesen die speziell die Ziel IP Adresse be handeln 239 System benutzen amp beobachten 240 Source address only In diesem Modus werden nur die UDP Pakete zur ckgewiesen die speziell die Quell IP Adresse be handeln Logging ICMP Flood Attacken k nnen dazu f hren dass sehr umfangreiche Protokolle erstellt werden Mit diesem Drop down Men k nnen Sie den Umfang des Logging einstellen Die m g lichen Einstellungen sind Alles Everthing Limitiert Limited und Aus Off Mit den folgenden beiden Einstellungen k nnen Sie Netzwerke von der Funktion Portscan Detection auschlie en Skip Source Networks Hier k nnen Sie zuverl ssige Quell netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Skip Destination Networks Hier k nnen Sie zuverl ssige Ziel netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Definieren Sie in den folgenden beiden Einstellungen die maxi male Rate f r die Datenpakete Es ist sehr wichtig dass Sie in den Eingabefeldern angemess
9. DHCP Server konfigurieren DHCP Service Operation Mode DHCP Server Select Interface internal Status ao Osat Range Start 192 1686 2 Save Range End haies a DNS Server 1 IP DNS Server 2 IP Gateway IP WINS Server IP WINS Node Type JE Made Broadcast no WINS 1 ffnen Sie im Verzeichnis Network das Men DHCP Service 2 W hlen Sie im Drop down Men Operation Mode den Modus DHCP Server aus Das Fenster DHCP Server wird ge ffnet 3 W hlen Sie im Drop down Men Select Interface die Schnitt stelle aus von der aus den Clients die IP Adressen zugewiesen werden sollen 4 Schalten Sie die Funktion in der Zeile Status durch einem Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster 5 Bestimmen Sie mit den Drop down Men s Range Start und Range End den IP Adressenbereich Per Default wird im Eingabefeld der konfigurierte Adressbereich der Netzwerkkarte angezeigt Die Einstellungen werden anschlie end ohne weitere Best tigung bernommen 208 System benutzen amp beobachten DNS Server Gateway IP und WINS Server zuweisen Im Betriebsmodus DHCP Server k nnen Sie den Clients weitere Parameter zur Netzwerkkonfiguration bergeben Dazu geh ren die DNS Server Adressen und das Default Gateway welches die Clients verwenden sollen In der Regel wird das Internet Sicherheitssystem selbst diese Aufgab
10. Expression Fiter Message Style 335 System benutzen amp beobachten wie der Absender From der Betreff Subject und das Datum Date angezeigt 5 5 4 DNS Mit dem DNS Proxy k nnen Status CPI RS P en z Sie den Clients in Ihrem Sys CR tem Nameserver Dienste Abowed Networks J zur Verf gung stellen Wenn Sie mehrere angeben wer Forwarding Name Servers den die Server in Reihenfolge ihrer Eingabe bei der Aufl sung von Rechnernamen be fragt Die DNS Eintr ge in Netzwerkdefinitionen werden jede Minute vom DNS Resolver aufgel st Wenn nun ein DNS Eintrag auf einen Round Robin DNS verweist kann die Definition jede Minute aktualisiert wer den Das Round Robin DNS Verfahren bietet eine einfache M glichkeit die Benutzeranfragen auf einzelne Server z B in einer Server Farm zu verteilen Beim Round Robin DNS werden im Domain Name Service DNS einem Hostnamen die IP Adressen aller Server der Server Farm zugeordnet Wenn nun Clients die IP Adresse dieses Hostnamens dort anfragen meldet der DNS der Reihe nach diese IP Adressen zur ck Auf diese Weise wird eine Aufteilung der Client Anfragen auf die jeweiligen Server erreicht Der Nachteil beim Round Robin Verfahren ist dass weder der Ausfall noch die Auslastung der einzelnen Server ber cksichtigt wird Wenn kein Nameserver im Men Forwarding Name Servers einge tragen ist werden alle Nameserver
11. Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Wichtiger Hinweis Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Username Tragen Sie hier den Benutzernamen ein den Sie von Ihrem Provider erhalten haben Password Tragen Sie hier das Passwort ein das Sie von Ihrem Provider erhalten haben Init String Tragen Sie in das Einagbefeld den String zur Initia lisierung des Modems ein Beachten Sie dass der Init String eventuell dem Modem angepasst werden muss In diesem Fall entnehmen Sie den Init String dem zugeh rigen Modem Hand buch Falls Sie keine entsprechende Dokumentation zur Verf gung haben tragen Sie in das Eingabefeld ATZ ein Dial String Tragen Sie in das Eingabefeld ATDT gefolgt von der Telefonnumer ein Beispiel ATDT5551230 186 System benutzen amp beobachten Reset String Tragen Sie in das Einagbefeld den Reset String f r das Modem ein Beachten Sie auch hier dass der Reset String eventuell dem Modem angepasst werden muss In diesem Fall entnehmen Sie diesen dem zugeh rigen Modem Handbuch Falls Sie keine entsprechende Dokumentation zur Verf gung haben tragen Sie in das Eingabefeld ebenfalls ATZ ein Flow Control Diese Funktion dient zur Kontrolle des Daten flusses Wenn die Dat
12. Klicken Sie anschlie end auf die Schaltfl che Weiter System benutzen amp beobachten Geben Sie im Fenster Fertigstellen des Assistenten in das Eingabefeld einen beliebigen Namen f r die PPTP Verbindung ein Klicken Sie anschlie end auf die Schaltfl che Weiter Mit einem Klick mit der rechten Maustaste auf das neue Symbol im Men Start Einstellungen Netzwerk und DF Verbin dungen k nnen Sie im Dialog Eigenschaften in verschiedenen Registerkarten weitere Einstellungen vornehmen oder ndern Allgemein Hier k nnen Sie den Hostnamen oder die Ziel IP Adresse ndern Falls vor der PPTP Verbindung eine Verbindung zum Internet Service Provider ISP aufgebaut werden muss stellen Sie diese im Fenster Erste Verbindung ein Optionen Hier k nnen Sie die W hl und Wahlwiederholungs optionen definieren Sicherheit W hlen Sie die Option Erweitert Benutzerdefi nierte Einstellungen Klicken Sie anschlie end auf die Schalt fl che Einstellungen Belassen Sie die Standardeinstellungen in diesem Men Netzwerk W hlen Sie im Auswahlmen Typ des anzurufen den VPN Servers die Option Point to Point Tunneling Pro tokoll PPTP aus Gemeinsame Nutzung Hier k nnen Sie die Nutzungsbe dingungen f r die PPTP Verbindung definieren Anschlie end wird die PPTP Verbindung mit einem Klick auf das neue Icon im Men Start Einstellungen Netzwerk und DF Verbin dungen gestartet Weitere Informationen erhalten Sie in der
13. den Einstellungen im Fenster Global Settings berwacht HTTP Service Stellen Sie in diesem Drop down Men den Zielport f r den HTTP Datenverkehr ein indem Sie einen Dienst Service ausw hlen Im Men Definitions Services k nnen Sie falls erfoder lich den Dienst ndern oder einen neuen hinzuf gen Vom hinzuge f gten Dienst wird nur die Zielportnummer verwendet Bei einer Portrange wird nur der erste und der letzte Port verwendet Beispiel Bei der Portrange 80 8080 wird die HTTP Regel bei den Zielports 80 und 8080 angewendet HTTP Servers Stellen Sie hier die HTTP Server ein DNS Servers Stellen Sie hier die DNS Server ein SMTP Servers Stellen Sie hier die SMTP Server ein SQL Servers Stellen Sie hier die SQL Server ein Telnet Servers Stellen Sie hier die Telnet Server ein 242 System benutzen amp beobachten 5 5 Paketfilter Packet Filter Der Paketfilter Packet Filter ist der zentrale Teil der Firewall Im Men Rules bestimmen Sie durch Setzen der Paketfilterregeln welcher Datenverkehr zwischen den Netzwerken Hosts erlaubt ist Sie k nnen au erdem festlegen dass spezielle Pakete explizit gefiltert werden und die Firewall nicht passieren d rfen Das Paketfilterma nagement erfolgt ber die Regelsatztabelle Mit den Werkzeugen im Men ICMP k nnen die Netzwerkverbin dungen und die Funktionalit t des Internet Sicherheitssystems getes tet werden und im Men Advanced befinden sich die Zusatz und
14. 1 2 ffnen Sie im Verzeichnis Definitions das Men Networks Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die IPSec Benutzergruppe ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men IPSec User Group aus DN Template F r den VPN ID Type Distinguished Name be n tigen Sie die folgenden Daten aus dem X 509 Verzeichnis baum Country C State ST Local L Organization O Unit OU Common Name CN und E Mail Address E Die Daten m ssen in diesem Eingabefeld in der gleichen Reihen folge wie im Zertifikat aufgef hrt sein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die IPSec Benutzergruppe hinzuf gen Speichern Sie die IPSec Benutzergruppe durch einen Klick auf die Schaltfl che Add Definition 139 System benutzen amp beobachten Nach erfolgreicher Definition wird die neue IPSec Benutzergruppe in die Netzwerktabelle eingetragen Sie finden diese IPSec Netzwerk gruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder Filters Network Definitions 7 7 R Mit der Funktion Filters k n nen Sie aus der Tabel
15. Action die Ma nahme gegen den erkannten Portscanner aus Accept Es wird keine Ma nahme gegen den Portscanner er griffen es erfolgt nur eine Meldung Obwohl diese Einstellung keine Ma nahmen gegen den Portscan ner einleitet ist dies die Standardeinstellung Unter Umst nden kann es vorkommen dass auch normale Netzwerkaktivit ten als ein Portscan interpretiert werden Die restriktiven Ma nahmen k nnen in diesem Fall die Arbeit behindern Drop blackhole Die nachfolgenden Pakete einer Portscan sequenz werden verworfen und es kommt keine Verbindung zu Stande F r den Portscanner ist dieser Port gefiltert filtered Reject reply with icmp unreachable Die Verbindungsan fragen des Angreifers werden mit einem RST ACK port un reachable zur ckgewiesen Dadurch wird der Port als geschlos sen closed ausgegeben und dem Angreifer bleiben die Dienste Services versperrt System benutzen amp beobachten Falls Sie Drop oder Reject ausgew hlt haben bleibt die ge w hlte Aktion solange in Kraft bis der portscan typische Daten verkehr aufh rt Mit den folgenden beiden Einstellungen k nnen Sie Netzwerke von der Funktion Portscan Detection auschlie en Exclude Source Networks Hier k nnen Sie zuverl ssige Quell netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Exclude Destination Networks Hier k nnen Sie zuverl ssige Zielnetzwerke ausw hlen die von der Funktion ausges
16. Authenticated Tunnel Mode ESP Payload Paket als Payload eingepackt Ein neuer IP Header wird vor ne an das IP Paket ange h ngt Die IP Adressen des neuen Header entsprechen denen der IPSec Tunnelendpunkte Die IP Adressen des eingepackten Paketes bleiben unver ndert Das komplette Originalpaket kann nun mit AH authentifiziert oder mit ESP authentifiziert und verschl sselt werden 360 System benutzen amp beobachten IPSec Protokolle IPSec verwendet f r die sichere Kommunikation auf der IP Ebene zwei Protokolle e Authentication Header AH ein Sicherheitsprotokoll f r die Authentifizierung des Absenders sowie zur berpr fung der Inte grit t des Inhalts e Encapsulating Security Payload ESP ein Sicherheitsproto koll f r die Verschl sselung des kompletten Paketes sowie f r die Authentifizierung des Inhalts Das Authentication Header Protokoll AH erm glicht die ber pr fung der Authentizit t und der Integrit t des Paketinhalts Des Weiteren wird gepr ft ob die Sender und Empf nger IP Adresse ge ndert wurde Die Authentifizierung des Pakets erfolgt anhand einer Pr fsumme die mittels eines Hash based Message Authentication Codes HMAC in Verbindung mit einem Schl ssel und einem der folgenden Hash Algorithmen berechnet wurde Der Message Digest Version 5 MD5 Algorithmus erzeugt aus einer Nachricht mit beliebiger L nge einen 128 bit langen Hash Wert Dieser resultierende Hash Wert wird a
17. Hinweis l Das Internet Sicherheitssystem unterst tzt den Tunnel Mode und das Encapsulated Security Payload ESP Protokoll 359 System benutzen amp beobachten IPSec Modi IPSec arbeitet im Transport Modus oder Tunnel Modus Bei einer Host to Host Verbindung kann grunds tzlich entweder Transport oder Tunnel Modus verwendet werden Falls einer der beiden Tunnelend punkte ein Security Gateway ist muss der Tunnel Modus verwendet werden Die IPSec VPN Verbindungen dieses Internet Sicherheits systems arbeiten immer im Tunnel Modus Beim Transport Modus wird IP Packets Orona AH das zu bearbeitende IP Paket Transport Mode AH Header Header Payload f authenticate l Nicht in ein anderes IP Paket Transport Mode ESP Sicaser Header aire eingepackt Der urspr ngliche L Enerypted mm IP Header wird beibehalten und das brige Paket wird nach einem entsprechenden Protokoll Header als Payload entweder im Klartext AH oder verschl sselt ESP angeh ngt Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschl sselt und authentifiziert werden Bei beiden Varianten wird der original Header in Klartext ber das WAN geschickt The original packet Beim Tunnel Modus wird das IP Packets is encapsulated Tunnel Mode an N AH Orginal reng komplette Paket Header und l Authenticated Payload D in ein neues IP New ESP Original Header Header Header L encres
18. Test DNS multiple DNS multiple 2 FTP Serer Hold CTRL for multiselect desele Save 300 System benutzen amp beobachten Die Funktionen von links nach rechts sind Profile Zuweisung l schen 8 Durch einen Klick auf das Papier korb Symbol wird die Zuweisung aus der Tabelle gel scht Positionsnummer Die Reihenfolge der Abarbeitung wird in der Ta belle durch die Positionsnummer angezeigt Durch einen Klick auf das Feld mit dem Eintrag wird ein Drop down Men ge ffnet ber dieses Drop down Men k nnen Sie nun die Rei henfolge der Profile Zuweisungen ndern Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schalt fl che Cancel wird der alte Eintrag beibehalten Statusampel Durch die Ampel wird der Status der Profile Zuweisung angezeigt Jede neue Zuweisung ist ausgeschaltet Statusampel zeigt Rot Die Profile Zuweisung wird durch einen Klick auf die Statusampel ein geschaltet Statusampel zeigt Gr n Profile Name In diesem Feld w hlen Sie das Surf Protection Pro file aus der Profile Tabelle aus Durch einen Klick auf das Feld mit dem Eintrag wird das Drop down Men ge ffnet Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Time Event Durch einen Klick auf das Feld in dieser Spalte wird ein Dop down Men ge ffnet Nun k nnen Sie das Zeitintervall f r
19. ess Weite Blei L teweow ME 2 WebAdmin Benutzerhandbuch Astaro Security Gateway V6 3 Software Version 6 303 Benutzer handbuch Release 3 03 Datum 13 09 2006 Die in dieser Dokumentation enthaltenen Angaben und Daten k nnen ohne vorherige Ank ndigung ge ndert werden Die in den Beispielen verwendeten Namen und Daten sind frei erfunden soweit nichts anderes angegeben ist Ohne ausdr ckliche schriftliche Erlaubnis der Astaro AG darf kein Teil dieser Unterlagen f r irgendwelche Zwecke vervielf ltigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln elektronisch oder me chanisch dies geschieht Astaro AG Alle Rechte vorbehalten Amalienbadstra e 36 Bau 33a 76227 Karlsruhe Germany http www astaro com Astaro Security Gateway und WebAdmin sind Markenzeichen der Astaro AG Linux ist ein Markenzeichen von Linus Torvalds Alle wei teren Markenzeichen stehen ausschlie lich den jeweiligen Inhabern zu Einschr nkung der Gew hrleistung F r die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie bernommen Hinweise auf Fehler und Verbesserungen nehmen wir gerne unter der E Mail Adresse documentation astaro com ent gegen Inhalt 1 2 3 3 1 3 2 3 2 1 3 2 2 4 1 4 2 4 3 4 3 1 4 3 2 4 3 3 4 3 4 4 3 5 4 4 4 5 5 1 5 1 1 5 1 2 5 1 3 5 1 4 5 1 5 5 1 6 5 1 7 I nhaltsverzeichnis Seite Willkom
20. gramm handelt Details bei den PPP Verbindungen aus PPPOA In diesen Log Dateien werden die Vorg nge bei der Einwahl mit PPP over ATM protokolliert PPPoE In diesen Log Dateien werden die Vorg nge bei der Einwahl mit PPP over Ethernet protokolliert PPTP daemon In den PPTP Logs wird der Verlauf beim Zugriff des externen Clients auf das System protokolliert Dies beinhaltet das Einloggen und die Authentifizierung sowie eventuelle Fehler beim Ver bindungsaufbau Wenn Sie im Men Network PPTP VPN Access f r die Funktion Logging den Parameter Extensive eingestellt haben werden im PPTP Log auch ausf hrliche Informationen zur PPP Verbindung ange zeigt Remote Configuration Manager Wenn das Internet Sicherheits system remote ber den Astaro Configuration Manager konfiguriert wird werden die entsprechenden Vorg nge in diesen Log Files proto kolliert Selfmonitoring Das Selfmonitoring gew hrleistet die Systeminte grit t des Sicherheitssystems und setzt den Administrator ber wich tige Ereignisse in Kenntnis Das Selfmonitoring berwacht die Funk tion Performance und Sicherheit der relevanten System Parameter und greift bei Abweichungen die ber eine gewisse Toleranz hinaus gehen regulierend ein Anschlie end erh lt der zust ndige Admini strator per E Mail einen Bericht Das Selfmonitoring des Internet Sicherheitssystems stellt sicher dass zentrale Dienste z B der Syslog Daemon der HTTP Proxy oder das Ne
21. lich eingestuft werden kann Beim Modul Anomaly Detection erfolgt dies aufgrund von statisti schen Daten die durch berwachung des normalen Datenverkehrs gesammelt werden Netzwerkpaket mit ungew hnlichen Eigenschaften werden dann protokolliert Anomaly Intrusion Protection Alert Event buf fering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Der Alarm wurde vom Modul Anomaly Detection generiert Das Paket wurde nicht abgefangen Der Ereignis puffer wurde aktiviert Weitere Intrusion Pro tection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sammelperiode abgeschlos sen ist Wenn weitere Ereignisse auftreten wird diese Periode ausgedehnt Weitere Informationen rhalten Sie in der Notification E Mail Es gibt mehrere M glichkeiten wodurch ein Paket als ungew hnlich eingestuft werden kann Beim Modul Anomaly Detection erfolgt dies aufgrund von statistischen Daten die durch berwachung des normalen Datenverkehrs gesammelt werden 451 System benutzen amp beobachten 856 857 CRIT 025 054 060 080 452 Netzwerkpakete mit ungew hnlichen Eigenschaften werden dann protokolliert Portscan detected Ein Portscan wurde entdeckt Weitere Informa tionen erhalten Sie in der Notification E Mail Portscan detected Event buffering activat
22. menf hren wollen Per Default ist die Funktion ausgeschaltet Auf dem ausgew hlten Host muss ein zum Protokoll Syslog kompa tibler Logging Daemon laufen Achtung l W hlen Sie im Men System Remote Syslog Server als Zieladres z S Host kein Interface des Sicherheitssystems z B eth0 aus Host W hlen Sie im Drop down Men einen Host aus der die ent sprechende Log Daten empfangen soll Nach Auswahl eines Hosts wird die Weiterleitung der ausgew hlten Log Daten ohne eine weitere Meldung gestartet Die dazu n tige Definition des Hosts Netzwerk mit Netzmaske 255 255 255 255 nehmen Sie im Men Definitions Networks vor Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 134 beschrieben 81 System benutzen amp beobachten Service Per Default ist das Protokoll Syslog eingestellt Sie k nnen in diesem Drop down Men auch den Dienst bzw Port einstellen der auf dem Remote Server verwendet wird Logs In diesem Auswahlfeld k nnen die Log Dateien ausgew hlt werden die an den Remote Host gesendet werden sollen 82 System benutzen amp beobachten 5 1 8 User Authentication Benutzerauthentifizierung User Authentication ist auf diesem Internet Sicherheitssystem mit den Proxydiensten HTTP SMTP und SOCKSv5 m glich Es kann festgelegt werden welcher Benutzer diese Proxydienste in Anspruch nehmen darf Die Benutzer Accounts k n nen lokal auf dem System im Men Definitions U
23. tion expired Der System Update ist fehlgeschlagen da Ihr System Up2Date Abonnement abgelaufen ist 457 System benutzen amp beobachten 349 351 353 354 399 361 458 System Up2Date failed No rpm package in Up2date package Exiting now Der System Update Vorgang wurde abgebrochen da im Up2Date Paket kein rpm Paket enthalten ist Pattern Up2Date failed No Authentication Server available Der Authentication Server konnte nicht ausge w hlt werden Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung Virus Pattern Up2Date failed No Up2Date Server available Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Intrusion Protection Pattern Up2Date failed No Up2Date Server available Der Up2Date Server ist nicht erreichbar Falls das Problem andauert setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Spam Pattern Up2Date failed No Up2Date Server available Pattern Up2Date failed Restart of Content Scanner failed Der Content Scanner konnte nicht wieder gestar tet werden Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung 362 365 366 712 850 System benutzen amp beobachten Pattern Up2Date faile
24. 129 Common Criteria Certification Ee 129 Connection Tracking Helpers Einletung 260 Helper Module laden 261 Connection Tracking Table 267 Content Filter 324 Current System NAT Rules 266 Current System Packet Filter Rules en 266 475 Index DHCP Relay konfigurieren 207 DHCP Server Current IP Leasing Table211 DNS Server Gateway IP und WINS Server ZUWEISEN nerernenennn 209 konfigurieren 208 Statische Adresszuweisung Static Mappings 210 DHCP Service Einleitumng 206 Dienste Definitionen editieren 146 Definitionen l schen 146 Dienstgruppe definieren 144 Einleitumng 141 Filter ana 145 filtern re 145 hinzuf gen 142 DNS konfigurieren 337 Dynamic DNS Einleitumng 153 Host definieren 153 EX Dramen 466 Factory Reser 54 Fehler Ursachen 30 158 Firewall Die Technologie 12 Lizensierung i 56 Firewall Hostname 152 General System Settings 48 Generic konfigurieren 339 Glossar ARP aus ana 467 Droadcast 467 Client 467 Client Server Prinzip 467 DNS a 468 476 Dual Homed Gateway 468 Firewall 468 Header inan ap 469 HOSE kuke een 469 Tei EE 469 IP rent 470 IP Adresee n 470 Masquerading 471 nslookup nn 471 Porta 471 Protokoll 472 Biel 472 RADIUS 2 120201 472 Router dh 472 SeiVer nn 473
25. CU KEE 473 SEKR dees ee 473 Subnet Mask 474 UNC Pfad seesseecseeen 474 Voice over IP ua 474 Glossary naii 465 Header 324 High Availability 122 High Availability System installieren 124 Hochverf gbarkeit 122 Hostname nee 152 http Domain Profile editieren 312 HTTP ActiveDirectory NT Domain Membership Modus 272 Advanced 277 Global Settings 271 HTTP Proxy Meldungen 462 Operation Modes 271 Parent Proxy 276 Parent Proxy definieren 276 Proxy einschalten 273 Spyware Protection 279 292 Standard Modus 271 Transparent Modus 272 User Autbentication Modus ICMP Einleitumng 256 Firewall forwards ping 259 Firewall forwards Traceroute Firewall is ping visible 259 Firewall is Traceroute visible EATS 258 ICMP Forwarding 257 ICMP on Firewalt 257 Log ICMP Redirects 257 Ping on firewall 259 Ping Settings 259 Traceroute from Firewall 259 Traceroute Settings 258 ICMP Flood Protection einschalten ausschalten 239 ICMP Flood Protection 239 ICSA Labs Certification 131 Ident Einleitumng 346 Forward Connections 346 Installation Anleitung 25 Einleitumng 20 Konfiguration 30 Software 25 Version 4 0x auf 5 0 aktualisieren 20 Vorbereitung 25 Interfaces Current Interface Status 1
26. DMZ Hinweis Beachten Sie bei der Planung und Konfiguration der Schnittstellen welche Netzwerkkarten Sie jeweils auf dem Sicherheitssystem aus w hlen F r die Schnittstelle zum externen Netzwerk Internet wird in der Regel die Netzwerkkarte mit der Sys ID ethl verwendet F r eine sp tere Installation des High Availability HA Systems ben tigen Sie auf beiden Systemen eine Netzwerkkarte mit gleicher Sys ID Die Installation des HA Systems wird in Kapitel 5 1 11 ab Seite 122 beschrieben In den nachfolgenden Abschnitten wird erkl rt wie die verschiedenen Schnittstellen Typen Interface Types ber die Fenster Current Interface Status und Hardware List verwaltet und konfiguriert werden Current Interface Status RE In diesem Fenster kon figurieren Sie die Netz werkkarten und virtuel 900 10 100 Ethernet oth maca00 0c 60 b6 23 13 len Schnittstellen Inter athi Realtek RTB139 wg il_type eth mac 00 50 fc a0 b7 20 faces In der Tabelle werden alle bereits konfigurierten Netzwerkkarten angezeigt Das linke Bild zeigt das Men Interfaces nach der Installation der Soft ware mit drei eingebauten Ethernet Netzwerkkarten 155 System benutzen amp beobachten W hrend der Installation wurde die Schnittstelle mit der Bezeichnung ethO bereits konfiguriert Sie ist die Schnittstelle zwischen dem Inter net Sicherheitssystem und dem internen Netzwerk LAN Per Default wird dieser Netzwerkkarte der Namen Intern
27. Die Protokolle AH und ESP werden f r Virtual Private Network VPN ben tigt Diese Protokolle werden im Kapitel 5 7 ab Seite 355 beschrieben Die definierten Dienste und Gruppen werden in der Dienstetabelle aufgelistet Per Default befinden sich in der Tabelle bereits statisch eingetragene Dienste Services Die Dienste Services lassen sich zu Dienstgruppen Service Groups zusammenfassen Diese Dienstgruppen werden behandelt wie einzelne Dienste und k nnen wieder Teil einer bergeordneten Gruppe sein In der Dienstetabelle sind die Dienstgruppen durch das Gruppensymbol BH gekennzeichnet Die Definition einer Dienstgruppe Service Group wird ab Seite 144 beschrieben Dienst hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Service 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den Dienste Services ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Service aus Protocol W hlen Sie im Drop down Men das Protokoll aus 142 System benutzen amp beobachten Source Destination Ports Tragen Sie in das linke Eingabe men den Source Port d
28. Domain Group l schen 8 Durch einen Klick auf das Papierkorb Symbol wird die Domain Gruppe aus der Tabelle gel scht Group Dies ist der Name der Gruppe Dieser Group Name wird ben tigt um der Domain in dieser Zeile ein bestimmtes Profil zuzu weisen Das Editierfenster wird durch einen Klick auf das Feld mit dem Eintrag z B Default ge ffnet Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten 306 System benutzen amp beobachten Domain In dieses Feld wird die Domain eingetragen Das Editierfenster wird durch einen Klick auf das Feld mit dem Eintrag z B Default ge ffnet Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Subdomain inclusion Durch einen Klick auf die Meldung in dieser Spalte k nnen die Sub Domains in die Gruppe einbezogen werden Domain hinzuf gen und editieren 1 Um eine neue Blanko Domain in die Tabelle einzuf gen klicken Sie auf die Schaltfl che New Domain Anschlie end k nnen Sie die Domain Zeile editieren 2 Tragen Sie in das Feld Group einen eindeutigen Namen f r die Domain Gruppe ein 3 Definieren Sie in das Feld Domain die Domain ein 4 Falls die Sub Domains in die Gruppe einbezogen werden sollen klicken Sie auf das Feld Subdomain inclusion Die Profiles and Domain Group Assignment Tabelle
29. Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich Reject Die E Mail wird mit der Fehlernummer 5xx und einem Kommentar abgewiesen Die Bounce Nachricht an den Absender enth lt auch eine Begr ndung warum die E Mail blockiert wurde Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden Warn Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben Trigger on In diesem Drop down Men legen Sie fest welche Fehler dazu f hren dass die E Mail laut Funktion Action behandelt wird Level 1 Diese Stufe bewirkt dass nur die E Mails mit den schwersten Fehlern behandelt werden Diese Einstellung wird emp fohlen da viele Anwender ein fehlerhaftes Verschl sselungspro gramm verwenden das bei den h heren Stufen Level 2 und 3 bereits anspricht Level 2 Mit Ausnahme der mit allt glichen Fehlern behafteten E Mails we
30. Netzwerk Die Netzwerk karte ethl ist die Schnitt stelle zum externen Netz werden auch Trusted und Netzwerkkarten automatisch erkannt Falls sp ter weitere Netzwerkkarten hinzugef gt werden ist eine Neu Installation des Internet Sicherheitssystems notwendig Ver wenden Sie die Backup Funktion um nach der Neu Installation Ihre alte System Konfiguration wieder einzuspielen Internet Die Firewall Router len der Firewall Firewall 154 Wir raten dringend da von ab die Schnittstel der rechten Grafik dar gestellt ber einen Hub oder Switch physikalisch zusammen auf ein Netzwerksegment zu legen wenn dieser nicht muss wie in der linken Grafik dargestellt die Schnittstelle zwischen dem LAN und dem Internet sein Alle Datenpakete m s sen das Internet Sicher heitssystem passieren Internet wie in Firewall System benutzen amp beobachten als VLAN Switch konfiguriert ist Unter Umst nden kann es dann zu falschen ARP Aufl sungen Address Resolution Protocol kommen ARP Clash die nicht alle Betriebssysteme z B die von Microsoft verwalten k nnen Pro Firewall Netzwerk Schnittstelle muss daher auch ein physikalisches Netzwerk Segment verwendet werden Im Men Interfaces verwalten Sie alle auf dem Internet Sicherheits system installierten Netzwerkkarten und konfigurieren die Schnitt stelle zum externen Netzwerk Internet sowie die Schnittstellen zu den internen Netzwerken LAN
31. Verwenden Sie f r die Aktualisierung nicht die Schaltfl che Aktuali sieren im Browser da Sie sonst aus dem Konfigurationstool Web Admin ausgeloggt werden CPU Load Daily Graph Das Diagramm zeigt die aktuelle Aus lastung des Prozessors durch das Internet Sicherheitssystem an Memory Usage Daily Graph Hier wird die Gesamtsumme des genutzten Hauptspeichers dargestellt Je mehr Funktionen zur selben Zeit ausgef hrt werden umso weniger freier Hauptspeicher steht zur Verf gung SWAP Usage Daily Graph Das Diagramm stellt die aktuelle Nutzung des virtuellen Speichers dar Verf gt Ihr System ber sehr wenig Hauptspeicher RAM wird die SWAP Nutzung stark ansteigen 400 System benutzen amp beobachten 5 8 4 Network In diesem Men wird die Datenverkehr Auslastung der einzelnen Schnittstellen grafisch dargestellt Voraus setzung f r dieses Reporting ist dass alle Netzwerkkar ten unter Network Inter faces korrekt konfiguriert wurden Die Konfiguration der Netz werkkarten wird in Kapitel 5 3 2 ab Seite 154 beschrie ben Traffic Io Daily In diesem Men werden die Paketfilterregelverletzungen in Diagrammen grafisch dar gestellt Die Regelverlet zungen werden auch in den Packet Filter Logs proto kolliert Die Log Dateien be finden sich im Men Local Logs Browse 401 System benutzen amp beobachten 5 8 6 Content Filter In diesem Men werden zu den Prox
32. Wei tere Informationen zum Common Criteria Mode und ICSA Labs Com pliant Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 Logging Options Log Unique DNS Re L NS Requests oe es ra Quests DNS Pakete die an oder durch die Firewall ge schickt werden und eine DNS Anfrage enthalten werden in der Log Datei Packet Filter mit dem Vermerk DNS_ REQUEST protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet Log FTP Data Connections Alle FTP Datenverbindungen ob im Active oder im Passive Mode werden in der Log Datei Packet Filter mit dem Vermerk FTP_DATA protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet Hinweis Falls die Firewall im ICSA Labs Compliant Mode arbeitet schalten Sie diese beiden Funktionen nicht aus Weitere Informationen zum Common Criteria Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 264 System benutzen amp beobachten System Information Packet Filter Live Log Der SE i Packet Filter Live Log dient E zur berwachung der gesetz RER ten Paketfilter und NAT Regeln Im Fenster werden in Echtzeit die Pakete angezeigt die durch den Regelsatz des Paket filters abgefangen werden Diese Funktion eignet sich besonders zur Fehlersuche Sollte nach der Inbetriebnahme des Internet Sicher heitssystems eine Anwendung z B Online Banking nicht verf gbar sein k nnen Sie anhand des Packet Filter Live Log nachvollziehen ob und welche Pake
33. ber das Konfigurationstool WebAdmin das System bedienen und beobachten 5 1 Grundeinstellungen System Im Verzeichnis System f hren Sie die Grundeinstellungen des Inter net Sicherheitssystems durch 5 1 1 Settings Administrator Contact E Mail Addresses Bei wichti gen Ereignissen z B auftre tenden Portscans Anmeldungen mit falschem Passwort Meldungen des Selfmonitors bei Up2Date Prozessen oder bei einem Neustart werden die Administratoren ber die im Hierarchiefeld eingetragenen Adressen benachrichtigt Es sollte mindestens eine E Mail Adresse eingetragen sein Falls keine Adresse im Hierarchiefeld eingetragen ist wird die komplette Funktion Re porting per E Mail ausgeschaltet Neue E Mail Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 5 ab Seite 43 beschrieben An die E Mail Adresse des Administrators k nnen Notification E Mails nur zugestellt werden wenn zuvor der DNS Proxy Kapitel 5 6 4 ab Seite 336 eingeschaltet und konfiguriert wurde oder wenn im Men SMTP Kapitel 5 6 2 ab Seite 304 die Route f r eingehende E Mails definiert wurde Wichtiger Hinweis 48 System benutzen amp beobachten Use external Indicators Dieser Schalter wird nur angzeigt wenn das Internet Sicherheitssystem auf einer Appliance mit LCD Anzeige l uft Mit diesem Schalter k nnen Sie die LC
34. der Eintrag aus der Tabelle gel scht 5 3 5 2 Masquerading Add New NAT Rule Masquerading ist eine Son SS derform von SNAT bei der viele private IP Adressen auf eine einzige ffentliche IP Adresse umgesetzt werden d h Sie verbergen interne IP Adressen und Netzwerkin formationen nach au en Die Unterschiede zwischen Masquerading und SNAT sind e Bei Masquerading geben Sie nur ein Quellnetzwerk an Es werden automatisch alle Dienste Ports in die bersetzung mit einbe zogen e Die bersetzung findet nur dann statt wenn das Paket ber die angegebene Netzwerkkarte versendet wird Als neue Quelladresse wird stets die Adresse dieser Netzwerkkarte in die Datenpakete eingef gt 202 System benutzen amp beobachten Damit eignet sich Masquerading besonders um private Netzwerke in einem LAN hinter einer offiziellen IP Adresse an das Internet anzu binden Masquerading definieren Legen Sie ber die Drop down Men s fest welches Netzwerk auf welcher Netzwerkkarte maskiert werden soll Im Normalfall w hlt man die externe Netzwerkkarte Damit von den Clients aus dem hier definierten Netzwerk eine Ver Hinweis bindung zum Internet aufgebaut werden kann m ssen im Men Packet Filter Rules die entsprechenden Regeln gesetzt werden Das Setzen der Paketfilterregeln wird ausf hrlich in Kapitel 5 5 ab Seite 243 beschrieben 1 ffnen Sie im Verzeichnis Network das Men NAT Masquer adi
35. durchgef hrt in Restart ausgef hrt wurde wurde wurde wurde wurde wurde wurde wurde 127 128 129 130 131 132 133 134 133 System benutzen amp beobachten spamd not running restarted spamd wird nicht ausgef hrt ein Restart wurde durchgef hrt pptpd not running restarted pptpd wird nicht ausgef hrt ein Restart wurde durchgef hrt httpd loopback not running restarted httpd loopback wird nicht ausgef hrt ein Restart wurde durchgef hrt winbindd not running restarted winbindd wird nicht ausgef hrt ein Restart wurde durchgef hrt xinetd not running restarted xinetd wird nicht ausgef hrt in Restart wurde durchgef hrt virus scanner aveserver not running restarted virus scanner aveserver wird nicht ausgef hrt ein Restart wurde durchgef hrt squid not running restarted squid wird nicht ausgef hrt ein Restart wurde durchgef hrt ipsec starter not running restarted ipsec starter wird nicht ausgef hrt ein Restart wurde durchgef hrt ipsec pluto not running restarted ipsec pluto wird nicht ausgef hrt ein Restart wurde durchgef hrt 437 System benutzen amp beobachten 136 137 138 150 151 152 153 154 438 device agent not running restarted device agent wird nicht ausgef hrt ein Restart wurde durchgef hrt virus scanner clamd not running restarted virus sca
36. gen Durch einen Klick auf die Schaltfl che Add interface to Bridge wird eine neue Zeile in die Tabelle importiert Mit einem Klick auf die Meldung Click here to select interface wird ein Auswahlfeld ge ffnet W hlen Sie nun die neue Netzwerkkarte aus und speichern Sie die Einstellung durch einen Klick auf die Schaltfl che Save Mit der Schaltfl che Cancel wird die Auswahl wieder verworfen Netzwerkkarte l schen Durch einen Klick auf das Papierkorb Symbol wird die Netzwerkkarte aus der Tabelle gel scht Wenn Sie die Bridge deaktivieren m chten l schen Sie nacheinander die Eintr ge bis nur noch eine Netzwerkkarte brig ist Diese Netzwerkkarte wird anschlie end in ein Standard Ethernet Interface ge ndert und bernimmt alle Adress Einstellungen von der Bridge 192 System benutzen amp beobachten Bridge Options Dieses Fenster wird angezeigt wenn eine Bridge in Betrieb ist Allow ARP broadcasts Mit dieser Funktion k nnen Sie bestimmen Bridging Is currently active To remove the bridge from the system remove all of its interfaces The last interface left wil be turned nto a standard ethemet interface inhert ng the address information of the ob einge hende ARP bridge Current bridged Interfaces Har 9 emo 9 ent Broadcasts von der Allow APP broadcasts Bridge weitergeleitet Garbage Colection Interval fy werden Im seconds ageing meout seconds o s j eingeschalteten Zu
37. gorisiert 31 Chat Internetseiten ber die ein direkter Nachrichtenaustausch mit anderen Benutzern durchgef hrt wird In dieser Unterkategorie sind auch alle Chat Provider kategorisiert 32 Newsgroups Bulletin New Boards Discussion Sites Internetseiten mit Informationen zu unterschiedlichen Themen die wie an einem Schwarzen Brett angeboten werden 33 SMS Mobile Phones fun Applications Internetseiten mit Funktionen um kurze Nachrichten mittels SMS an Mobiltelefone zu schicken Hier sind auch die Anbieter von Zusatzger ten f r Mobiltelefone kategorisiert z B Klingelt ne Spiele Cover 34 Digital Postcards Internetseiten mit Funktionen um digitale Postkarten zu senden 35 Search Engines Web Catalogs Portals Internetseiten mit Suchmaschinen Netkataloge und Netzportale 285 System benutzen amp beobachten IT 36 Software and Hardware Vendors Distributors Internetseiten von Hardware Produzenten f r Informations Mess und Modultechnologie Verk ufer von Software und H ndler von Hard und Software Web Hosting Internet Service Provider sowie Anbieter von Breitbanddiensten 37 Web Hosting Internetseiten ber Web Hosting und von Internet Service Provider sowie von Provider von Breitbanddiensten 38 Information Security Sites Informationen ber Sicherheit Privatsph re und Datenschutz im Internet sowie in anderen Telekommunikations Breitbanddiensten 39 URL Translation Sites Internetseiten m
38. h die Client Seite des Dienstes ein In das rechte Eingabemen tragen Sie den Destination Port d h die Server Seite des Dienstes fest Die weiteren Einstellungen richten sich nun nach dem ausge w hlten Protokoll F r die Protokolle TCP und UDP ben tigen Sie die folgenden zwei Werte Eingabe Optionen Einen einzelnen Port z B 80 oder eine Portrange z B 1024 64000 Source Destination Ports Tragen Sie in das linke Eingabe men den Source Port d h die Client Seite des Dienstes ein In das rechte Eingabemen tragen Sie den Destination Port d h die Server Seite des Dienstes fest Die Protokolle AH und ESP werden f r IPSec VPN Verbin dungen ben tigt Der hier eingetragene Wert muss zuvor mit der Gegenstelle des IPSec VPN Tunnels abgesprochen werden SPI Tragen Sie hier einen Wert zwischen 256 und 65535 ein Die Werte bis einschlie lich 255 sind vom Internet Assigned Numbers Authority I ANA reserviert F r das Protokoll ICMP k nnen Sie im Auswahlmen I CMP Type die darin enthaltene Nachricht ausw hlen F r das Protokoll IP tragen Sie in das Eingabefeld Protocol Number die Protokollnummer ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den Dienst hinzuf gen Speichern Sie den Dienste Services durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird der neue Dienst Services in die Diensttabelle eingetragen Sie finden diesen Dienst jetz
39. muss sein TCP IP Stack ein ICMP Echo Reply Paket an den Absender zur ckschicken So k nnen Sie feststellen ob eine Verbindung zu einem anderen Netzwerk Rechner m glich ist Mit Ping Check k nnen Sie die Verbindung zu einem Host auch durch Eingabe des DNS Hostnamens testen Daf r muss im Men Proxies DNS der DNS Proxy eingeschaltet sein Hinweis Pin 1 2 222 F r das Tool Ping muss im Men Packet Filter ICMP die Funktion ICMP on Firewall eingeschaltet sein F r die Namensaufl sung Name Resolution muss im Men Proxies DNS der DNS Proxy eingeschaltet und konfiguriert sein g starten ffnen Sie im Verzeichnis Network das Men Ping Check W hlen Sie im Drop down Men Ping Host die Netzwerkarte aus Falls es sich bei der Schnittstelle um eine in den Men s Inter faces oder Networks konfigurierten Host handelt k nnen Sie diese im Drop down Men direkt ausw hlen Beispiel Internal Address f r die interne Netzwerkkarte auf dem Internet Sicherheitssystem F r einen anderen Host im Netzwerk w hlen Sie im Drop down Men die Einstellung Custom Hostname IP Address aus Tragen Sie in das Eingabefeld Hostname IP Address die IP Adresse oder den Hostnamen ein Starten Sie die Testverbindung durch einen Klick auf die Schaltfl che Start System benutzen amp beobachten 5 4 Intrusion Protection Das Modul Intrusion Protection System IPS erkennt Angriffsver suche anhand eines signa
40. nnen Sie die Adressen eintragen von denen aus unsignierte Nachrichten verschickt werden sollen Greylist skip Recipients In diese Kontrollliste k nnen Sie die Emp f nger eintragen die von der Funktion Greylisting ausgenommen werden sollen 314 System benutzen amp beobachten 5 6 2 1 Content Filter Content Filter Scan outgoing Disable messages MIME Error Enable Checking File Extension een 2 Enabl Filter nable Virus Protection Enable Expression Filter Enable Scan outgoing Messages Die Funktion Scan Outgoing Messages wendet den Content Filter auf die ausgehenden Verbindungen an MIME Error Checking Die Funktion MIME Error Checking kann Fehler in Nachrichten er kennen die mit MIME verschl sselt wurden MIME steht f r Multi purpose Internet Mail Extensions MIME legt die Struktur und den Aufbau von E Mails und anderer Internetnachrichten fest Es ist eine Kodierungsvorschrift die den Versand von Nicht Text Dokumenten wie Bilder Audio und Video in textbasierten bertragungssystemen erm glicht Die Nicht Text Elemente werden beim Versender ver schl sselt und beim Empf nger wieder entschl sselt Die Funktion MIME Error Checking kann dabei helfen Angriffe bei denen die Fehler Toleranzabweichung in der MIME Entschl sselungs Software ausgenutzt werden zu erkennen 315 System benutzen amp beobachten Action In diesem Drop down Men legen Sie fest wie eine von der
41. r das Sicherheitssystem und somit auch f r das interne Netzwerk zu erh hen unterliegt die Zusammensetzung und die L nge des Passworts den nachfolgend aufgef hrten Restriktionen Das Passwort wird vom Sicherheitssystem nur bernommen wenn diese Bestimmungen erf llt sind e eine Mindestl nge von acht Zeichen e mindestens ein kleingeschriebener Buchstabe e mindestens ein gro geschriebener Buchstabe e mindestens eine Zahl e mindestens ein nicht alphanumerisches Zeichen innerhalb der ASII Tabelle Zeile 32 bis 126 Die Restriktionen f r die Passw rter sind nur f r neu Installierte Si cherheitssysteme ab Version 6 105 g ltig oder treten in Kraft falls ab der Version 6 105 die Aktion Passwort Reset oder Factory Reset durchgef hrt wurde Force Complex Pass Force complex passwords ao Oust s words Um sicherzustel len dass bei Neuinstallationen m glichst sichere Passw rter gem den Definitionen der Common Criteria gesetzt werden ist diese Funktion zu Beginn eingeschaltet Wenn diese Funktion ausgeschaltet wird werden vom Sicherheitssystem alle Passw rter akzeptiert Hinweis l Wenn Sie auf dem Sicherheitssystem im Common Criteria Mode diese Funktionen ausschalten arbeitet das Sicherheitssystem nicht mehr mit der Bewerteten Konfiguration Der Common Criteria Mode wird in diesem Fall automatisch deaktiviert 85 System benutzen amp beobachten 5 1 8 2 Novell eDirectory Novell eDirectory Novel
42. sind gleichberechtigt Der Grenzwert mit der h heren Stufe sollte allerdings strenger behandelt werden Die Funktionsweise wird weiter unten anhand der Default Einstellungen erl utert Default Einstellungen Grenzwert Eins Threshold One When Spam Level exceeds 05 reasonable do this Quarantine 320 System benutzen amp beobachten Grenzwert Zwei Threshold Two When Spam Level exceeds 08 conservative do this Reject Der erste Grenzwert hat zur Folge dass E Mails ab Stufe 5 gefiltert und in Quarant ne kommt Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt Beim zweiten Grenzwert wird die E Mail mit einem Kommentar zu r ckgesendet Grunds tzliche gilt dass der Grenzwert Threshold mit der h he ren Stufe eine strengere Behandlung do this erfahren soll Wichtiger Hinweis Das Modul Spam Protection ben tigt auf stark frequentierten Sys temen einen hohen Anteil der Systemressourcen When Spam Level exceeds Mit diesem Drop down Men justieren Sie den H chstwert zur Bewertung der E Mails Der Unterschied zwi schen den H chstwerten definiert sich durch die Wahrscheinlichkeit dass ungef hrliche Mails z B HTML Newsletter gefiltert werden Im Drop down Men kann ein Wert zwischen 1 und 15 eingestellt wer den Mit der Stufe 1 werden bereits E Mails mit einem kleinen Spam Score behandelt Die folgenden Stufen Level geben einen Anhalts punkt e Aggressive 0
43. zu tzlich L2TP over IPSec einschalten On Keys W hlen Sie im Auswahlfeld die Remote Keys f r die Road Warrior Verbindungen aus 371 System benutzen amp beobachten 7 3 Road Warrior CA L2TP Encapsulation In diesem Drop down Men k nnen Sie zus tzlich L2TP over IPSec einschalten On Use CA Beim Verbindungs Typ Road Warrior CA basiert die Au thentifizierung auf dem Distinguished Name DN der entfern ten Gegenstelle Remote Endpoint Daher ben tigen Sie von dieser Gegenstelle ein Certificate Authority CA Es kann nur der VPN Identifier X 509 DN verwendet werden W hlen Sie im Drop down Men das X 509 DN Certificate Authority CA aus Client DN Mask F r den VPN ID Type Distinguished Name ben tigen Sie die folgenden Daten aus dem X 509 Verzeichnis baum Country C State ST Local L Organization O Unit OU Common Name CN und E Mail Address E Die Daten m ssen in diesem Eingabefeld in der gleichen Reihen folge wie im Zertifikat aufgef hrt sein 7 3 MS Windows L2TP IPSec L2TP Encapsulation Bei diesem Verbindungs Typ ist L2TP over IPSec automatisch eingeschaltet On IPSec Shared Secret Beim Verbindungs Typ MS Windows L2TP IPSec basiert die Authentifizierung auf Preshared Keys Tragen Sie in das Eingabefeld das Kennwort ein 8 Speichern Sie nun die Einstellungen durch einen Klick auf die Schaltfl che Add Das neu konfigurierte IPSec Verbindungsprofil wird immer deaktiviert an letzte
44. 154 beschrieben Die Funktionsweise der Auswahltabelle wird in Kapitel 4 3 3 ab Seite 42 beschrieben Allowed Networks W hlen Sie die f r diesen Proxy zugelas senen Netzwerke aus 337 System benutzen amp beobachten N Sicherheitshinweis W hlen Sie im Men Allowed Networks m glichst nicht Any aus Der DNS Proxy kann sonst von allen Internet Teilnehmern genutzt werden Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Forwarding Name Servers Tragen Sie in das Eingabefeld die IP Adresse des Nameservers ein Neue Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 5 ab Seite 43 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten 5 6 5 Generic goneric Pay W s Mit dem Generic Proxy SE k nnen die Benutzer von Novell sicherstellen dass der eDirectory Verzeichnis mmm E em ei dienst und auch andere 9 1 0 imma MA EE EE rl Anwendungen durch das Sicherheitssystem erreichbar sind Dabei wird auch gew hrt dass die gleiche Sicherheitsstufe besteht wie bei dem Datenverkehr der ber die protokollspezifischen Proxies weitergeleitet wird Der Generic Proxy leitet den gesamten Datenverkehr f r einen bestimmten Ser vice zu einem frei w hlbaren Server Der Unterschied zu DNAT ist dass dabei die Quelladresse Sou
45. 3 Aufbau zur Modifikation Allowed Networks und zum Beenden von Sit zungen zwischen zwei oder ae mehreren Kommunika e e SS tionspartnern Mit dem SIP Proxy k nnen SIP Ger te hinter einem NAT Gateway betrieben wer den Die Sitzungsabl ufe k nnen zwar direkt zwischen den SIP Clients ablaufen allerdings ist nicht immer gew hrleistet dass ein Client auch erreichbar ist und immer dieselbe IP Adresse hat Daher meldet sich ein SIP Client in der Regel an einen SIP Server an der als Proxy fungiert Der SIP Proxy registriert die IP Adresse Wenn ein Anruf auf die SIP Adresse des SIP Clients erfolgt wird die SIP Adresse aufge l st und ermittelt wo der Client erreichbar ist Anschlie end wird der Anruf und alle anderen Anfragen an den Client weitergeleitet Der SIP Proxy fungiert demnach als Vermittler zwischen lokalen SIP Clients und externen SIP Providern oder Clients Dies umfasst nicht nur die SIP Datenfluss Steuerung der Standard Port f r SIP ist 5060 sondern auch das Streaming von Audiodaten F r den Transport dieser Echtzeitdaten ist das Real Time Transport Protocol RTP zust ndig Route other calls via Smarthost address Smarthost port Das Modul wurde mit den folgenden SIP Providern getestet Free IP Call Freenet FWD SimtTex Sipgate Stanaphone und Web de 340 System benutzen amp beobachten SIP Proxy definieren 1 2 ffnen Sie im Verzeichnis Proxies das Men SI
46. Anfragen an die Internet ROOT Nameserver geschickt Falls Ihr Internet Service Provider oder Sie selbst einen Nameserver betreiben sollte dieser eingetragen sein Abfragen an diesen lokalen Nameserver sind immer schneller als Anfragen an die ROOT Nameserver 336 System benutzen amp beobachten Die ROOT Nameserver sind ein fester Bestandteil des Internets 15 ROOT Nameserver sind weltweit verteilt und bilden die Ur Instanz f r alle untergeordneten Nameserver Tipp Selbst wenn Sie den DNS Proxy nicht benutzen m chten ist es sinn voll die Nameserver Ihres Internet Service Providers als Forwarder zu konfigurieren Diese werden dann auch bei abgeschaltetem Proxy von der Firewall selbst verwendet Damit wird zur Entlastung des ROOT Nameservers beigetragen und die Firewall erzeugt nur lokale Anfra gen die in der Regel schneller beantwortet werden DNS Proxy konfigurieren 1 2 ffnen Sie im Verzeichnis Proxies das Men DNS Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster F hren Sie die nachfolgenden Einstellungen durch Interfaces to listen on W hlen Sie die Netzwerkkarte aus ber die der DNS Proxy erreichbar sein soll In der Regel ist dies die interne Netzwerkkarte Die Netzwerkkarten werden im Men Network Interfaces kon figuriert Die Konfiguration einer Netzwerkkarte bzw Schnitt stelle wird in Kapitel 5 3 2 ab Seite
47. Anhand der entprechenden IP Adresse k nnen Sie dann die jeweilige Sys ID zuordnen Fahren Sie anschlie end beide Sicherheitssysteme herunter und verbinden Sie die Hardware Komponenten miteinander wie in der Grafik auf Seite 122 dargestellt 125 System benutzen amp beobachten 4 Sicherheitssystem 1 Normal Modus konfigurieren ffnen Sie im Verzeichnis System das Men High Availability Schalten Sie die Option durch einem Klick auf die Schaltfl che Enable bei Status ein Device Name Tragen Sie in das Eingabefeld einen eindeutigen Ger tenamen ein Dieser Namen dient Ihnen zur Orientierung welches der beiden Systeme zur Zeit im Normal Modus l uft Der Ger tenamen kann maximal 11 Zeichen lang sein Encryption Key Tragen Sie in das Eingabefeld ein Passwort ein N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 42z Network Interface Card W hlen Sie f r die Datentransfer Verbindung eine Netzwerkkarte Beispiel eth2 aus Zur Aus wahl stehen nur Netzwerkkarten die zuvor im Men Network Interfaces noch nicht konfiguriert wurden Die Netzwerkkarten m ssen auf beiden Systemen die gleiche e Sys ID haben z B eth 2 F r die berwachung mittels Heart Beat Anfrage w hlen Sie in diesem Auswahlfeld bei beiden Sys temen Normal Modus und Hot Standby Modus eine Netzwerk karte aus die diese Fu
48. Benutzertabelle dargestellt Weitere Funktionen Lokalen Benutzer editieren Durch einen Klick auf die Einstellungen in den Spalten Name Password PPTP Address und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten Lokalen Benutzer l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 149 System benutzen amp beobachten 5 2 4 Time Events Im Men Time Events werden einzelne single oder periodisch stattfindende Recurring Zeitintervalle definiert Time Events Total 4 entries definition 7 Name Start Time Stop Time After_Hours Recurring 18 00 23 59 All Daily Recurring S Test Single 2005 06 07 00 00 2005 06 08 23 59 S Weekend Recurring 00 00 23 59 Sat Sun workdays Recurring 06 00 23 59 Mon Tue Wed Thu Fri Diese definierten Time Events k nnen bei den folgenden Modulen genutzt werden e Im Paketfilter Packet Filter k nnen die Regeln f r den Daten verkehr f r bestimmte Zeitintervalle definiert werden e Im Content Filter Surf Protection k nnen in der Tabelle Profile Assignment f r den Zugriff auf den HTTP Proxy Zeitinter valle zugeteilt werden Es k nnen zwei Time Event Typen definiert werden e Recurring Das eingestellte Zeitintervall wiederholt sich perio disch Der Beginn und das Ende werden durch Uhrzeitangaben de finiert Das periodische Intervall wird durch Angabe der Wochen t
49. CA erstellen und verwalten Diese werden bei einer IPSec Verbindung zur Authentifizierung der Benutzer an den beiden Gegenstellen verwendet Die daf r verwen deten Informationen sind in den X 509 Zertifikaten gespeichert Sie k nnen aber auch Zertifikate verwenden die von kommerziellen Anbietern z B VeriSign signiert wurden Jedes Zertifikat ist in der CA hinsichtlich der darin verwendeten Informationen Name Firma Ort usw eindeutig Es kann kein zweites Zertifikat mit dem gleichen Inhalt erzeugt werden auch nicht wenn das Erste zuvor gel scht wurde Hinweis Mit dem Men CA Management sind Sie in der Lage drei ver schiedene Zertifikats Typen zu verwalten Diese k nnen wiederum f r verschiedene Zwecke eingesetzt werden Dies h ngt davon ab ob jeweils der Private Key mit abgespeichert wurde CA Certificate Authority Certificate Wenn ein CA ohne Private Key gespeichert wird kann dieses bei ankommenden IPSec Verbin dungen zur Authentifizierungs berpr fung des Host und Benutzer Zertifikats verwendet werden Ein solches CA wird als Verification CA bezeichnet Wenn im CA ein Private Key vorhanden ist kann es zum Signieren von Zertifikatsanfragen verwendet werden um daraus ein g ltiges Zertifikat zu erstellen Dieses CA wird dann Signing CA genannt Auf Ihrem System k nnen mehrere Verfication CAs vorhanden sein allerdings nur ein Signing CA Host CSR Certificate Signing Request Dies ist eine Zertifikat
50. Das nachfolgende Bild zeigt zwei Domain Profiles Profiles and domain group assignment Total 2 entries New profile Domain Groups Route target sender DIER list g 1 e Marketing Exchange Server 3 entries Use Deny SPF Use Use verify Verify RBLs RCPT fail BATY Greytsting recipient sender Hacks check S 2 e Reseller 1 Use MX records 0 entries Use Deng SPF Use Use Mere Verte Hacks echeck Die Funktionen von links nach rechts sind Domain Groups In diesem Feld w hlen Sie den Gruppennamen Group Name aus der Domain Groups Tabelle aus 307 System benutzen amp beobachten Route Target Alle E Mails f r diese Domain Gruppe m ssen an einen bestimmten Host weitergeleitet werden bliche Hosts sind in diesem Fall z B der Microsoft Exchange Server oder Lotus Notes Der Host muss zuvor im Men Definitions Networks de finiert werden Sie k nnen auch definieren dass E Mails an die angegebene Domain durch den MX Record zugeschickt werden Jedoch m ssen Sie zuvor sicherstellen dass die Firewall IP Adresse nicht selbst der prim re MX Record der Domain ist da sie keine E Mails an sich selbst ver schicken wird Die statisch definierten Routen bleiben auch nach dem Ausschalten des SMTP Proxy erhalten Der Mail Transfer Agent Exim ist in diesem Fall von au erhalb der Firewall nicht mehr erreichbar Exim wird al lerdings weiterhin ausgef hrt und versucht E Mails unter anderem auch die Notifications ber die
51. Der Name f r die IPSec VPN Verbindung IPSec SA Meldet den Status der IPSec SA rot inaktiv gelb wird ausgehandelt gr n aufgebaut ISAKMP SA Meldet den Status der ISAKMP SA rot inaktiv gelb wird ausgehandelt gr n aufgebaut Connection Type Der im Konfigurationstool WebAdmin eingestellte Verbindungs Typ 366 System benutzen amp beobachten VPNid Remote Gateway Die entfernte VPN ID wenn keine IP Adresse und die aktuelle IP Adresse der Gegenstelle IPSec System Information VPN Status Im Fenster VPN Status snow _ s re VPN Status wird der Status der aktiven Verschl s selungs Algorithmen alle aktiven IPSec Verbindungen und detaillierte Informationen zu jeder Security Association SA angezeigt VPN Routes Im Fenster VPN Routes werden alle aktiven IPSec SA Verbindungen angezeigt Solange hier keine Eintr ge vorhanden sind existieren keine IPSec Verbindungen Routing Eintr ge werden nach folgendem Schema angezeigt AB gt C gt D 3 192 168 105 0 24 gt 192 168 104 0 24 gt hold 8 192 168 105 0 24 gt 192 168 110 0 24 gt trap 0 192 168 105 0 24 gt 192 168 130 0 24 gt tun0x133a 233 23 43 1 Spalte A Anzahl der Pakete in dieser VPN Verbindung Spalte B Das lokale Sub Netzwerk oder den Host Spalte C Das entfernte Sub Netzwerk oder den Host Spalte D Der Status der VPN Verbindung trap Die Verbindung ist im Leerlauf und wartet bis ein Datenpaket
52. Drop down Men filtern Sie Re geln mit einer bestimmten Zieldresse Log Mit diesem Drop down Men filtern Sie Regeln die proto kolliert werden 251 System benutzen amp beobachten Comment Falls Sie Regeln mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anscchlie end werden nur die gefilterteten Paketfilterregeln in der Ta belle angezeigt Nach Verlassen des Men s wird wieder das voll st ndige Regelwerk dargestellt Quality of Service QoS Internet Die bertragungsleistung eines Leitungs MR Router systems wird als Bandbreite bezeichnet und le wird hier in kBit s angegeben Falls die an j V fallende Datenmenge die Leistungsgrenze berschreitet kann die Kommunikation ent Web Server Hb weder sehr langsam werden oder sogar bw 2MBit s Dee o g nzlich zusammenbrechen 100 MBit s S P In der linken Grafik ist z B ein Netzwerk D D D mit einem Web Server und einem FTP 100 MBit s Server dargestellt Beide Server teilen sich FTP Server Firewall eine 2 MBit Leitung zum Internet Protokoll bedingt nutzen TCP basierende Aplikationen z B FTP immer die volle Bandbreite Dies kann zur Folge haben dass f r den Web Server nicht mehr genug Bandbreite zur Verf gung steht Mit der Quality of Service QoS Funktionalit t k nnen Sie den Verbindungen f
53. Filter durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet Per Default enth lt die Tabelle Profiles ein Blanko Surf Pro tection Profile Um ein neues Blanko Surf Protection Profile in die Tabelle einzuf gen klicken Sie auf die Schaltfl che Add blank Profile Anschlie end k nnen Sie das Surf Protection Profile editieren Surf Protection Profile editieren 1 Gehen Sie in der Tabelle Profiles zu dem Surf Protection Profile das Sie editieren m chten Tragen Sie in das Feld Name einen eindeutigen Namen f r das Surf Protection Profile ein F hren Sie die Einstellungen f r die Funktionsgruppe Surf Pro tection Categories in der nachfolgend aufgef hrten Reihenfolge durch Block SP Categories W hlen Sie in diesem Feld die Themen der Internetseiten aus die von Ihrem Netzwerk aus nicht ge ffnet werden sollen 297 System benutzen amp beobachten 298 URL Whitelist Tragen Sie in die Zugriffskontrollliste die Inter netadressen ein auf die der Zugriff erlaubt ist obwohl sie einem Thema im Feld Surf Protection Categories entspricht URL Blacklist Tragen Sie in die Zugriffskontrollliste die Inter netadressen ein auf die der Zugriff nicht erlaubt ist obwohl sie keinem der Themen im Feld Surf Protection Categories entsprechen N Sicherheitshinweis Beim HTTP Protokoll wird der Header vom HTTP Cache Proxy Squid gefilt
54. Firewall gefiltert werden sollen Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben 317 System benutzen amp beobachten Virus Protection Mit dem Modul Virus Protection werden E Mails und Anh nge Attachments auf gef hrliche Inhalte z B Viren und Trojanische Pferde untersucht Der Scanvorgang wird im E Mail Header vermerkt Falls Virus Protection eine infizierte E Mail entdeckt wird diese von der Firewall gefiltert Die weitere Behandlung der E Mail h ngt von der Einstellung im Drop down Men Action ab Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absender adresse schicken Blackhole Die E Mail wird angenommen und sofort gel scht Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen Warn Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail P
55. Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 System benutzen amp beobachten Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt Die neue virtuelle Schnittstelle wird auch in der Tabelle Hardware Device Overview angezeigt da dieser ebenso wie einer Standard Ethernet Netzwerkarte eine zus tzliche IP Adresse zugeordnet wer den kann IP Aliase Die Sys ID dieser virtuellen Schnittstelle setzt sich aus der Sys ID der verwendeten Netzwerkkarte und des zuge teilten Tag zusammen 173 System benutzen amp beobachten 5 3 2 4 PPPOE DSL Verbindung Diesen Schnittstellen Typ ben tigen Sie wenn Sie eine DSL Verbindung zum Internet mit dem Protokoll es PPP over Ethernet auf Password bauen m chten F r die bes Konfiguration ben tigen Sie er z die DSL Zugangsdaten in klusive Passwort Die Daten erhalten Sie von Ihrem In ternet Service Provider Default Gateway Hinweis Die Installation und die n tigen Einstellungen am Internet Sicher heitssystem speziell f r den Internet Zugang mit T DSL Telekom Deutschland wird im Leitfaden Netzwerk mit T DSL erkl r
56. Grund m glichst eingeschaltet werden Wichtiger Hinweis Einige Mail Server z B Lotus Domino haben teilweise Fehler in ihrer TLS Konfiguration Diese Mail Server k ndigen beim Verbin dungsaufbau TLS an obwohl sie durch eine unvollst ndige Konfigura tion nicht in der Lage sind eine TLS Sitzung aufzubauen Wenn TLS eingeschaltet ist k nnen keine E Mails an diese Server verschickt werden Bitte kontaktieren Sie in solch einem Fall die Administratoren dieser Mail Server Bitte verwenden Sie in den SMTP Authentifizierungseinstellungen des Clients nicht die Funktion SPA Secure Password Authentication Dies ist eine alternative Verschl sselungsmethode die von der Firewall nicht unterst tzt wird Verwenden Sie stattdessen eine unverschl s selte Authentifizierungsmethode und schalten zus tzlich f r ausge hende E Mails das TLS oder SSL Protokoll ein Mit dem Auswahlfeld Authentication Methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men System User 327 System benutzen amp beobachten Authentication konfiguriert haben Die lokalen Benutzer Users werden im Men Definitions Users verwaltet Global Whitelist Mit dem Auswahlfeld kann eine Global Whitelist mit vertrau ensw rdigen Hosts oder Netz werken definiert werden die in diesem Fall von den folgenden Funktionen ausgeschlossen werden e Virus Prote
57. INI Datei Durch einen Klick auf das Download Symbol k nnen Sie diese INI Datei herunterladen und in eine IPSec Client Anwendung mit entsprechender Profil Import 382 System benutzen amp beobachten Funktion z B Astaro Secure Client V8 3 einlesen Die User Config Datei enth lt als Ausweichl sung die Standard Algo rithmen falls f r die IPSec VPN Verbindung eine Verschl sselung oder ein Authentisierungs Algorithmus eingestellt wurde der von der IPSec Client Anwendung nicht unterst tzt wird Beachten Sie dass Sie f r die Konfiguration des Road Warrior Clients auch die Container Datei PKCS 12 mit den Zertifikaten ben tigen Die Container Datei wird im Men IPSec VPN CA Management er stellt und kann dort auch heruntergeladen werden Das Men CA Management wird in Kapitel 5 7 6 ab Seite 389 beschrieben j Das Einrichten des Astaro Secure Client V8 3 wird im zugeh St rigen Benutzerhandbuch und im Configuration Guide beschrie ben Sie finden die aktuellen Handb cher und Guides unter der Internetadresse http www astaro com kb New Remote IPSec Key F r jede IPSec VPN Gegenstelle muss ein IPSec Remote Key Ob jekt definiert werden Die neuen Remote Key Objekte werden im Fenster Remote IPSec Key definiert IPSec Remote Key definieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Remote Keys Das Fenster New Remote IPSec Key wird angezeigt 2 Tragen Sie in das Eingabefeld Name einen Namen f r den
58. License expiry A feature is expired Das Abo f r eine Sicherheitsanwendung ist abge laufen Weitere Informationen sind in der Noti fication E Mail enthalten 431 System benutzen amp beobachten 025 040 050 051 053 062 063 432 License usage Above 80 of User Count on Astaro Security Gateway Lizenznutzung Die Anzahl der Benutzer ist bei dieser Lizenz begrenzt Zum aktuellen Zeitpunkt sind mehr als 80 der verf gbaren IP Adressen vergeben Die Angaben zu Ihrer Lizenz finden Sie im Men System Licensing Di Benutzer werden anhand ihrer IP Adresse im Fenster Licensed Users auf gelistet Remote Configuration Manager system informa tion UPS device connected Ein UPS Ger t wurde angeschlossen und vom Sicherheitssystem erkannt UPS device disconnected Das UPS Ger t wurde vom USB Port getrennt UPS power restored Die Spannungsversorgung des UPS Ger ts ist wie derhergestellt RAID rebuild process started Die RAID Festplatte wird nun wiederhergestellt Der aktuelle Stand des Vorgangs wird im Men Reporting Advanced angezeigt RAID rebuild process finished Der Vorgang zur Wiederherstellung der RAID Fest platte ist abgeschlossen Ihr RAID Festplatten system ist wieder in Funktion 080 081 082 083 084 System benutzen amp beobachten HA check Version conflict Trying System Up2Date Eine HA berpr f
59. Log Dateien werden die Aktivit ten des Moduls Up2Date Service protokolliert Dies beinhaltet die System und die Pattern Up2Date Prozesse Uplink Failover daemon In diesen Log Dateien werden die Akti vit ten der konfigurierten Ausfallsicherungen Auf den Netzwerkkarten protokolliert User authentication daemon In diesen Log Dateien werden die Aktivit ten des AUA Daemon protokolliert AUA wird f r diverse Dienste als zentraler Authentifizierungs Daemon eingesetzt 430 System benutzen amp beobachten WebAdmin In diesen Log Dateien wird die Nutzung des Konfi gurationstools WebAdmin protokolliert Die Protokolle beinhalten die ber das Konfigurationstool durchgef hrten Einstellungs nderungen sowie die Ein und Auslog Prozesse 5 10 3 2 Notification Codes Hier sind alle Fehler Warnungs und Informations Codes aufgef hrt INFO 000 System was restarted Das System wurde neu gestartet gebootet 010 Configuration Auto Backup Eine Backup Datei wurde vom System automatisch generiert und per E Mail an den Administrator verschickt 020 License expiry A feature will expir Das Abo f r eine Sicherheitsanwendung l uft in k rze ab Weitere Informationen sind in der No tification E Mail enthalten 021 License expiry A feature expires today Das Abo f r eine Sicherheitsanwendung l uft heu te ab Weitere Informationen sind in der Notifi cation E Mail enthalten 022
60. Men Definitions Networks definiert 341 System benutzen amp beobachten 342 Definieren Sie im Fenster Call Routing wie die Weiterleitung der SIP Anrufe durchgef hrt werden soll 4 1 Static SIP Route Falls die SIP Anrufe statisch weitergeleitet werden sollen klicken Sie auf die Schaltfl che Add static SIP route Anschlie end wird in die Tabelle Static SIP Route eine Blanko Zeile eigef gt ffnen Sie in der Spalte SIP Domain durch einen Klick auf die Standardeinstellung das Eingabefeld und Tragen Sie ihre Domain z B freenet de ein Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save ffnen Sie in der Spalte Target Host Port durch einen Klick auf die Meldung das Eingabefeld und Tragen Sie den Ziel Host und den Port z B iphone freenet de 5060 ein Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save Die statischen IP Routes werden wieder aus der Tabelle ent fernt wenn Sie in der entsprechenden Zeile auf das Papierkorb Symbol klicken 4 2 DNS SRV Host lookup Diese Einstellung wird ben tigt um andere SIP Provider oder Clients zu erreichen Standardm ig ist diese Einstellung einge schaltet 4 3 Smarthost Mit dieser Einstellung k nnen Sie f r die Weiterleitung der SIP Anrufe einen speziellen Smarthhost definieren Dies ist genau genommen ein SIP Proxy der vor das Sicherheitssystem ge schaltet wird Wenn Sie im Drop down Men Smarthost ausge w hlt haben we
61. Protection Profile ist nun ediert Weisen Sie nun das Profile in der Tabelle Profile Assignment einem Netzwerk Network oder einem lokalen Benutzer Local User zu 299 System benutzen amp beobachten Die Profile Assignment Tabelle In der Tabelle Profile Assignment werden die Surf Protection Profiles aus der Tabelle Profiles den lokalen Benutzern Local Users oder Netzwerken Networks zugewiesen Damit ein Surf Protection Profile einem lokalen Benutzer zugewiesen werden kann muss der HTTP Proxy im User Authentication Modus betrieben werden Einem Netzwerk hingegen kann in jedem Betriebs modus ein Profile zugewiesen werden Wichtiger Hinweis Wenn Sie einem Profile gleichzeitig einen lokalen Benutzer und ein Netzwerk zuweisen dann wird das Profile nur wirksam wenn der Benutzer auch aus dem eingestellten Netzwerk auf den HTTP Proxy zugreift Einem lokalen Benutzer oder einem Netzwerk kann immer nur ein Surf Protection Profile zugeordnet werden Wenn Sie im Fenster Global Settings den Betriebsmodus User Au thentication eingestellt haben wird ber der Tabelle Profile Assign ment das Drop down Men Profile Assignment via angezeigt Per Default ist Local Users Network blocks eingestellt Die Funktionen Das nachfolgende Bild zeigt eine Profile Zuweisung Profile Assignment Total 1 entries Add blank Assignment A Profile Name S Directory Groups Assigned local Users Assigned Network Blocks 8 DI Example
62. Proxy Content aktualisieren m chten w hlen Sie im Drop down Men Please select die Aktion Refresh proxy content table aus Der ausgew hlte Typ wird ohne eine nochmalige Sicherheitsabfrage Achtung gel scht 350 System benutzen amp beobachten Filters Mit der Funktion Filters k nnen Sie aus der Tabelle E Mails mit bestimmten Attributen herausfiltern Diese Funktion erleichtert das Managen von gro en Netzwerken da Protokolle eines bestimmten Typs bersichtlich dargestellt werden k nnen E Mails filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Type Falls Sie E Mails eines bestimmten Typs filtern m chten w hlen Sie diese im Drop down Men aus Status Falls Sie E Mails mit einem bestimmten Status filtern m chten w hlen Sie diese im Drop down Men aus Content Filter Type Mit diesem Drop down Men filtern Sie E Mails die mit einer bestimmten Funktion aus dem Content Filter gefiltert wurden Sender Mit diesem Drop down Men filtern Sie E Mails mit einer bestimmten Absenderadresse Recipient s Mit diesem Drop down Men filtern Sie E Mails mit einer bestimmten Empf ngeradresse Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten E Mails in
63. Reporting Funktionen 5 5 1 Rules Packet Filter Rules Total 2 er Na Ru DO Im Men Rules verwalten a serrer Sie das Paketfilterregelwerk Die Regeln werden mit Hilfe der definierten Netzwerke Networks und Dienste Services gesetzt Add Definition D 9 1 Iesel OB O Inkermal Notwork 8 POP3 ie E An Y E Mail POP 3 Beim Einsatz von Paketfiltern unterscheidet man zwei grundlegende Arten der Security Policy e Alle Pakete passieren dem Regelwerk muss ausdr cklich mitge teilt werden was verboten ist e Alle Pakete werden geblockt das Regelwerk braucht Informatio nen welche Pakete passieren d rfen Die Firewall dieses Internet Sicherheitssystems ist fest auf die Varian te Alle Pakete werden geblockt voreingestellt da mit diesem Vor gehen eine viel h here Sicherheit erreicht werden kann F r den t gli chen Umgang bedeutet dies dass Sie ausdr cklich definieren welche IP Pakete den Filter passieren d rfen Alle brigen Pakete werden geblockt und anschlie end im Packet Filter Live Log angezeigt Das 243 System benutzen amp beobachten Packet Filter Live Log kann in diesem Men durch einen Klick auf die Schaltfl che Live Log oder im Men Packet Filter Advanced ge ffnet werden Die Funktionen im Packet Filter Live Log werden in Kapitel 5 5 3 ab Seite 260 beschrieben Beispiel Netzwerk A ist ein Sub Netzwerk von Netzwerk B In Regel 1 wird der Dienst SMTP
64. SES Mit dieser Funktion ge SEE neriert das Sicherheits system spezielle Historical Log Files die vom Astaro Report Manager importiert und ausgewertet werden k nnen Download historical ARM logs Generate Historical ARM Logs Durch einen Klick auf die Schalt fl che Start werden alle t glich erzeugten Log Files aus dem Archiv in einem Historical Log File zusammengefasst Nee Die Generierungsprozess wird Start time Sat Oct Merging og filo archivas into ARM log filos im Fenster ARM Log File arm merge all pk starting to work on the log fie archivo Merger angezeigt Der Pro zess wurde erfolgreich abge Ce schlossen wenn in diesem u Fenster nur die Meldung arm merge all pl finished exiting erscheint Falls der eege Prozess nicht erfolgreich be sid 1 Ken zat ras lon anaaro ON rasnae e endet wurde erscheint zu s tzlich zu der Meldung der Grund des Abbruchs z B not enough free space availabale exiting falls der Speicherplatz auf der Festplatte nicht ausricht total space for partition space used by var log space availal estimated sp SEn Merger pl working on day processed 13 files for v ara aarger pl finished exit arm nerger pl working on day 20 processed 14 files for var log arm 2004 04 arm20940402 ge arm nerger pl finished exiting EI working on 4 03 eg 1 files Eet var 10g arm 3004 04 ara20940409 gE pi finished exiting Ata aarger pl w
65. Schritt 4 W hlen Sie mit den Cursor Tasten das Land aus und best tigen Sie dies mit der Enter Taste W hlen Sie mit den Cursor Tasten die Zeitzone aus und best tigen Sie dies mit der Enter Taste Tragen Sie anschlie end in die Eingabefelder das aktuelle Datum und die Uhrzeit ein Sie k nnen mit der Tab Taste und den Cursor Tasten zwischen den Eingabefeldern wechseln Ung ltige Eingaben werden nicht bernommen Best tigen Sie die Eingaben mit der Enter Taste Netzwerkkarte ausw hlen und konfigurieren Schritt 5 Damit Sie nach der Software Installation das Internet Sicher heitssystem mit dem Tool WebAdmin konfigurieren k nnen m ssen Sie eine Netzwerkkarte definieren Diese Netzwerkkarte ist sp ter die interne Netzwerkkarte eth0 W hlen Sie aus den verf gbaren Netzwerkkarten eine aus und best tigen Sie die Auswahl mit der Enter Taste Definieren Sie anschlie end f r diese Netzwerkkarte die IP Adresse die Netzwerkmaske und das Gateway Default Gateway Beispiel Address 192 168 2 100 Netmask 255 255 255 0 Den Gateway m ssen Sie eingeben wenn Sie mit einem PC auf das Konfigurationstool WebAdmin zugreifen m chten der au erhalb des Netzwerkbereichs liegt Beachten Sie dabei dass das Gateway innerhalb des Netzwerkbereichs liegen muss 27 Installation Bei der Netzwerkmaske 255 255 255 0 wird das Sub Netzwerk durch die ersten drei Werte definiert In unserem Beispiel lautet der relevante Bereich
66. Schutzmecha 2 Deialiiklaye Network Level nismen und vereinigt die Vorteile herne aller Varianten 1 Physical Layer Die Stateful Inspection Packet Filter Funktionalit t bietet plattformunabh ngig die n tige Flexibilit t um alle n tigen Dienste definieren freischalten oder sperren zu k nnen Vorhandene Proxies machen dieses Internet Sicherheitssystem zum Application Gateway der die wichtigsten Endsystemdienste wie HTTP Mail und DNS durch Stellvertreter absichert und zudem durch SOCKS generisches Circuit Level Proxying erm glicht 18 Einf hrung in die Technologie VPN SNAT DNAT Masquerading und die M glichkeit statische Routen zu definieren erweitern die dedizierte Firewall zu einem leistungsf higen Knoten und Kontrollpunkt in Ihrem Netzwerk 19 Installation 3 Installation Die Installation des Internet Sicherheitssystems gliedert sich in zwei Teile Der erste Teil beinhaltet das Einspielen der Software dies f hren Sie im Installationsmen durch Der zweite Teil ist die Kon figuration des Internet Sicherheitssystems und erfolgt im web basierten Konfigurationstool WebAdmin von Ihrem Arbeitsplatz aus Hinweise zur Funktionalit t des WebAdmin entnehmen Sie der Online Help Die Hilfe wird ber die Schalt fl che ge ffnet Die Online Help steht auf englischer Sprache zur Verf gung Auf den folgenden Seiten k nnen Sie die Daten zur Konfiguration z B das Default Gateway un
67. Setzen Sie sich mit dem Support Ihres Sicherheitssys tem Anbieters in Verbindung System Up2Date failed Could not extract tar Die tar Datei konnte nicht xtrahiert werden Bitte starten Sie den Vorgang von neuem Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Main Up2Date package not found Das System Update ist fehlgeschlagen da das Main Up2Date Paket nicht gefunden wurde Bitte starten Sie den Vorgang von neuem Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung 455 System benutzen amp beobachten 339 340 341 342 343 456 System Up2Date failed Version conflict Das System Update ist aufgrund eines Versions konflikts fehlgeschlagen Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbie ters in Verbindung System Up2Dat failed Pre Stop Services script failed Das System Update ist fehlgeschlagen Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Post Stop Services script failed Das System Update ist fehlgeschlagen Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Pre Start Services script failed Das System Update ist
68. Sie im Fenster Create a Backup in das Eingabefeld Comment einen Kommentar ein Wenn Sie sp ter das Backup wieder einspielen erscheint der Kommentar in der Information Falls die Funktion Encryption eingeschaltet ist wird die Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwort wieder eingespielt werden Wichtiger Hinweis 3 Um die Backup Datei zu erzeugen klicken Sie auf die Schalt fl che Start Das System generiert nun die Backup Datei Wenn die Meldung Backup has been created successfully erscheint wurde der Vorgang erfolgreich abgeschlossen 4 Um die Backup Datei auf Ihren lokalen PC zu speichern klicken Sie nun auf die Schaltfl che Save 5 W hlen Sie in dem Men Dateidownload die Option Datei auf Datentr ger speichern aus und klicken Sie auf die Schaltfl che OK 72 System benutzen amp beobachten Im Men Datei speichern unter k nnen Sie die Datei nun unter einem beliebigen Dateinamen speichern Der vom Sicherheitssystem erzeugte Dateinamen setzt sich aus Backup Datum und Uhrzeit zusammen backup_yyyymmdd_hhmmss abf astaro backup file Pr fen Sie die neu generierte Datei auf Lesbarkeit indem Sie die Backup Datei importieren und auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information Brechen Sie anschlie end den Einspielv
69. Typ POP3 ist es die Adresse aus dem From Header der E Mail Wenn keine Absenderadresse Envelope Sender angezeigt wird erh lt die E Mail den Zusatzstatus Bounce Eine Bounce Nachricht ist eine Fehlermeldung die von einem Mail Server automatisch erstellt wird wenn eine E Mail nicht an den Emp f nger zugestellt werden kann Diese Fehlermeldung wird an den Absender der unzustellbaren E Mail gesendet und hat selbst einen leeren Envelope Sender Meldung lt gt um eine endlose Weiterleitung zu verhindern Wenn die E Mail Adresse eines Absenders zu lang ist wird sie in der Spalte Sender gek rzt dargestellt Falls Sie die komplette Adresse ben tigen k nnen Sie durch einen Klick auf die Mail ID in der Spalte Type den Inhalt der Nachricht ffnen dort wird dann auch die ganze E Mail Adresse des Absenders angezeigt Wenn der Content Filter eine E Mail blockiert hat bei der es sich eventuell um eine Phishing Mail handelt so wird dies angezeigt wenn Sie mit der Maus die Zelle mit der Meldung VP ber hren Mit diesen Phishing Mails locken Betr ger auf gef lschte Internet seiten und fordern Sie z B auf Angaben ber Passw rter und Zu gangsinformationen zu Ihrem Online Banking zu machen Recipient s In dieser Spalte wird der Empf nger der E Mail ange zeigt Beim Typ SMTP ist dies eine Liste aller Empf ngeradressen auf dem Umschlag Bei den E Mails mit dem Status deferred zur ck gestellt wird f r jeden Empf nge
70. Users sain 59 Llcensing nennen 56 Licensing Information 59 Lizenzierung sense 56 Load Balancing Einleitumng 204 Regel definieren 205 Regel editieren 206 Regel l schen 206 Local Logs Browse neccen 422 Einleitumng 417 filtern aa 425 Filterscnasa na anaa 425 Local Log File Archive 418 Local Log File Level konfigurieren 418 Local Log File Query 421 Log Files a 426 Log Files l schen nach Zeitepannel 418 Remote Log File Archive 419 Setting 417 Suchanfrage starten 421 Wipe Local Log File Archives SER EEE STORE PIERRE 421 Local Users risiinnyrriirecins 85 Log Files Accounting Data 426 Admin Notifications 426 Boot Messages 426 Configuration Daemon 426 Content Filter 426 DHCP Server 426 DNS Proxy 426 Fallback Messages 427 478 High Availability 427 HTTP accessed sites 427 HTTP blocked sites 427 HTTP Daemon 427 HTTP Bros 427 Intrusion Protection 427 Intrusion Protection System ER 427 IPSec VPN ecc 427 Kernel Messages 427 License Information 428 Local Logins 428 Logging Subsystem 428 MiddleWare 428 Network Accounting Daemon 22444 428 Packet Filter 428 POP3 Proxy 428 Portscan u ee 428 PPP Daemon sac 429 PPPOA We
71. alicd wird nicht ausgef hrt ein Restart wurde durchgef hrt ulogd not running restarted ulogd wird nicht ausgef hrt ein Restart wurde durchgef hrt snort not running restarted snort wird nicht ausgef hrt ein Restart wurde durchgef hrt snmpd daemon not running restarted Der snmpd Daemon wird nicht ausgef hrt ein Restart wurde durchgef hrt pop3 daemon not running restarted Der pop3 Daemon wird nicht ausgef hrt ein Restart wurde durchgef hrt 435 System benutzen amp beobachten 118 119 120 121 122 123 124 125 126 436 hyperdyper daemon not running restarted Der hyperdyper Daemon wird nicht ein Restart wurde durchgef hrt named not running restarted named wird nicht ausgef hrt durchgef hrt sockd not running restarted sockd wird nicht ausgef hrt durchgef hrt identd not running restarted identd wird nicht ausgef hrt durchgef hrt dhepd not running restarted dhepd wird nicht ausgef hrt durchgef hrt nacctp not running restarted nacctp wird nicht ausgef hrt durchgef hrt ufod not running restarted ufod wird nicht ausgef hrt durchgef hrt smtpd not running restarted smtpd wird nicht ausgef hrt durchgef hrt dyndns not running restarted ein Restart ein Restart ein Restart ein Restart ein Restart ein Restart ein Restart dyndns wird nicht ausgef hrt
72. beendet wenn im Fenster die Meldung DONE erscheint System Up2Date auf HA L sung installieren 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 W hlen Sie in der Tabelle Unapplied Up2Dates Master das Up2Date Paket aus Hinweis Falls die Tabelle mehr als ein System Up2Date Paket enth lt starten Sie die Installation mit der kleinsten Version Auf dem HA System kann immer nur ein Paket installiert werden 64 System benutzen amp beobachten Klicken Sie nun in der Spalte Actions auf Install Die Installation des Up2Date Pakets auf dem System 1 wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolg reich beendet wenn im Fenster die Meldung DONE erscheint Anschlie end wird die Installation automatisch auf dem System 2 gestartet In der Tabelle Unapplied Up2Dates Slave wird w h rend des Vorgangs das Up2Date Paket und die Meldung Polled by slave angezeigt Die Installation auf dem System 2 wurde erfolgreich beendet wenn in der Tabelle wieder die Meldung No locally stored Up2Date packages available erscheint Falls in der Tabelle Unapplied Up2Dates Master noch Up2 Date Pakete angezeigt werden wiederholen Sie die Schritte 2 und 3 solange bis keine Up2Date Pakete mehr verf gbar sind Auf dem HA System wurden alle verf gbaren Up2Date Pakete installiert wenn in der Tabelle Unapplied Up2Dates Master die Meldung No locally stored Up2Date packages available erscheint und die angezeigten Ver
73. blockiert detaillierte Informationen f Content blocked The tom you have requested e infected by a vrus It w not be dowriioaded urt tetp ijuma ekar comidonnioadjeicar com txt Virus name EKAR Test Fie Details Accept Ranges Content Length Content Type ETag Last Modified Prony Connection X Cache protocol wc address user profile Iert content type last scanner virus transport status virusscan status virus name virus infected scanner socket address Res aad bytes T EI elle charset is0 8859 1 Wed 23 Feb 2005 14 25 43 GMT ODE Tun 03 Aug 2004 15 23 41 GMT dose Apache 1 3 26 Unix Debian GM pt mod zg 8 3 OpenSst 0 9 6c PHPI4 3 0 HET from vtoromar 2 intranet astaro de hto 192 168 2 1 response regen pelen ge comjdowrioadjeicar combot Aer ise ze Recemved 68 bytes MOS agste vakdated Veus detected EICAR Test Fie 310 Receung 68 bytes 311 Received 68 bytes MOS signature valdatod 322 Ela et rie 230 Fle is infected EICAR Test Ple yes b igopst fetcimeed vrus_report ust Aen R is 9 127 0 0 1 9001 e 463 System benutzen amp beobachten Internetseite wurde vom Surf Protection blockiert detaillierte Informationen Details ur bmt www banse dei mathea Ger protest hip per prett profile fetzen attert neben e entegery name General News Newspapers I Magen categorynumber 39 category name FT Security TT Information last s
74. brO angezeigt Obwohl der Datenverkehr transparent ber die an der Bridge beteiligten Netz werkkarten gef hrt wird muss dieser durch entsprechende Paket filterregeln explizit erlaubt werden Die Paketfilterregeln werden im Men Packet Filter Rules gesetzt Bridging definieren 1 ffnen Sie im Verzeichnis Network das Men Bridging 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n 3 W hlen Sie im Auswahlfeld Member Interfaces die Netzwerk karten zu den entsprechenden Netzwerken aus W hlen Sie mindestens zwei Netzwerkkarten aus F r das Bridging kann nur eine bereits konfigurierte Netzwerkkarte aus gew hlt werden Die Bridge wird anschlie end alle auf dieser 191 System benutzen amp beobachten Netzwerkkarte definierten Adressen wie z B Additional Ad dresses oder VLAN Einstellungen bernehmen Falls Sie f r das Bridging nur unkonfigurierte Netzwerkkarten ausgew hlt haben k nnen Sie die Definition der IP Adressen auch nachtr glich im Men Network Interfaces durchf hren 4 Starten Sie die Funktion durch einen Klick auf die Schaltfl che Start Die Netzwerkkarten werden nun miteinander verbunden und die Bridge wird aktiviert Die ausgew hlten Netzwerkkarten werden in der Tabelle Current Bridged Interfaces angezeigt Anschlie end stehen Ihnen in dieser Tabelle weitere Funktionen zur Verf gung Weitere Funktionen Netzwerkkarte hinzuf
75. che Save Sicherheitshinweis ai Solange die Funktion LDAP Authentication by Attribute ausgeschaltet ist k nnen alle Benutzer die im Verzeichnis dienst einen eindeutigen DN und ein g ltiges Passwort ha ben die Proxies HTTP SMTP und SOCKS verwenden sowie auf das Konfigurationstool WebAdmin zugreifen System benutzen amp beobachten LDAP erweiterte Authentifizierung 1 5 Schalten Sie die Funktion LDAP Authentication by Attribute durch einem Klick auf die Schaltfl che Enable bei Status ein W hlen Sie im Drop down Men Service den Dienst aus Die m glichen Dienste sind HTTP SMTP SOCKS und Web Admin Tragen Sie in das Eingabefeld Attribute Name den Attribut namen ein Falls Sie einen Microsoft Active Directory Server verwenden und den Abfrage Typ MemberOf konfiguriert haben ist dies der Name der entsprechenden Security Group Beispiel socks_ users Tragen Sie in das Eingabefeld Attribute Value den Attributwert ein Der Attributwert ist der DN BETT alaiz Se Se em csu c Bei Microsoft Active Direc v o Oa X ep ES E p mm tory wird der DN des Attri Z buts ber die Management m Bone Console im Verzeichnis ADSI Edit angezeigt W hlen Sie ber den Base ee DN Beispiel dc example 1 dc com den Attributnamen i Beispiel socks _users aus und klicken darauf mit der rechten Maustaste Das Fenster CN socks_users Properties wird ge ffnet W hlen Sie nun im Drop
76. dann die Meldung dass das Zertifikat abgelaufen sei Diese Meldung ist nicht richtig Das neu generierte Zertifikat wird nach maximal 12 Stunden g ltig 121 System benutzen amp beobachten 5 1 11 High Availability Der h ufigste Grund f r den Ausfall eines Internet Sicherheitssys tems bzw einer Firewall ist ein Defekt der Hardware z B des Netz teils der Festplatte oder des Prozessors Bei diesem High Avail ability HA System werden zwei Sicherheitssysteme mit identischer Hardware parallel geschaltet Das Sicherheitssystem 1 l uft im Nor mal Modus Master Das Sicherheitssystem 2 befindet sich im Hot Standby Modus Slave und berwacht das aktive System ber die Datentransfer Leitung mittels Link Beat Das Sicherheitssystem 1 schickt ber diese Verbindung in regelm igen Abst nden Heart Beat Anfragen die vom System 2 beantwortet werden ber die Daten transfer Leitung wird das Sicherheitssystem 2 bei Bedarf auch aktuali siert damit es bei einem Ausfall des aktiven Systems sofort deren Funktion bernehmen kann In der Grafik ist eine Netzwerkarchitektur mit einem High Availability HA System dargestellt an die ein internes Netzwerk und eine DMZ angeschlossen sind In der Installationsanleitung wird beschrieben wie ein privates Netzwerk an das HA System angeschlossen wird Externes Netzwerk Es Router JE W Internet Internes Netzwerk LAN DMZ ES SE Hot Standby M
77. eh mit Ihrem lokalen Netzwerk Mit Ausnahme der internen Netzwerkkarte eth0 wird die Reihenfolge der Netzwerkkarten in erster Linie durch die PCI ID und den Kernel Treiber bestimmt Die Reihenfolge der Netzwerkkartenbenennung kann sich auch sp ter durch nderung der Hardwarekonfiguration z B durch das Hinzuf gen oder Entfernen von Netzwerkkarten und der damit verbundenen Neuinstallation ndern Internet Sicherheitssystem neu starten Starten Sie das Internet Sicherheitssystem mit der Tastenkombi nation Strg Alt Entf oder durch Reset neu W hrend des Boot Vorgangs wird die IP Adresse der internen Netzwerkkarte neu gesetzt daher kann auf der Konsole Install Routine Alt F1 f r kurze Zeit die Meldung No IP on eth0 angezeigt werden Nachdem das Internet Sicherheitssystem neu gestartet ist je nach Hardware dauert dies bis zu f nf Minuten sollten Sie mittels Ping die IP Adresse der ethO Netzwerkkarte erreichen Falls keine Verbindung zustande kommt pr fen Sie bitte Ihr System auf die nachfolgenden m glichen Fehlerquellen 29 Installation Fehler Sie erreichen das Internet Sicherheitssystem nicht vom lokalen Netzwerk M gliche Fehlerursachen IP Adresse des Internet Sicherheitssystems ist nicht kor rekt gesetzt IP Adresse am Client Rechner ist nicht korrekt gesetzt Default Gateway am Client Rechner ist nicht korrekt ge setzt Netzwerkkabel ist mit der falschen Netzwerkkarte ver bunden Al
78. ein getroffen ist Status Die Stati der E Mails im Proxy Content Manager werden durch Symbole angezeigt deferred zur ckgestellt Die E Mail wird an die Emp f ngeradresse versendet Falls eine E Mail mit diesem Status l ngere Zeit auf der Firewall liegen bleibt so deutet dies auf tem por re Probleme auf dem Zielhost hin Die E Mail wird ausgeliefert sobald der Zielhost wieder in der Lage ist sie anzunehmen e quarantined gesperrt Die E Mail wurde aufgrund der Ein stellung Quarantine in einer der Content Filter Funktionen in Quarant ne genommen In der E Mail wurden unerw nschte oder f r Ihr System sogar gef hrliche Komponenten z B Viren ent deckt E Mails mit diesem Status verbleiben in der Tabelle bis sie von Ihnen gel scht oder explizit versendet werden Bei den in Quarant ne gehaltenen E Mails wird in der Spalte rechts neben dem Statussymbol angezeigt durch welche Funktion die Nachricht gesperrt wurde SP Spam Protection VP Virus Protection FILE File Extention Filter EXP Expression Filter MI ME MIME Error Checking e permanent error andauernder Fehler Bei dieser E Mail besteht ein permanenter Fehler Die Nachricht kann nicht an den Empf nger zugestellt und auch nicht an den Absender zur ckge schickt werden 348 System benutzen amp beobachten Sender In dieser Spalte wird der Absender der E Mail angezeigt Beim Typ SMTP ist dies die Absenderadresse auf dem Umschlag Beim
79. ein nach der die Log Files automatisch vom Sicherheitssystem gel scht werden Log Files Level konfigurieren F r jede Stufe k nnen folgende Einstellungen durchgef hrt werden When Usage reaches Stellen Sie hier ein bei welcher prozentualen Auslastung der Partition vom System eine Aktion ausgef hrt wird do this Stellen Sie in diesem Auswahlmen die Aktion ein Die verf gbaren Aktionen sind e Delete oldest Log Files Die ltesten Log Files werden vom In ternet Sicherheitssystem automatisch gel scht Der Administrator erh lt zuvor die Notification E Mail WARN 711 e Send Notification An den Administrator wird nur die Notification E Mail INFO 710 mit einer entsprechenden Warnung abgeschickt e Shut down System Das Internet Sicherheitssystem f hrt auto matisch herunter Der Administrator erh lt zuvor die Notification E Mail CRIT 712 418 System benutzen amp beobachten e Nothing Es werden keine Aktionen gestartet Die Einstellungen bernehmen Sie durch einen Klick auf die Schalt fl che Save Remote Log File Archive In diesem Fenster nehmen Sie die Einstellungen f r ei ne ausgelagerte Archivie J rung der Log Files vor Falls ll sich das Remote Log File Archive auf einem Server befindet m ssen Sie diesen zuerst im Men Definitions Networks hinzuf gen Remote Log File Archive konfigurieren 1 Schalten Sie im Fenster Global Settings die Funktion Remote Log File Archives
80. einen ande ren Namen f hren Sie diese jetzt durch Um die Einstellungen zu editieren ffnen Sie das Men Edit Interface durch einen Klick auf die Schaltfl che edit 55900 10 100 Ethernet bt type eth mac 00 0c 68 56 23 13 ft rei T8139 1 _type ath mac 00 0 fe a0 b7 28 Wenn Sie die IP Adresse der internen Netzwerkkarte ethO n Achtung dern geht die Verbindung zum WebAdmin verloren 34 Installation Die Konfiguration der Netzwerkarten und virtuellen Schnittstellen Interfaces wird in Kapitel 5 3 2 ab Seite 154 beschrieben Internes Netzwerk konfigurieren Network Definitions Total 4 entries New Definition ters ffnen Sie im Ver e W Ge I r zeichnis Definitions RE d e nun das Men Networks mmm l und pr fen Sie die Einstellungen f r das interne Netzwerk W hrend der Installation wurden vom Internet Sicherheitssystem aufgrund Ihrer Definition der internen Netzwerkkarte eth0 automatisch drei logische Netzwerke definiert Die Schnittstelle Internal Address bestehend aus der von Ihnen definierten IP Adresse Beispiel 192 168 2 100 und der Netzwerkmaske 255 255 255 255 Host Der Broadcast Internal Broadcast bestehend aus der Broadcast IP Beispiel 192 168 2 255 und der Netzwerkmaske 255 255 255 255 Host Das interne Netzwerk Internal Network bestehend aus der Netzwerk IP Adresse Beispiel 192 168 2 0 und der Netzwerk maske Beispiel 255 255 255 0 Das De
81. eintrifft Dieser Status leitet die Aushandlung der VPN Verbindung ein hold Die Aushandlung dauert an Das bedeutet dass alle Da tenpakete gehalten werden bis der VPN Tunnel hochgefahren UP ist tun0x133a 233 23 43 1 Diese oder eine hnliche Meldung wird angezeigt sobald der Tunnel hochgefahren ist 367 System benutzen amp beobachten Ein VPN Tunnel mit der ID 0x133a ist hochgefahren und die IP Adresse des Remote Endpoint ist 233 23 43 1 Beispiel AB gt C gt D 23 192 168 105 0 24 gt 192 168 104 0 24 gt tun0x1234 123 4 5 6 In diesem VPN Tunnel wurden 23 Datenpakete vom Netzwerk 192 168 105 0 24 zum Netzwerk 192 168 104 0 24 geschickt Der Tunnel hat die ID 0x1234 und der Remote Endpunkt hat die IP Adresse 123 4 5 6 IPSec Verbindung konfigurieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Connections 2 Schalten Sie im Fenster Global IPSec Settings das Modul durch einen Klick auf die Schaltfl che Enable ein Anschlie end wird das Fenster New IPSec Connection ge ff net 3 F hren Sie die folgenden Grundeinstellungen f r die IPSec VPN Verbindung durch Name Definieren Sie einen Namen der diesen IPSec VPN Tun nel eindeutig beschreibt Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 und Unterstrich Type W hlen Sie hier den Verbindungs Typ aus Der Typ Standard dient f r NET to NET Verbindungen Die Typen Road Warrior Road Warrior CA und MS Windows L2TP over
82. erstellen 1 ffnen Sie im Verzeichnis IPSec VPN das Men CA Manage ment Klicken Sie in der Tabelle Certificate Authorities auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Certificate Authority W hlen Sie die Option Generate aus Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r das Zertifikat Erlaubte Zeichen sind Das Alphabet die Zahlen Oo bis 9 und Unterstrich Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke aus Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CA ein Um die Eintr ge zu speichern Klicken Sie auf die Schaltfl che Start Anschlie end wird die Signing CA in die Tabelle Certificate Author ities geladen Diese CA wird nun dazu verwendet um Zertifikats An tr ge CSR zu signieren und dann daraus ein Zertifikat zu erstellen 391 System benutzen amp beobachten Schritt 2 Den Zertifikats Antrag Request erstellen 1 Klicken Sie in der Tabelle Host CSR or Certificate auf die Schaltfl che New Anschlie end ffnet sich das Fenster Add Host CSR or Certifi cate 2 W hlen Sie die Option Generate CSR aus W hlen Sie im Drop down Men VPN ID den VPN ID Type aus Bei den Optionen E Mail Address Hostname und Ipv4 Ad dress m ssen Sie den zugeh rigen Wert in das r
83. ert nen kurz hintereinander zwei Beeps und die LED Anzeige h rt auf zu blinken Da das System 2 noch ausgeschaltet ist bootet das System 1 weiter in den Normal Modus und die LED Anzeige Num Lock blinkt wieder Nachdem das System 1 den Bootvorgang abgeschlossen hat h rt die LED Anzeige Num Lock auf zu blinken und es ert nen im Sekundentakt f nf Beeps Die MiddleWare hat nun alle Services Regeln und Prozesse geladen und initialisiert 127 System benutzen amp beobachten Falls die Signalt ne nicht ert nen und die LED Anzeige noch blinkt konnte die MiddleWare nicht alle Dienste Regeln und Prozesse initialisieren Wenden Sie sich in diesem Fall an den Support Ihres Sicherheitssystem Anbieters Hinweis 5 Sicherheitssystem 2 Hot Standby Modus konfigurieren Starten Sie das System 2 und f hren Sie auch auf System 2 Schritt 4 durch und klicken Sie anschlie end zur Best tigung auf die Schaltfl che Save Das System 2 wird nun neu gebootet Falls eine Tastatur ange schlossen ist blinkt auf dem Keyboard die LED Anzeige Num Lock Sobald das System den Hot Standby Modus erreicht ert nen kurz hintereinander zwei Beeps und die LED Anzeige h rt auf zu blinken Das System 2 erkennt ber die Datentransfer Leitung das aktive System 1 und verbleibt im Hot Standby Modus Das High Availability System ist nun aktiv ber die Datentransfer Verbindung wird das Internet Sichereitssys tem im Hot Standby Modus st ndig aktualisi
84. f r das Netzwerk A erlaubt Regel 2 verbietet SMTP f r das Netzwerk B Ergebnis Ausschlie lich f r Netzwerk A wird SMTP erlaubt SMTP Pakete von allen anderen IP Adressen aus dem restlichen Netzwerk B d rfen nicht passieren Eine Paketfilterregel setzt sich aus der Quelladresse Source einem Dienst Service einer Zieladresse Destination und einer Ma nahme Action zusammen Als Quell und Zieladresse k nnen die folgenden Werte ausgew hlt werden Die Funktionen werden in den Kapiteln zu den entsprechen den Men s erkl rt e Ein Netzwerk Network die Netzwerke werden im Men Defin itions Networks definiert Eine Netzwerkgruppe Network Group die Netzwerkgruppen werden im Men Definitions Networks definiert e Ein Schnittstellen Netzwerk Interface diese logischen Netz werke werden beim Konfigurieren der Netzwerkkarten und Schnitt stellen vom System automatisch definiert Die Schnittstellen wer den im Men Network Interfaces konfiguriert Ein IPSec Remote Key Object IPSec User Group die IPSec Benutzergruppen werden im Men Definitions Networks defi niert Diese Adresse oder Portrange ben tigen Sie wenn Sie Pa ketfilterregeln f r IPSec Road Warrior Endpunkte setzen m chten 244 System benutzen amp beobachten Eine neu definierte Paketfilterregel wird zun chst deaktiviert in die Ta belle eingetragen Die aktivierten Paketfilterregeln werden der Reihe nach von der Firewall abge
85. f r den Schnitt stellen Typ durch Address Bei diesem Schnittstellen Type kann nur eine statische IP Adresse gesetzt werden Tragen Sie in das Eingabefeld die Adresse ein System benutzen amp beobachten Netmask Bei diesem Schnittstellen Type kann nur eine sta tische Netzwerkmaske gesetzt werden Tragen Sie in das Ein gabefeld die Netzwerkmaske ein Default Gateway Wenn Sie ein Default Gateway definieren m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus 7 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden 9 Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 Die neue Schnittstelle ist geladen wenn die Meldung Up erschein
86. fehlgeschlagen Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Starting Services failed Die Dienste konnten nicht gestartet werden Bit te setzen Sie sich mit dem Support Ihres Sicher heitssystem Anbieters in Verbindung 344 345 346 347 348 System benutzen amp beobachten System Up2Date failed Post Start Services script failed Das System Update ist fehlgeschlagen Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Error occured while running installer Das System Update ist fehlgeschlagen da w hrend der Ausf hrung des Installer ein Fehler aufge treten ist Bitte setzen Sie sich mit dem Sup port Ihres Sicherheitssystem Anbieters in Ver bindung System Up2Date failed Installer stopped due to internal error Der System Update ist fehlgeschlagen da der Install Prozess aufgrund eines internen Fehlers gestoppt wurde Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Started without rpm parameters Der System Update ist fehlgeschlagen da der Install Prozess ohn rpm Parameter gestartet wurde Bitte setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed System Up2Date subscrip
87. fen logfile partition mounted at var log is short of inodes please check Die logfile Partition im Verzeichnis var log wird knapp bitte pr fen storage application partition mounted at var storage is short of inodes please check Die Storage Application Partition im Verzeichnis var storage wird knapp bitte pr fen Ud2Date partition mounted at var up2date is short of inodes please check Die Up2Date Partition im Verzeichnis var up2date wird knapp bitte pr fen tmp partition mounted at temp is short of inodes please check Die temp Partition im Verzeichnis tmp wird knapp bitte pr fen 439 System benutzen amp beobachten 169 170 171 300 301 302 303 440 tmp partition mounted at tmp is filling up please check Die tmp Partition im Verzeichnis tmp f llt sich alicd not writing periodic dump file please check alicd protokolliert keinen zyklischen Speicher auszug mehr bitte pr fen hyperdyper daemon not working restarted Der Hyperdyper Daemon wird nicht ausgef hrt ein Restart wurde durchgef hrt System Up2Date System Up2Date started System Up2Date wurde gestartet Weitere Informa tionen zu System Up2Dat rhalten Sie in Kapitel 5 1 3 ab Seite 60 System Up2Date failed Authentication error Trying another Authentication Server Der System Up2Date ist fehlgeschlagen W hrend der Authentisieru
88. i d R f r die Datenhaltung zust ndig w hrend der Client die Pr sentation dieser Daten und die Interaktion mit dem Benutzer bernimmt Dazu bedienen sich Client und Server eines 467 Glossar genau definierten Protokolls Alle wichtigen Anwendungen im Internet z B WWW FTP News basieren auf dem Client Server Prinzip DNS Dank des Domain Name Systems auch Domain Name Service kann der Anwender statt der rechnerfreundlichen IP Nummer den menschenfreundlicheren Namen bzw Aliase verwenden F r die Umsetzung von Nummer nach Name sorgen die Nameserver Jede am Internet angeschlossene Institution muss mindestens zwei voneinan der unabh ngige Nameserver betreiben die ber Namen und Num mern dieser Institution Auskunft geben k nnen Zus tzlich gibt es f r jede Top Level Domain einen Nameserver der ber eine Liste aller nachgeordneten Nameserver dieser Domain verf gt Das Domain Name System stellt also eine verteilte hierarchische Datenbank dar Im Normalfall fragt jedoch nicht der Benutzer selbst die Datenbank ab sondern die Netzanwendung z B Netscape mit der er gerade arbeitet Dual Homed Gateway Man geht von einer Maschine ohne IP Forwarding aus die mit einem Netzwerkinterface Kontakt zum lokalen Netzwerk bzw zum internen Teil einer Firewall besitzt und die mit einem zweiten Netzwerk Interface mit dem externen Teil einer Firewall bzw dem Internet verbunden ist Aufgrund des fehlenden IP Forwarding m ssen
89. indem eine Verbindung zum Host aufgebaut und ein RCPT Befehl ausgef hrt wird Falls dies nicht der Fall ist wird die E Mail zur ckgewiesen Domain Profile editieren 1 Um ein neues Blanko Profile in die Tabelle einzuf gen klicken Sie auf die Schaltfl che New Profile Anschlie end k nnen Sie die Profile Zeile editieren 2 W hlen Sie f r die eingehenden E Mails im Feld Domain Groups die Gruppe aus der Tabelle Domain Groups aus Das Auswahlfenster wird durch einen Klick auf die Meldung z B empty ge ffnet 3 Definieren Sie im Feld Route Target die Route f r die ein gehenden E Mails Das Auswahlfenster wird durch einen Klick auf die Meldung z B use MX records ge ffnet 312 System benutzen amp beobachten Alle E Mails f r diese Domain Gruppe m ssen an einen be stimmten Host weitergeleitet werden bliche Hosts sind in diesem Fall z B der Microsoft Exchange Server oder Lotus Notes Der Host muss zuvor im Men Definitions Networks definiert werden Sie k nnen auch definieren dass E Mails an die angegebene Do main durch den MX Record zugeschickt werden Jedoch m ssen Sie zuvor sicherstellen dass die Firewall IP Adresse nicht selbst der prim re MX Record Use MX records der Domain ist da sie keine E Mails an sich selbst verschicken wird Beachten Sie dass die hier statisch eingetragenen Routen auch nach dem Ausschalten des SMTP Proxy erhalten bleiben 4 Stellen Sie in den weiteren Spalten d
90. oder durch Symbole angezeigt W hrend alle Einstellungen mit einer alphanummerischen Anzeige durch einen Klick auf das entsprechende Feld editiert werden k nnen ist dies nicht bei allen Symbol Anzeigen m glich A Group Source Service Action Destination Comment p 93 moner BOO mema wew p POPS G gt In der nachfolgenden Tabelle werden alle Symbole aus der Regelsatz tabelle erkl rt 248 System benutzen amp beobachten Die Symbole icon ra anzeigerEinstenung 8 reen CR teen Pakertirerreget ist deaktiviert WO zeen Paketfiterregel per Or jzeiessuestieime KA Source Destination Netzwerk EE A Gruppe hinzuf gen editieren Durch einen Klick auf das Feld in der Spalte Group wird ein Eingabefeld ge ffnet Mit einem Klick auf die Schaltfl che Save werden die nderungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Paketfilterregel aktivieren deaktivieren Die Statusampel in der vierten Spalte zeigt den Status der Paketfilteregel an Mit einem Klick auf die Statusampel wird die Regel aktiviert Statusampel zeigt 249 System benutzen amp beobachten Gr n und deaktiviert Statusampel zeigt Rot Deaktivierte Regeln bleiben gespeichert werden aber vom Paketfilter nicht ber cksichtigt Zeitsteuerung aktivieren Durch einen Klick auf das Feld in der Spalte mit dem Uhren Symbol wird ein Dop down Men ge ff net Nun k nnen Sie das Zeitintervall f r die
91. over NATs ausgeschaltet sein Als Alternative k nnen Sie im Paketfilter Packet Filter eine Regel setzen dass der Service STUN geblockt wird Die Paketfilterregeln werden im Men Packet Filter Rules gesetzt 343 System benutzen amp beobachten 5 5 7 SOCKS SOCKS ist ein universeller Proxy der von vielen Client 3 Applikationen unterst tzt wird Einige Beispiele daf r sind Instant Messaging Clients wie ICQ oder AIM FTP Clients und RealAudio SOCKS kann stellvertretend f r Clients TCP Verbindungen aufbauen und als Besonderheit auch eingehende Verbindungen mit dem TCP oder UDP Protokoll annehmen listen ing Das macht SOCKS besonders auf Firewalls interessant die NAT benutzen da SOCKS die Nachteile von NAT ausgleichen kann Die SOCKS Implementation dieser Firewall unterst tzt die Protokoll versionen SOCKSv4 und SOCKSv5 Bei Verwendung des SOCKSv4 Protokolls ist keine Benutzerauthen tifizierung User Authentication m glich Status S Les Alowed Networks Selected Avalabie User Authenticaton ou Des Authenticaton Methods E Hinweis l Wenn Sie diesen Proxy verwenden m chten um Host Namensauf l sung in SOCKS5 zu betreiben m ssen Sie auch den DNS Proxy aktivieren SOCKS Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men SOCKS 2 Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eing
92. r den Fall eines ausgelasteten Uplinks verschiedene Priorit ten zuordnen Diese Priorit ten werden in den Paketfilteregeln durch die Aktionen Allow Allow high priority und Allow low priority definiert 252 System benutzen amp beobachten Wichtiger Hinweis Damit die Priorit ten high priority und low priority wirksam wer den m ssen Sie im Men Network Interfaces auf der entspre chenden Schnittstelle die Funktion QoS einschalten und die Werte Uplink Bandwidth und Downlink Bandwidth definieren Damit die Verbindung vom Web Server wie in dem Beispiel dar gestellt die gleiche Bandbreite erh lt wie die Verbindung vom FTP Server ist nur zu Beachten dass bei beiden Paketfilterregeln die gleiche Aktion Action eingestellt wird 1 Paketfilterregel f r Datenpakete vom Web Server Source Web Server Service HTTP To Server Internet Action Allow high priority 2 Paketfilterregel f r Datenpakete vom FTP Server Source FTP Server Service FTP Destination Internet Action Allow high priority Group Ss Source Service Action Destination Comment none ei Internal Network POP3 gt any Ze E Mail POP 3 Web Server HTTP Leet any E Qos example rule FTP Server gi FTP mja 5 any Ki Oe example rule Wenn der Uplink nur von den Datenpaketen der beiden Server ver wendet wird erh lt im Worst Case jede Verbindung die H lfte der Bandbreite 1MBit s Die Einstellung Hig
93. setzen es manch mal sogar voraus Forward Connections Default Response Dieses Internet Sicherheitssystem unterst tzt zur Beantwortung Ident Anfragen wenn Sie die Funktion Ident einschalten Das Sys tem wird immer mit dem String antworten den Sie als Default Re sponse definieren unbeachtet dessen von welchem lokalen Dienst diese Verbindung gestartet wurde Forward Connections Die Ident Anfragen werden vom Connection Tracking nicht erkannt Dies kann umgangen werden wenn Sie die Funktion Masquerading verwenden Mit Forward Connections k n nen Sie die Ident Anfragen an einen mit Masquerading verborgenen Host hinter die Firewall weiterleiten Beachten Sie dabei dass die aktuelle IP Verbindung nicht bergeben wird Stattdessen wird die Firewall beim internen Client nach einer Ident Antwort anfragen und diesen String an den externen Server weiterleiten Dieses Vorgehen wird von den meisten Mini Ident Ser vern unterst tzt der meist Bestandteil der heute g ngigen IRC und FTP Clients ist 346 System benutzen amp beobachten 5 6 9 Proxy Content Manager Im Men Proxy Content Manager k nnen Sie alle E Mails einsehen die von den Proxies der Firewall gefiltert wurden oder wegen eines Fehlers nicht weitergeleitet werden konnten Global Actions Please select Refresh proxy content table z SMTP POP3 Proxy Content Total 6 entries Type 7 Age Sender Subject 8 SMTP 6d 2h 13m G B mx domain example Mail de
94. sollen Dies ist f r bestimmte Up date Mechanismen z B Microsoft Windows Update interessant die keine NTLM Authentisierung auf dem Proxy unterst tzen Des Weiteren muss f r die Dom nen die von der NTLM Authenti sierung ausgeschlossen sein sollen ein spezielles Profil Profile an gelegt werden Bei der Profilzuweisung Profile Assignment f r dieses Profil m ssen Sie in der Spalte Assigned local Users immer den Wert none einstellen In der Spalte Assigned Network Blocks stellen Sie dann die Netzwerke ein die auf diese speziellen Internet seiten zugreifen k nnen sollen Die Definition und die Zuweisung von Profilen wird detailliert in den Abschnitten Die Profile Tabelle und Die Profile Assignment Ta belle beschrieben Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben 280 System benutzen amp beobachten Surf Protection Categories Name Community_Education_Religion Criminal_Activities Drugs Entertainment Culture Extremistic_Sites Finance Investing Games_Gambles Cobion Surf Protection Categories e Computer Criminalism Hate and Discrimination e Illegal Activities Warez Sites e Alcohol ll rugs e Soll Holp Addiction e Tabaco e Art Museums o Belatristics Specialized Books e Cmema TV e Humor Music o Thomo Parks Extreme Accumulation of canital Inwesting Banking Homebank ng o Bro
95. wurde kann es passieren dass das Sicherheitssystem unvorhersehbar reagiert und regul re Anfragen blockiert Die Werte h ngen haupts chlich von der Hardware ab auf der das Sicherheitssystem installiert ist Ersetzen Sie daher die Standardeinstellungen durch f r Ihr Sicherheitssystem geiegnete Werte Source flood packet rate packets second Tragen Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Quell IP Adressen erlaubt sind Destination flood packet rate packets second Tragen Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Ziel IP Adressen erlaubt sind System benutzen amp beobachten 6 Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save ICMP Flood Protection ICMP Flood Protection J Durch die Funktion ICMP SER Flood Protection wird die Loggng Es E Anzahl der ICMP Pakete die ra maa 3 in das lokale Netzwerk gesendet werden begrenzt an ss 2 Per Default ist die Funktion ausgeschaltet Statusampel Be f zeigt Rot er m ICMP Flood Protection 1 ffnen Sie im Verzeichnis Intrusion Protection das Men DoS Flood Protection 2 Schalten Sie die Funktion durch einem Klick auf die Schaltfl che Enable bei Status ein Anschlie end ffnet sich ein erweitertes Eingabefenster 3 W hlen Sie im Drop down Men Mode den Modus aus
96. z B Romane Fachb cher Kochb cher Ratgeber usw 21 Humor Comics Internetseiten mit humoristischen Inhalten z B Witze Sketche Extremistic Sites 22 Extremistics Internetseiten mit extremen Inhalten z B extrem gewaltt tig Diese URLs sind in der Regel auch in anderen Unterkategorien enthalten Finance_Investing 23 Brokerage Internetseiten mit B rsenticker die ausschlie lich Vermittlungs gesch fte betreiben z B Finanzierung Maklergesch fte Online Wertpapierhandel 24 Investing Internetseiten zu Immobilien z B Baufinanzierung Versiche rungen 25 Banking Internetseiten von Banken und zur Kontof hrung z B Zweigstel len Genossenschaftsbanken und Online Bankkonten Games_Gambles 26 Gambling Internetseiten von Gl cksspieleinrichtungen z B Kasinos Wett b ros und Lotterien 284 System benutzen amp beobachten 27 Computer Games Informationen zu Computerspielen z B Computerspielprodu zenten Internetseiten mit Cheat Codes und Online Spielzonen 28 Toys Informationen zu Spielwaren z B Puppen Modellbau Brettspiele Karten und Gesellschaftsspiele Modellieren Information_ Communication 29 General News Newspapers Magazines Informationen zum allgemeinen Geschehen z B Zeitungen und Zeitschriften 30 Web Mail Internetseiten ber die E Mails gesendet und empfangen werden k nnen In dieser Unterkategorie sind alle Web Mail Provider kate
97. z B um Paket filterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Password Tragen Sie in das Eingabefeld das Passwort ein N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4z Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den lokalen Benutzer hinzuf gen Speichern Sie den Lokalen Benutzer Local User durch einen Klick auf die Schaltfl che Add Definition Der neue Benutzer User wird anschlie end in der Tabelle ange zeigt Schalten Sie in der Tabelle f r den Lokalen Benutzer Local User die Dienste frei Zu Beginn sind f r den Benutzer noch keine Dienste freige schalten Sie schalten den Dienst ein indem Sie auf den entspre chenden Begriff klicken Beispiel HFP der HTTP Proxy ist nicht freigeschaltet 147 System benutzen amp beobachten HTTP der HTTP Proxy ist freigeschaltet Die m glichen Dienste sind HTTP Proxy SMTP Proxy SOCKS Proxy WebAdmin L2TP over IPSec und PPTP Remote Access PPTP Address Bei PPTP Verbindungen kann den Remote Hosts anstatt einer dynamischen Adresse aus einem PPTP IP Pool auch eine statische IP Adresse zugewiesen werden Um eine statische IP zu definieren klicken Sie auf das Feld in der Spalte PPTP Address und tragen
98. zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga 171 System benutzen amp beobachten 172 bemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Bei einer Ethernet Netzwerkarte betr gt die MTU maximal 1500 Byte Beim Schnittstellen Typ VLAN Ethernet Interface ist per Default bereits ein MTU Wert definiert 1500 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt
99. 143 Pal 143 TER nansa 141 HD 141 Proxy DNS east 336 Einleitumng 268 Genen 338 HITPR u 280 269 dent 346 POP3 esse as 330 Proxy Content Manager 347 KU 340 SMTP Puri kowar roi 304 SOCKS EE 344 Proxy Content Manager Age al 348 Automatic Cleanup 352 blockierte Categories 403 blockierte Seiten 403 Daily Spam Digest 353 deferred zur ckgestellt 348 erlaubte Seiten 403 filtern iaa iei na 351 Filters 351 480 Global Actions 350 Mal ID 347 permanent error andauernder Fehler EEN 348 quarantined gesperrt 348 Recipient s eea 349 Klee 349 Gtatus 348 Type 347 Quality of Service QoS 252 RAID Festplattensystem 407 Remote Management 410 Remote Syslog Server Einletung EN Reporting Accounting Netzwerk definieren 405 Accounting ssie 405 Administration 398 Advanced 407 Content Filter 402 DNS ar Bean 402 Executive Report 404 Hardware 400 HTTP Proxy Usage 403 Intrusion Protection 402 Network 401 Packet Filter 401 PPTP IPSec VPN 402 RAID Status 407 ER 403 System Information 408 Virus Protection 399 Restart u un 132 Routing Einleitung 194 Kernel Routing Tabelle 195 Policy Routes 196 Policy Routes definieren 196 Statische Routes 194 Statische Routes definiere
100. 192 168 2 Wenn nun Ihr Administrations PC z B die IP Adresse 192 168 10 5 hat liegt er nicht im selben Sub Netzwerk und in diesem Fall ben tigen Sie ein Gateway F r unser Beispiel nehmen wird die folgende Adresse Gateway 192 168 2 1 Falls der Administrations PC innerhalb des Netzwerkbereichs liegt geben Sie den folgenden Wert ein Gateway none Best tigen Sie die Eingaben mit der Enter Taste 7 Lizenzbestimmungen Schritt 6 Hinweis Beachten Sie die rechtlichen Hinweise und Lizenzbestimmungen H Die Lizenzbestimmungen akzeptieren Sie mit der E Taste 8 Abschlie ende Hinweise Schritt 7 Beachten Sie die abschlie enden Hinweise zur Installation der Software Nach Best tigung des Warnhinweises werden alle be stehenden Daten auf dem PC gel scht Achtung Falls Sie Eingaben ndern m chten k nnen Sie nun mit der F12 Taste wieder zu Schritt 1 des Installationsmen s gelangen Sie starten die Installation der Software mit der F8 Taste 9 Software installieren Schritt 8 Die Installation der Software kann nun einige Minuten dauern Sie k nnen den Installationsvorgang mit Hilfe von vier Konsolen verfolgen 28 10 Installation Die vier Konsolen Install Routine Alt F1 Interaktive Bash Shell Alt F2 Log Ausgabe der Install Routine Alt F3 Kernel Ausgabe Alt F4 Sobald Sie dazu aufgefordert werden entnehmen Sie die CD ROM aus dem Laufwerk und verbinden die Netzwerkkarte
101. 2Dates Master angezeigt System Up2Date ber Internet automatisch einspielen 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable bei Prefetch Up2Dates automatically ein 3 Definieren Sie im Auswahlfeld Interval den Zeitabstand nach dem das System automatisch den spezifizierten Update Server anw hlt und diesen auf neue System Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde every hour jeden Tag every day einmal pro Woche every week 62 System benutzen amp beobachten Neu eingespielte Up2Date Pakete werden in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt System Up2Date von lokalem Datentr ger einspielen Der Dateiname eines Up2Date Pakets setzt sich aus der Versions nummer der Bezeichnung tar f r ein verschl sseltes Archiv und dem Dateitype gpg zusammen Beispiel 5 009 tar gpg Up2Date Pakete finden Sie auf dem FTP Server ftp astaro com 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster System Up2Date auf die Schaltfl che Durchsuchen bei Import from File 3 W hlen Sie im Fens
102. 3 Diese Strategie filtert die meisten Spam Mails Allerdings werden mit hoher Wahrscheinlichkeit auch ungef hrliche Nachrichten z B HTML Newsletter zur ckgewiesen e Reasonable 05 Diese Strategie liegt zwischen Aggressive und Conservative e Conservative 08 Diese Strategie filtert nur Nachrichten bei denen es sich mit sehr hoher Wahrscheinlichkeit um Spam Mails handelt Ungef hrliche E Mails werden meist nicht gefiltert 321 System benutzen amp beobachten do this In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich Reject Die E Mail wird mit der Fehlernumer 5xx und einem Kom mentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absender adresse schicken Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu verenden Warn Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sorti
103. 35 4z Stellen Sie sicher dass dieses Passwort nicht in unbefugte H nde f llt Der Inhaber dieses Passworts kann damit eine VPN Verbindung in das gesch tzte Netzwerk aufbauen Es ist empfehlens wert das Passwort in regelm igen Abst nden zu wechseln RSA Das Schl sselpaar besteht aus einem Privat Key und einem Public Key Damit Sie mit der Gegenstelle kommunizie ren k nnen m ssen Sie jeweils die Public Keys austauschen Der Austausch der Public Keys kann per E Mail erfolgen 384 System benutzen amp beobachten W hlen Sie im Drop down Men VPN Identifier den VPN ID Type der Gegenstelle aus Bei den Optionen E Mail Address Full qualified domain name und IP Address m ssen Sie die zugeh rige Adresse oder den Namen in das darunter liegende Eingabefeld eintragen X 509 W hlen Sie im Drop down Men VPN Identifier den VPN ID Type aus Bei den Optionen E Mail Address Full quali fied Domain Name oder IP Address m ssen Sie die zuge h rige Adresse oder den Namen in das darunter liegende Einga befeld eintragen F r den VPN ID Type Distinguished Name ben tigen Sie die folgenden Daten aus dem X 509 Verzeichnisbaum Country C State ST Local L Organization O Unit UO Common Name CN und E Mail Address E Mai 4 Um das neue IPSec Remote Key Objekt zu bernehmen klicken Sie auf die Schaltfl che Add Das neue IPSec Remote Key Objekt wird anschlie end in der Tabelle Remote Keys angezeigt Die CA Mana
104. 429 PPPO Eaa eege 429 PPTP Daemon 429 Remote Configuration Manager ee 429 Selfmonitoring 429 SIP Proxy cecce 430 SMTP Proxy nocc 430 SOCKS Proxy scce 430 SSH Daemon nossen 430 System Log Messages 430 Up2Date Messages 430 Uplink Failover Messages430 User Authentication Daemon SE Ee 430 VWeb dmin 431 Log Files Settings Level definieren 419 Log FTP Data Connections 264 Log Unique DNS Requests 264 Logging Optlons 264 Masquerading Regel definieren 203 Regel editieren 204 Regel l schen 204 Masquerading Einleitung 202 Microsoft Outlook Regeln erstellen 325 Mozilla Firefox Proxy Verwendung umgehen ssec 270 NAT Einleitung 198 Regel editieren 202 Regel l schen 202 Regel setzen 200 Networks Filters i nn eu 140 Networks cueessnsneeneeeenenn 134 Netzwerke Definitionen editieren 141 Definitionen l schen 141 Einleitumng 134 NIE 140 filtern nn 140 Host hinzuf gen 135 IPSec Benutzergruppen definieren 139 Netzwerk hinzuf gen 136 Netzwerkgruppen definieren ben EE 138 Netzworke DNS Server hinzuf gen 137 Notification isece 152 Notification Codes CRIT A a ia e 452 INFO ar 431 WARNEN 445 Notification Codes 431 Novell eDirectory eDirectory Server einstellen EE 86 Index Novell eD
105. 55 Hardware List 2222 157 MTU Size 164 172 178 184 189 Interfaces neare 154 Intrusion Protection Advanced 241 Anomaly Detection 223 DoS Flood Protection 234 Einleitung 223 Global Settings 223 IPS Regel bersicht 226 Lzensierung 56 Notification Levels 224 Pattern Up2Date 66 Regel setzen 229 Rules a AN aA 226 IPSec VPN Advanced se 394 AH Protokoll 361 CA Management 389 Client Host Zertifikat erstellen 391 Connechlons i 365 Einlettung 355 Global IPSec Settings 365 SEET 359 IPSec Connection Status 366 IPSec Connections 366 IPSec Modi 360 IPSec System Information LEERE TREE 367 IPSec Protokolle 361 konfigurieren 368 L2TP over IPSec 386 Lizensierung an 56 Local IPSec X 509 Key 379 Local Keys icce 379 Manual Keying 362 Policies 374 Policy konfigurieren 374 PSK Authentication 381 Remote Key definieren 383 Remote Keys sacc 382 RSA Authentication 380 Schl sselverwaltung 362 Transport Modus 360 Tunnel Modus n 360 User Config Download 382 VPN Routes 367 VPN Status narining 367 Index L2TP over IPSec L2TP over IPSec Client Parameters 388 L2TP over IPSec IP Pool 387 L2TP over IPSec Settings VEAU EN 386 Licensed
106. Containers auszuw hlen und sie den Zugangskontrollprofilen oder den Web Security Policies zuzu ordnen Mit dem eDirectory Browser muss der Administrator keine aufwendigen LDAP Regeln mehr definieren und keine LDAP Distin guished Names DNs mehr verwalten Im linken Bereich des Browser Fensters wird die Struktur des Ver zeichnisbaums angezeigt Im rechten Fenster k nnen Sie die Benutzer Users Benutzergruppen User Groups oder Container Containers mit der Maus ausw hlen und in das untere Fenster ziehen Die ausgew hlten Komponenten k nnen durch einen Klick auf das Pa pierkorb Symbol 8 wieder gel scht werden Um die nderung zu speichern klicken Sie anschlie end auf die Schaltfl che Save Durch einen Klick auf die Schaltfl che Cancel wer den die nderungen wieder verworfen Die neuen Einstellungen werden in das Men Context kopiert Die nderungen im eDirectory Browser k nnen auch manuell im Men Context durchgef hrt werden Die neuen Einstellung werden durch einen Klick auf die Schaltfl che Save vom System bernommen Die m glichen Dienste sind WebAdmin berwacht den Zugang auf das Konfigurationstool WebAdmin HTTP berwacht die Profilzuweisung zur Nutzung des HTTP Proxy SMTP berwacht die SMTP Authentisierung wenn z B f r die Verbindung die TLS Verschl sselung eingeschaltet ist SOCKS Erm glicht Client Server Applikationen die transparente Nut zung der Dienste einer Netzwerk Firewal
107. D Anzeige ein und ausschalten Time Settings ber dieses Men stellen Sie das aktuelle Datum und die Uhrzeit des Internet Sicher heitssystems ein Sie k nnen die Uhrzeit und das Datum mit Hilfe der Drop down Men s manuell einstellen oder t glich mit einem NTP Server Network Time Protocol synchronisieren Beachten Sie dass gro e Zeitspr nge zu L cken im Reporting und im Logging f hren F hren Sie keine Umstellung von Winterzeit auf Sommerzeit durch Wichtiger Hinweis Tragen Sie am Besten die Central European Time CET ein W hrend der Sommerzeit entspricht dies einer Abweichung von minus einer Stunde Durch Verstellen der Systemzeit kann es zu folgenden zeitsprung bedingten Effekten kommen Uhrzeit vorstellen Winter auf Sommerzeit Der Time out f r den WebAdmin ist abgelaufen und Ihre Session ist nicht mehr g ltig In den zeitbasierten Reports fehlen f r die entsprechende Zeit spanne die Log Daten Die meisten Diagramme stellen diese Zeit spanne als gerade Linie in H he des alten Wertes dar F r das Accounting betragen alle Werte in dieser Zeitspanne 0 49 System benutzen amp beobachten Uhrzeit zur ckstellen Sommer auf Winterzeit e In den zeitbasierten Reports gibt es f r die entsprechende Zeit spanne schon Log Daten die aus Sicht des Systems aber aus der Zukunft kommen Diese Daten werden nicht berschrieben e Die Log Dateien werden weitergeschrieben wenn der Zeitpun
108. Daten Name usw erschli chen wurde oder weil der zum zertifizierten ffentlichen Schl ssel geh rende geheime Schl ssel einem Angreifer in die H nde gefallen 395 System benutzen amp beobachten ist Zu diesem Zweck werden sogenannte Zertifikatwiderrufslisten bzw Certificate Revocation Lists CRL verwendet Diese enthal ten blicherweise die Seriennummern derjenigen Zertifikate einer Zertifizierungsinstanz die f r ung ltig erkl rt werden und deren regu l rer G ltigkeitszeitraum noch nicht abgelaufen ist Nach Ablauf dieses Zeitraumes besitzt das Zertifikat in jedem Fall keine G ltigkeit mehr und muss daher auch nicht weiter auf der Zerti fikatswiderrufsliste gef hrt werden Mit der Funktion Automatic CRL Fetching erfolgt die Abfrage der CRL automatisch ber die URL die im Partnerzertifikat festgelegt ist via HTTP Anonymous FTP oder LDAP Version 3 Die CRL wird auf Anfrage heruntergeladen abgespeichert und upgedated sobald der G ltigkeitszeitraum abgelaufen ist Die Funktion wird durch einen Klick auf die Schaltfl che Enable eingeschaltet Statusampel zeigt Gr n Achten Sie darauf dass die Paketfilterregeln im Men Packet Filter Rules so gesetzt sind dass auf den CRL Disribution Server zuge griffen werden kann Strict CRL Policy Jedes Partnerzertifikat das keine entsprechende CRL verf gbar hat wird abgelehnt Die Funktion wird durch einen Klick auf die Schaltfl che Enable eingeschaltet Statusampel
109. Dates mit der Versionsnummer und dem Dateinamen angezeigt Diese Up2Date Pakete sind noch nicht installiert Weitere Informationen erhalten Sie wenn Sie mit dem Cursor die blaue Info Schaltfl che ber hren Falls die Info Schaltfl che in rot angezeigt wird wird nach der Installation des System Up2Date Pakets automatisch ein Restart des Sicherheitssystems durchgef hrt Hinweis Beachten Sie beim High Availability HA System die zus tzlichen Hinweise zum Einspielen und Installieren der System Up2Dates Das HA System wird in Kapitel 5 1 11 ab Seite 122 erkl rt Fehlende Up2Date Pakete k nnen Sie unter der Internetadresse http download astaro de ASL up2date auf Ihren lokalen Rech ner herunterladen 61 System benutzen amp beobachten System Up2Date manuell einspielen 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster System Up2Date auf die Schaltfl che Start bei Prefetch Up2Dates now FREE as Das System pr ft nun ob auf EN dem Update Server neue Up 2Date Pakete vorhanden sind und l dt diese herunter Der Done gesamte Up2Date Vorgang wird im Log Fenster in Echt zeit dargestellt linkes Bild Der Vorgang wurde erfolg reich beendet wenn im Fenster die Meldung DONE erscheint Die in der Tabelle Unapplied Up2Dates aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up
110. Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 190 System benutzen amp beobachten 5 3 3 Bridging Durch das Bridging k n men SS Ss nen zwei oder auch meh Oz RW rere gleichartige Ether net Netzwerke oder Netzwerksegmente mit einander verbunden wer den Die Datenpakete werden mittels Bridging Tabellen weitergeleitet die MAC Adressen einem Bridge Port zuordnen Die Bridge arbeitet auf Schicht 2 des ISO OSI Schichten Modells siehe dazu Kapitel 2 ab Seite 11 der offenen Kommunikation und ist von h heren Protokollen unabh ngig Bndong o not pet active Selec de members of the bridge You an Bei diesem Sicherheitssysten werden die beteiligten Netzwerke durch die Auswahl der zugeh rigen Netzwerkarten definiert Die resultie rende Bridge wird im Men Interfaces in der Tabelle Hardware List als eine Netzwerkkarte mit der Sys ID
111. Eintrag hinzuf gen Schreiben Sie die neue Adresse in das Eingabe feld und klicken Sie auf die Schaltfl che Add Die neue Adresse wird anschlie end in die letzte Zeile der Tabelle eingef gt Eintrag l schen Durch einen Doppelklick auf die entsprechende Adresse wird diese sofort aus der Tabelle gel scht Eintrag bearbeiten Durch einen Klick auf die entsprechende Adres se wird diese in das Eingabefeld geladen Der Eintrag kann nun im Eingabefeld bearbeitet werden Durch einen Klick auf die Schaltfl che Replace wird der alte Eintrag ersetzt 44 4 4 Online Hilfe External Indicator reel oniy pipo E yoe eege speche LCD aopkance You can use th opon to turn eis aaplay on ande 1 Time Settings ee in ba ge with rogard to dato set the firewaT s tmezone and local Ume hers Yne recommended proceduro is as follows tme manuall y DE Sms IT Be Veh War u R FOL retten weh host recommended Here are some examples for NTP servers EI dem OJA Bro Mer est AR A SE I A monr WebAdmin Werkzeuge tionstool WebAdmin ent h lt eine Online Hilfe Online Help in der die Funktionen kurz erl utert werden Die Hilfe ist in englischer Sprache ver f gbar Die Hilfe wird durch einen Klick auf die Schaltfl che ge ffnet m Durch einen Klick auf die Schaltfl che Refresh wird das Men neu geladen Verwenden Sie f r die Aktualisierung des Men s nicht die Schaltfl che Ak tuali
112. IPSec eignen sich f r HOST to NET Verbindungen wie z B f r Au endienstmitarbeiter Diese k nnen ber ihr Lap top eine IPSec Verbindung zum firmeninternen LAN aufbauen Eine Road Warrior Verbindung kann nur ber ein Default Gate way angeschlossen werden 368 System benutzen amp beobachten An eine Road Warrior Verbindung k nnen mehrere Remote Key Objekte hinzugef gt werden Der Konfigurationsaufwand wird dadurch erheblich verringert Allerdings ist darauf zu achten dass bei allen Road Warriors die gleiche Authentifizierungsart PSK RSA oder X 509 verwendet wird ein Mischbetrieb kann zu Funktionsst rungen f hren Wichtiger Hinweis Die weiteren Einstellungen richten sich nach dem ausgew hlten Verbindungs Typ 4 F hren Sie die spezifischen Einstellungen f r den Verbindung Typ durch IPSec Policy In der Policy werden die Parameter f r die IPSec Verbindung generiert Dies beinhaltet die Einstellung der Key Exchange Methode IKE und der IPSec Verbindung Im Drop down Men sind bereits vordefinierte Policies enthalten Im Men IPSec VPN Policies k nnen Sie eigene IPSec Policies konfigurieren F r den Verbindungs Typ MS Windows L2TP IPSec wird eine Hinweis Standard Policy verwendet Die Konfiguration einer IPSec Policy wird in Kapitel 5 7 2 ab Seite 374 beschrieben Auto Packet Filter Sobald die IPSec VPN Verbindung aufge baut wurde werden die PaketfilterregIn f r den Datenverkehr automatisch hi
113. In diesem Auswahlfeld befinden sich alle verf gbaren Unterkategorien Hier k nnen Sie der Kate gorie weitere Unterkategorien hinzuf gen 289 System benutzen amp beobachten Coion ET EE Total 18 entries A Show Hide amp Subcategories Cities Countries Regions Government Institutions Non Government Organizations Partys Religion 7 Name Community_Education_Religion Save Cancel u ln Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Sects Upbringing Education Reconnoitring 4 Schlie en Sie die Tabelle durch einen Klick auf die Schaltfl che Show Hide Anschlie end wird das Fenster Surf Protection Categories ge schlossen Die Profiles Tabelle Jedes Surf Protection Profile wird in der Tabelle Profiles duch eine separate Zeile dargestellt Die Einstellungen k nnen durch einen Klick auf das entsprechende Feld editiert werden Ein Surf Protection Profile enth lt zwei Funktionsgruppen Die Surf Protection Categories mit den Zusatzfunktionen URL Blacklist URL Whitelist und Custom HTML Content Removal und den Content Filter Mit Hilfe der Surf Protection Categories wird der Zugriff auf Internetseiten mit einem bestimmten Informationsinhalt verhindert Der Content Filter enth lt die Module Virus Protection for Web und Spyware Protection und filtert zudem Internetseiten mit bestimmten techni
114. Intrusion Protection Regel kann im WebAdmin zwischen den Aktionen Alert only nur alar H a mieren und Drop abfangen umgeschaltet wer den Weitere Informationen rhalten Si in der Notification E Mail File transfer request Dies ist die Datei die Sie angefragt haben WARN 005 025 030 031 052 061 System benutzen amp beobachten Failed login Ein Versuch sich in das Internet Sicherheitssys tem einzuloggen ist fehlgeschlagen In der Noti fication wird di IP Adresse di Uhrzeit und der Benutzernamen des betreffenden Benutzers angezeigt Licens usage Exceeding 90 of user count on Astaro Security Gateway Lizenznutzung Die Anzahl der m glichen Benutzer liegt zur Zeit bei 90 Primary Internet uplink is down switching to backup line Die prim re Verbindung Primary Interface zum Internet ist ausgefallen Der Uplink erfolgt nun ber den Ersatzinternetzugang Primary Internet uplink is up again switching back to main line Die prim re Verbindung Primary Interface zum Internet ist wieder aktiv Der Uplink erfolgt wieder ber die prim re Verbindung UPS on battery power Das UPS Ger t l uft im Batteriebetrieb RAID degraded defective hard disk inserted Die Festplatte ist defekt Es ist nicht ratsam das RAID Festplattensystem im aktuellen Zustand weiter zu betreiben Das RAID System wird nicht auto
115. Kommunikation zwischen den VLAN f higen Switches und dem Internet Sicherheitssystem Die an den Switches angeschlossenen Rechner m ssen keine tag f higen Netzwerkkarten haben Allerdings muss der entsprechende Port dieses Switchs als untagged Port definiert werden Die VLAN f higen 168 System benutzen amp beobachten Switches haben meist eine serielle Schnittstelle ber diese Schnitt stelle k nnen mittels Terminalprogramm die verschiedenen Einstel lungen durchgef hrt werden Beispielkonfiguration Etage2 wn SE TE l Sie haben mehrere TG TG TG Se Arbeitspl tze wie in Me WEE Wes der linken Grafik dar gestellt auf zwei Etagen verteilt Die Computer jeder Etage ir LS PC2 gez Firewall sind jeweils an einen E Switch angeschlossen PC1 und PC2 von Etage 1 sollen nun mit PC4 von Etage 2 zum Netzwerksegment VLAN 10 zusammengefasst werden PC3 PC5 und PC6 werden zu VLAN 20 zusammengefasst Ce gt nn tagged Auf beiden Switches m ssen die Ports konfiguriert werden Switch a Switch b Port VLAN Tag tagged 10 20 U U U F r PC3 sieht es nun so aus als w re er nur ber einen Switch mit PC5 und PC6 verbunden Damit die Rechner nun eine Verbindung zum externen Netzwerk Internet erhalten muss noch die Schnittstelle zum Internet Sicher heitssystem im Beispiel eth2 eingestellt werden 169 System benutzen amp beobachten zur Konfiguration einer Schnittstelle zum Virtual LAN ben tigen S
116. License Key kann im Sicherheitssystem eingespielt werden Auf diese Weise k nnen Sie selbst den Beginn des Lizenzzeitraums Ihres Sicherheitssystems bestimmen Sie installieren zuerst die Software und registrieren anschlie end Ihre Lizenz erst in diesem Augenblick beginnt die Zeitspanne f r die abonnierte Unternehmensversion und die erworbenen Module 56 System benutzen amp beobachten Weitere Informationen zur Lizenzierung sowie den entsprechenden Activation Key erhalten Sie bei einem zertifizierten Astaro Partner oder Sie wenden sich ber die E Mail Adresse sales astaro com direkt an Astaro Hinweis Der Activation Key kann nicht direkt ber das Konfigurationstool WebAdmin auf dem Sicherheitssystem eingespielt werden Der Acti vation Key dient nur zur Aktivierung des License Key Nur dieser License Key kann auf dem Sicherheitssystem eingespielt werden Benutzer Account festlegen 1 ffnen Sie mit Ihrem Browser die Internetseite mit der Adresse https my astaro com Melden Sie sich in MyAstaro an What is your e mail address F r die Authentifizierung wird die E Mail Adresse verwendet Als Neukunde tragen Sie hier Ihre E Mail Adresse ein Wenn Sie bereits das Registration Portal genutzt haben tra gen Sie in das Eingabefeld die E Mail Adresse ein die Sie bei der Anmeldung verwendet haben Falls Sie die damals verwendete E Mail Adresse nicht mehr wissen k nnen Sie diese unter dem Dialog Returning Registration
117. Log Files auf Ihren lokalen Client herunterladen Diese Log Files k nnen anschlie end zur Auswertung der Daten in externe Program me z B Microsoft Excel importiert werden 423 System benutzen amp beobachten Das Log File Unterverzeichnis Im Unterverzeichnis befinden sich alle Protokolle Logs einer Gruppe Die Untergruppe wird in der bersicht durch einen Klick auf das Ord ner Symbol P ge ffnet Die zus tzlichen Funktionen im Unterverzeichnis sind Browse local Log Files Total 1 2 7 Filters Y TALEE ate Activity Size mi 9 Accounting data 6files 276 di rs Admin notifications 8 files Today 5914 ra Boot messages ek files 4170 di rs Content filter D 4 files 108 d ra DNS proxy o les Today 46kB dr ra HTTP proxy DI o les zeg d Browse local Log Files E 7 Name r Admin notifications P 8files Ir Admi Wednesday June 15 2005 var log notifier log Live log r 8 Admin notifications Tuesday June 14 2005 notifier 2005 06 14 log gz 274 di r Admin notifications Monday June 13 2005 notifier 2005 06 13 log gz 290 di r amp Admin notifications Sunday June 12 2005 notifier 2005 06 12 log g27 40 d ra Admin notifications Saturday June 11 2005 p notifier 2005 06 11 l0g gz 138 di B Admin notifications Friday June 10 2005 p notifier 2005 06 10 l0g gz EEN di EI Admin notifications Thursday June 09 2005 H notifier 2005 06 09 log gz 164 i r Admin
118. MS Windows NT 2000 Netzwerke die auf dem MS Windows NT 2000 Active Directory Domain Konzept basieren Der Vorteil von SAM ist dass es sehr einfach zu konfigurieren ist wenn auf dem Netzwerk schon ein Primary Domain Controller PDC oder ein einfacher Server mit Benutzerdatenbank l uft Der Nachteil ist dass bei diesem Modell nicht zwischen verschiedenen Benutzergruppen unterschieden werden kann Sie k nnen entweder alle Benutzer einer SAM Datenbank f r einen bestimmten Proxy frei schalten oder keinen SAM NT 2000 XP einstellen Um diese Authentifizierungsme thode zu verwenden ben tigen Sie einen Microsoft Windows NT oder 2000 Server in Ihrem Netzwerk der die Benutzer Daten enth lt Dies kann ent weder ein Primary Domain Controller PDC oder ein selbst ndiger Server sein Dieser Server hat einen NETBIOS Namen der NT 2000 Servername und eine IP Adresse 1 ffnen Sie im Verzeichnis System das Men User Authenti cation 2 Schalten Sie die Funktion im Fenster SAM NT 2000 XP Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein PDC Name Tragen Sie in dieses Eingabefeld den Namen des Domain Controllers ein 96 System benutzen amp beobachten Da ab Microsoft Windows 2000 diese Namen auch offizielle DNS Namen sind unterst tzen wir nur Namen bestehend aus alpha numerischen sowie Minus und Punkt Zeichen Sonderzeichen z B _ werden als Fehler gewertet PDC Add
119. Mit BEE Hilfe der Backup Datei sind Sie Conirmason Kg in der Lage ein neu installiertes Send Backups by E Mail System auf einen identischen E Mail addresses Konfigurationsstand zu bringen Dies ist bei einem Hardware Defekt besonders hilfreich da binnen Minuten ein neues Sicherheitssystem installiert und anschlie end das Backup eingespielt werden kann Bereits nach kurzer Zeit ist auf diese Weise ein Ersatzsystem einsatzbereit In die aktuelle Software Version 6 kann nur ein Backup aus der Ver Achtung sion 5 200 oder h her eingespielt werden Tragen Sie im Men Licensing zuerst den License Key ein und spielen anschlie end das Backup ein Vom System werden sonst nur drei Netzwerkkarten hochgefahren und dies kann dazu f hren dass das Konfigurationstool WebAdmin nicht mehr erreichbar ist 69 System benutzen amp beobachten Hinweis Legen Sie nach jeder nderung der Systemeinstellungen eine neue Backup Datei an Auf diese Weise haben Sie immer die aktuellen Ein stellungen Ihres Systems gespeichert Bewahren Sie dieses Backup an einem sicheren Ort auf da alle Konfigurations Einstellungen z B die Zertifikate und Keys darin enthalten sind Pr fen Sie die Backup Datei nach der Generierung immer auf Les barkeit Es ist au erdem ratsam durch ein externes MD5 Programm eine Pr fsumme zu generieren die es Ihnen auch sp ter erm glicht die Funktionsf higkeit der Backup Datei zu pr fen Re
120. N Remote Keys Er wird dann automatisch als Local PSK Key eingesetzt 381 System benutzen amp beobachten 5 7 4 Remote Keys New Remote IPSec Key Im Men Remote Keys ISCH verwalten Sie die IPSec Key Type Ss Remote Key Objekte Ein IPSec Remote Key Objekt repr sentiert eine IPSec CA Management Remote Keys No host certificates defined in CA Manag t Gegenstelle Diese Gegen stelle kann ein Security Gateway ein Host oder auch ein Road Warrior mit dynamischer IP Adresse sein Ein IPSec Remote Key Objekt enth lt drei Parameter e Die IKE Authentifizierungsmethode PSK RSA X 509 e Die IPSec ID der Gegenstelle IP Hostname E Mail Adresse Certificate e Die Authentifizierungsdaten Shared Secret mit PSK Public Key mit RSA X 509 Zertifikate werden w hrend dem Key Exchange bermittelt User Config Download Die Funktion User Config Download erleichtert die Konfiguration der Client Anwendungen f r X 509 basierte IPSec VPN Road Warrior Ver bindungen Die Funktion ist in der Tabelle CA Management Remote Keys enthalten und wird aktiviert wenn das entsprechende Benutzer zertifikat im Men IPSec VPN Connections f r eine Road Warrior Verbindung ausgew hlt wurde CA Management Remote Keys Name VPN Virt H client x 509 DN from CERT CSR body H server x 509 DN from CERT CSR body none none Das Sicherheitssystem speichert das Profil der X 509 basierten Road Warrior Verbindung in einer
121. NT Domain Membership Bei dieser Authentifizierungsmethode wird das Protokoll NTLM ver wendet NTLM steht f r New Technology LAN Manager und ist eine Weiterentwicklung des LAN Managerprotokolls LM zur Benutzer authentifizierung in Windows Netzwerken Das Challange Response basierte Protokoll NTLM ist standardm ig auf den Betriebssystemen MS Windows 2000 und 2003 Server enthalten Der Squid Proxy kann mit diesem Protokoll Benutzer authentifizieren Bei dieser Authentifizierungsmethode wird zur Bewertung der Anfra gen ein MS Windows NT 2000 Domain Controller DC verwen det Weitere Informationen zu Domain Controller DC erhalten Sie in der Einleitung zum Men User Authentication auf Seite 83 Die Authentifizierungmethode mit NTML unterst tzt neben RADIUS ebenfalls die Fern Remote Benutzerauthentifizierung Die Methode mit NTLM hat allerdings gegen ber von RADIUS den Vorteil dass sich der Benutzer aufgrund des Single Sign On Mechanismus nicht je desmal vor der Nutzung des Internets mit Benutzernamen und Passwort anmelden muss Die Funktionsweise der Domain Anbindungs Methode von NTML un terscheidet sich komplett von den drei anderen Authentifizierungsme thoden auf diesem Sicherheitssystem Die Authentifizierung mit NTML wird in MS Windows Umgebungen in der Regel f r Clients einge setzt die den Browser Internet Explorer nutzen Allerdings sind auch Systeme mit Clients erfolgreich im Einsatz auf denen die Brows er Firefox oder Mozil
122. Name UPN oder den gesamte Distinguished Name DN des Benutzers eintragen Beispiele UPN admin example com DN cn administrator cn users dce example dc com 2 Novell eDirectory Tragen Sie in das Eingabefeld den gesamten Distinguished Name DN des Benutzers ein Beispiel DN cn administrator o our_organisation 113 System benutzen amp beobachten 114 3 OpenLDAP Bei OpenLDAP oder OpenLDAP konformen Stand alone Ser vern kann nur der Distinguished Name DN des Benutzers eingetragen werden Base DN Tragen Sie in das Eingabefeld die Objektnamen ein von wo aus der Client den Vorgang startet Beispiele F r MS Active Directory dc example dce com F r Novel eDirectory o our_organisation Tragen Sie im Eingabefeld Password das Passwort ein Dieses Passwort sollte auch f r die Administration des Stand alone LDAP Servers verwendet werden N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 4z Falls Sie die Verbindung zum LDAP Server mit dem SSL TLS Standard verschl sseln m chten schalten Sie die Funktion in der Zeile Use TLS encryption durch einen Klick auf die Schaltfl che Enable ein Durch die Verschl sselung haben Sie die M glichkeit die LDAP Authentisierung auch ber ffentliche Netzwerke zu nutzen Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl
123. P Schalten Sie im Fenster SIP Proxy den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster F hren Sie die Grundeinstellungen durch Transparent Mode Der SIP Proxy kann im transparenten Mo dus betrieben werden um zum einen den Gebrauch des Proxy zu vereinfachen oder um auch SIP Ger te nutzen zu k nnen bei denen kein Outbound Proxy eingestellt werden kann In diesem Modus wird der gesamte Datenverkehr an UDP Port 5060 zum Proxy geleitet Debug Mode Diese Funktion steht Ihnen zur berpr fung der IPSec Verbindung zur Verf gung In den SIP Proxy Logs werden ausf hrliche Informationen protokolliert Diese Protokolle k nnen Sie im Men Local Log Browse in Echtzeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Local Logs werden im Kapitel 5 10 ab Seite 417 beschrieben Ougoing Interface Stellen Sie in diesem Drop Down Men die prim re externe Netzwerkkarte ein Beachten Sie bitte dass hier auch wenn das Sicherheitssystem im Bridge Mode betrieben wird eine IP Adresse konfiguriert sein muss Die Schnittstellen werden im Men Network Interfaces konfi guriert Weitere Informationen zum Bridging erhalten Sie in Kapitel 5 2 1 auf Seite 134 Allowed Networks W hlen Sie im Drop down Men die Netz werke aus die auf diesen Proxy zugreifen d rfen Beschrenken Sie den Zugriff auf Netzwerke innerhalb des LANs Die Netzwerke werden im
124. P Anfra gen f r diese Adressen beantwortet Wichtiger Hinweis Copy TOS Flag Die Type of Service Bits TOS sind eine Menge von vier Bit Flags im IP Header Die Bits werden Type of Service Bits genannt da sie es der bertragenden Applikation erm glichen dem Netzwerk mitzuteilen welche Art von Dienstg te gerade ben tigt wird Die verf gbaren Dienstg teklassen sind Minimale Verz gerung minimum delay maximaler Durchsatz maximum throughput maximale Zuverl ssigigkeit maximum reliability und minimale Kosten minimum cost Mit dieser Funktion wird der Inhalt des Type of Service Feldes in das verschl sselte Datenpaket kopiert Auf diese Weise kann der IPSec Datenverkehr aufgrund seiner Priorit t geroutet werden Die Funktion Copy TOS Flag wird durch einen Klick auf die Schalt fl che Enable eingeschaltet Send ICMP Messages Falls ein Datenpaket den eingestellten MTU Wert berschreitet wird vom System eine ICMP Nachricht an die Quelladresse gesendet Destination unrechable fragmentation needed Zieladresse nicht erreichbar Fragmentierung erforderlich Dies erm glicht die Verwendung von Path MTU Discovery Automatic CRL Fetching Es sind Situationen denkbar in denen ein Zertifikataussteller noch w hrend der G ltigkeitsdauer eines Zertifi kats die darin gegebene Best tigung f r ung ltig erkl ren m chte z B weil zwischenzeitlich bekannt wurde dass das Zertifikat vom Zertifikatnehmer unter Angabe falscher
125. Paketfilterregel aus w hlen Durch einen Klick auf die Schaltfl che Save werden die n derungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Wenn f r eine Paketfilterregel ein Zeitintervall eingestellt ist wird im entsprechenden Feld das Uhren Symbol angezeigt Die genauen Ein stellungen f r dieses Zeitintervall werden angezeigt wenn Sie mit der Maus dieses Uhrensymbol ber hren Die Zeitinterwalle werden im Men Definitions Time Events def iniert Das Men wird in Kapitel 5 2 4 ab Seite 150 beschrieben Paketfilterregel editieren Durch einen Klick auf die entsprechende Einstellung wird ein Eingabefeld ge ffnet Anschlie end k nnen Sie die Eingaben bearbeiten Durch einen Klick auf die Schaltfl che Save werden die nderungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Reihenfolge der Paketfilterregel ndern Die Abfolge der Paket filterregeln in der Tabelle ist ausschlaggebend f r das korrekte Funk tionieren der Firewall Durch einen Klick auf die Positionsnummer k n nen Sie die Reihenfolge der Abarbeitung ver ndern W hlen Sie im Drop down Men die Position aus wohin die Paketfilterregel verscho ben werden soll und best tigen Sie dies durch einen Klick auf die Schaltfl che Save Paketfilterregel l schen Durch einen Klick auf das Papierkorb Symbol wird die Paketfilterregel aus der Tabelle gel scht Regelsatztabelle sortieren Du
126. Pool festlegen Die PPTP Benutzer legen Sie im Men Definitions Users an Dort ist es m glich bestimmten Benutzern eigene IP Adressen zuzuweisen Diese IP Adressen m ssen nicht Bestandteil des verwendeten Pools sein Sollen diese Adressen im Paketfilter oder an anderer Stelle der Konfiguration verwendet werden m ssen sie entweder als einzelne Hosts Netzmaske 255 255 255 255 oder als Teil eines bergeord neten Netzwerkes definiert werden Hinweis Falls Sie f r Ihren PPTP Pool private IP Adressen wie z B das vordefinierte Netzwerk verwenden m ssen Sie Masquerading oder NAT Regeln f r den PPTP Pool erstellen wenn ein Zugriff auf das Internet von den PPTP Hosts aus erw nscht ist 214 System benutzen amp beobachten DHCP Settings Dieses Fenster wird ange zeigt wenn Sie im Fenster PPTP VPN Access bei der Funktion IP Address Assignment die Einstellung DHCP ausgew hlt haben Interface Stellen Sie hier die Netzwerkkarte ein ber die der DHCP Server angeschlossen ist Beachten Sie dabei dass der DHCP Server nicht direkt angeschlossen sein muss der Zugang ist ebenso ber einen Router m glich DHCP Server W hlen Sie hier den DHCP Server aus In diesem Drop down Men werden alle Hosts angezeigt die im Men Definitions Networks definiert wurden PPTP Client Parameters In diesem Fenster k nnen Sie den Hosts w hrend des Get WINS Servers PPTP Verbindungsaufbaus zus tzlich bestimmt
127. Portal users abfragen Sie ben tigen Ihr Username und das Password Do you have a MyAstaro password Falls Sie sich zum ersten Mal in MyAstaro anmelden klicken Sie das Auswahlk stchen bei No I am a new user an Falls Sie bereits Benutzer von MyAstaro sind tragen Sie das Passwort in das Eingabefeld Yes my password is ein Klicken Sie anschlie end auf die Schaltfl che Submit 57 System benutzen amp beobachten 3 Generieren Sie einen MyAstaro Accout E Mail Address In diesem Eingabefeld k nnen Sie Ihre Adresse korrigieren Password Tragen Sie Ihr gew nschtes Passwort ein First Name Tragen Sie Ihren Vornamen ein Last Name Tragen Sie Ihren Nachnamen ein Klicken Sie anschlie end auf die Schaltfl che Register Bei erfolgreicher Registrierung wird nun die Seite mit der Mel dung Congratulations you have created your MyAstaro account Des Weiteren wird Ihnen per E Mail eine Best tigung zugesendet Sie k nnen nun in MyAstaro verschiedene Versionen des Inter net Sicherheitssystems herunterladen und zu Ihrer Lizenz die folgenden Aktionen durchf hren 1 Version 5 Lizenzen zu Version 6 Lizenzen konvertieren gekaufte Version 6 Activation Keys registrieren Optionen zu registrierten Lizenzen hinzuf gen eine kostenlose Home User Lizenz herunterladen vv A w N eine funktionserweiterte 30 Tage Testversion herunterladen Internet Sicherheitssystem lizenzieren F r die Lizenzierung des Internet Sicherheitss
128. Profile hinzuf gen 297 File Extension Blocking 295 299 Lizensierung ece 56 Profile editieren 297 Profile zuweisen 303 Profile Assignment Tabelle Wee 200 Profiles Funktionen 291 300 Profiles Tabelle 290 482 Skip Authentication for Domains nsise 280 Strip Embedded Objects 294 Strip Gcrlpts 294 URL Blacklist 296 URL Whitelist 295 Whitelist Domains 280 SYN TCP Flood Protection einschalten ausschalten 235 SYN TCP Flood Protection 234 System Information 265 System Time automatisch synchronisieren manuell einstellen 50 System Up2Date einspielen automatisch 62 einspielen lokal 63 einspielen manuell 62 installieren eese 64 installieren auf HA L sung64 Systemvoraussetzungen Administrations PC 23 Beispielkonfiguration 23 Hardware 21 TCP Window Scaling 261 Time Events Zeitintervall konfigurieren dE 151 Zeitintervall l schen 151 Time Gettings en 49 Transparent Bridging Mode EEE EEE EEE 157 UDP Flood Protection einschalten ausschalten 237 UDP Flood Protection 237 Up2Date Service Einletung 60 Lizensierung ann 56 Pattern Up2Date 66 System Up2Deate 61 Upstream Proxy Server definieren 68 Use Upstream HTTP Proxy68 UPS Ger te Support 22 399 Upstream Proxy
129. Proxies nunuanennnnnnnenen 268 OR 269 Content Filter Surf Protection weeks a KKK Ku 279 SMTP E 304 Content Filter urnennunnnnnnennunnnnnnennunn namen nun 315 Spam Protection ununununnnnununanananannnnnnnnanananann 320 e LE EE 330 Content Filter uar ann 332 DNS tan I ER 336 E EE 338 CR 340 EE E a Re sunete ner nen 344 Inhaltsverzeichnis Inhalt 5 6 8 5 6 9 5 7 5 7 1 5 7 2 5 7 3 5 7 4 5 7 5 5 7 6 5 7 7 5 8 5 8 1 5 8 2 5 8 3 5 8 4 5 8 5 5 8 6 5 8 7 5 8 8 5 8 9 5 8 10 5 8 11 5 8 12 5 8 13 5 8 14 5 9 5 9 1 5 9 2 Seite E DEEN 346 Proxy Content Manager uuzununnonnonunnnnnnnanunnnennn 347 Virtual Private Networks IPSec VPN ununnunenrr 355 Connections unsunnnennennannnnnnennunnnnanennunn namen nun 365 Policies nennen 374 Local KeyS unuauananununununununnnnnnununananananununnnnanananann 379 Remote KeyS unnuununnnonnonnunnunnunnnnnnnnnunnunnunnnnn NEEN 382 L2TP over IPSec uuunuanuunnunnunnnannannannannunnnnnennnn 386 CA Management zuenennonnnnononnannnnonunnannnnanun nn 389 Advanced TEE 394 System Management Reporting xxx seen 398 Administration ke KENE en nun nun nn en nun nun nn en nen 398 Virus Statistics aa in 399 Hardware kee ENNER EEN EEN EEN EEN ENNER Ek 400 Network gess ne he en bh anne nn anna nenne 401 Packet Filter see NENNEN NEEN ENEE EN ENNER Ek 401 Content Filter ursennunnnn
130. Proxy Logs werden die Aktivit ten von HTTP Clients protokolliert Ident proxy In diesen Log Dateien werden die Aktivit ten des Ident Proxy protokolliert Intrusion Protection System In diesen Log Dateien werden die Aktivit ten des Intrusion Protection System IPS protokolliert IPSec VPN In diesen Log Dateien werden umfangreiche Informa tionen zu den Einstellungen der IPSec VPN und L2TP over IPSec Verbindungen protokolliert Dies beinhaltet auch Informationen zum Schl sselaustausch Key Exchange und zur Verschl sselung En cryption Kernel messages In den Kernel Logs wird der System Status pro tokolliert inklusive der Meldungen von den Ger tetreibern der Mel dung des Boot Prozesses sowie der vom Paketfilter Packet Filter geblockten Datenpakete 427 System benutzen amp beobachten License information In diesen Log Dateien werden die Statusin formationen des License Daemon alicd protokolliert Diese Log Da teien geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt Logging subsystem In diesen Log Dateien werden z B Vorg nge zur lokalen Archivierung der Log Dateien auf dem Sicherheitssystem zu versendeten Dateien an das Remote Log File Archive und zu abgesendeten Notifications protokolliert Local logins In diesen Log Dateien werden Informationen zu Ein logg Prozessen in die lokale Konsole protokolliert MiddieWare In diesen Log Dateien wer
131. Quality of Service QoS i m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben I Wichtiger Hinweis Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der 183 System benutzen amp beobachten 184 vorgeschalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Downlink Bandbreite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbind
132. Regel vom Administrator des Netzwerks 219 System benutzen amp beobachten 5 3 8 Accounting Mit dem Accounting wer den auf den Netzwerkkarten DES alle transportierten IP Pa leiere GE z kete erfasst und die Daten menge aufsummiert In die sem Men k nnen Sie spezi fizieren auf welchen Netzwerkkarten der anfallende Datenverkehr gez hlt werden soll Sie haben die M glichkeit die gesammelten Da ten im Men Log Files Accounting herunterzuladen oder eine t g liche Auswertung der Daten im Men Reporting Accounting zu konfigurieren Wichtiger Hinweis Im Normalfall sollte das Accounting nur auf einer Netzwerkkarte durchgef hrt werden da sonst weitergeleitete Datenpakete mehr mals gez hlt werden Wenn Sie Masquerading verwenden sollten Sie das Accounting auf der internen Netzwerkkarte durchf hren Datenpakete die auf der externen Netzwerkkarte das Internet Sicherheitssystem verlas sen wurden bereits auf die neue Quelladresse umgeschrieben Sie haben auch die M glichkeit Hosts oder Netzwerke vom Ac counting auszuschlie en Nach Installation des Internet Sicherheits systems sind alle Netzwerke in die Accounting Funktion einbezogen Netzwerk vom Accounting auszuschlie en k nnte von Interesse sein wenn z B die Netzwerkkarte zur DMZ im Accounting eingetragen ist aber ein einzelner Rechner im DMZ nicht mitgez hlt werden soll Da er eventuell nur f r interne Zwecke
133. S steht f r Remote Authentication Dial In User Service RADIUS ist ein Protokoll mit dem ein Router Informationen f r die Benutzer authentifizierung von einem zentralen Server abfragen kann Router Gateway Ein Router ist ein Vermittlungsrechner der eine intelligente Wegewahl f r die Netzwerkpakete ausw hlt Ein Gateway ist streng genommen etwas anderes als ein Router aber im Zusammenhang mit TCP IP sind beide Begriffe synonym Wenn man Verbindungen ber das eigene Netzwerk hinaus aufbauen m chte muss man dem eigenen Rechner diesen Router Gateway bekannt machen Gew hnlich wird 472 Glossar die h chste oder die niedrigste Adresse verwendet z B im Netzwerk 192 168 179 0 24 die Adresse 192 168 179 254 oder 192 168 179 1 Server Ein Server ist ein Rechner im Netz der besondere i d R standardi sierte Dienste anbietet z B WWW FTP News usw Um diese Dienste nutzen zu k nnen brauchen Sie als Anwender einen f r den gew nschten Dienst passenden Client SIP Das TSession Initiation ProtocolT SIP ist ein Signalisierungspro tokoll zum Aufbau zur Modifikation und zum Beenden von Sitzungen zwischen zwei oder mehreren Kommunikationspartnern Das text orientierte Protokoll basiert auf HTTP und kann Signalisierungsdaten per TCP oder UDP ber IP Netzwerke bertragen Es bildet damit u a die Grundlage f r Voice over IP Videotelefonie VoIP und Multime dia Dienste in Echtzeit Im Multimedia Subsystem ist SIP d
134. SAKMP IKE Settings die Einstel lungen f r die IKE Verbindung IKE Mode Der IKE Modus beschreibt das f r den Schl sselaus tausch n tige Protokoll Derzeit wird nur Main Mode unterst tzt Encryption Algorithm Der Encryption Algorithmus beschreibt den Algorithmus f r die Verschl sselung der IKE Verbindung Die IPSec VPN Funktion dieses Internet Sicherheitssystems unter st tzt 1DES 56bit 3DES 168bit AES Rijndael 128bit AES Rijndael 192bit AES Rijndael 256bit Blowfish Serpent 128bit und Twofish Authentication Algorithm Hier wird angezeigt welcher Algo rithmus verwendet wird um die Vollst ndigkeit der IKE Nach richt zu pr fen Unterst tzt werden die Algorithmen MD5 128 bit SHAl 160bit SHA2 256bit und SHA2 512bit Der zu ver wendende Algorithmus wird von der Gegenstelle der IPSec Ver bindung bestimmt Wichtiger Hinweis Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen e einen hohen Anteil der Systemresourcen IKE DH Group Die IKE Group Diffie Hellmann Group be zeichnet und beschreibt die asymetrische Verschl sselung w h rend des Schl sselaustauschs Die IPSec VPN Funktion dieses Internet Sicherheitssystems unterst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X MODP 3072 und Group X MODP 4096 Die zu verwendende Gruppe wird von der Gegenstelle der IPSec Verbindung bestimmt SA Lifetime secs Hier definieren Sie die Dauer der IKE Ver bindung in
135. Sekunden Nach der Installation sind standardm ig 7800 Sekunden 2h 10 min eingestellt 375 System benutzen amp beobachten 376 Generell ist eine Zeitspanne zwischen 60 und 28800 Sekunden 8 Stunden m glich Definieren Sie im Fenster IPSec Settings die Einstellungen f r die IPSec Verbindung IPSec Mode Dieses System unterst tzt den Tunnel Mode IPSec Protocol Dieses System unterst tzt nur das Protokoll ESP Encryption Algorithm Hier w hlen Sie den Algorithmus f r die Verschl sselung der IPSec Verbindung aus Dieses System unterst tzt die Verschl sselungs Algorithmen LDES 56bit 3DES 168bit AES Rijndael 128bit AES Rijndael 192bit AES Rijndael 256bit Blowfish Serpent 128bit und Twofish Wenn Sie die IPSec Verbindung ohne Ver schl sselung aufbauen m chten w hlen Sie null aus Enforce Algorithm Wenn ein IPSec Gateway einen Vorschlag bzgl eines Verschl sselungsalgorithmus und der St rke macht kann es vorkommen dass das Gateway der Gegenstelle diesen Vorschlag annimmt obwohl die IPSec Policy diesem nicht ent spricht Um dies zu verhindern muss Enforce Algorithm akti viert werden Beispiel Die IPSec Policy fordert AES 256 als Verschl sselung Ein Road Warrior mit SSH Sentinel will aber mit AES 128 verbinden Ohne Enforce Algorithm wird die Verbindung trotzdem zugelas sen was ein Sicherheitsrisiko darstellt Authentication Algorithm Unterst tzt werden die Algorithmen MD5 128bit SHA1 160bi
136. Setting System Pass words 2 Lizenzbestimmungen akzeptieren Die Lizenzbestimmungen im Fenster License Agreement ak zeptieren Sie durch einen Klick auf das Optionsfeld I agree to the terms of the license Hinweis Beachten Sie die rechtlichen Hinweise und Lizenzbestimmungen D 3 Passw rter setzen Setzen Sie im Fenster Setting System Passwords die Passw r ter f r das Internet Sicherheitssystem N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT35 42z 31 Installation 32 Zusammensetzung des Passworts Um die Sicherheit f r das Sicherheitssystem und somit auch f r das interne Netzwerk zu erh hen unterliegt die Zusammensetz ung und die L nge des Passworts den nachfolgend aufgef hrten Restriktionen Das Passwort wird vom Sicherheitssystem nur bernommen wenn diese Bestimmungen erf llt sind eine Mindestl nge von acht Zeichen mindestens ein kleingeschriebener Buchstabe mindestens ein gro geschriebener Buchstabe mindestens eine Zahl mindestens ein nicht alphanumerisches Zeichen innerhalb der ASII Tabelle Zeile 32 bis 126 Sie k nnen WebAdmin nur starten wenn Sie f r die folgenden Funktionen ein Passwort gesetzt haben Best tigen Sie die Pass w rter durch die nochmalige Eingabe in das jeweilige Eingabefeld Confirm Die Benutzernamen Username sind vorgegeben und k nnen nic
137. Sicher heitssystem selbst erlaubt diese Verbindung ohne weitere Einstel lungen Falls Sie jedoch eine bergeordnete Upstream Firewall ver wenden m ssen Sie auf dieser die Kommunikation ber Port 443 TCP zu den Update Servern erlauben Des Weiteren muss auf dem Upstream Proxy das Virus Protection f r die Up2Date Verbindung ausgeschaltet werden Definieren Sie hierf r ein Profile in der Surf Protection Profile Tabelle und lassen die Funktion Virus Protec Wichtiger Hinweis tion for Web ausgeschaltet Weitere Informationen zur Konfiguration des Surf Protection Pro file erhalten Sie in Kapitel 5 6 1 1 ab Seite 279 60 System benutzen amp beobachten Bei Sicherheitssystemen hinter einem Upstream Proxy muss f r das Herunterladen der Up2Date Pakete immer der DNS Proxy einge schaltet werden Die daf r notwendige Namensaufl sung erfolgt nicht automatisch ber den Upstream Proxy Die Konfiguration des DNS Proxy wird in Kapitel 5 6 4 ab Seite 336 beschrieben Wichtiger Hinweis System Up2Date Mit dem Modul System Up2Date importieren Sie System Patches und neue Sicherheits Features auf Ihr Internet Sicherheitssystem Die Up2Date Pakete k nnen manuell oder automatisch vom Update Server heruntergeladen werden Falls Sie nicht ber eine Internet verbindung verf gen k nnen die Up2Date Pakete von einem lokalen Datentr ger aus eingespielt werden Neu eingespielte Up2Date Pakete werden in der Tabelle Unapplied Up2
138. Sie dass aufgrund von Stateful Inspection nur f r den Verbindungsaufbau Paketfilterregeln gesetzt werden m s sen Die Antwort oder R ckpakete werden automatisch erkannt und akzeptiert Das Setzen von Paketfilterregeln Packet Filter wird in Kapitel 5 5 ab Seite 243 beschrieben Paketfilter beobachten Debugging Mit der Funktion Packet Filter Live Log im Men Packet Filter Advanced k nnen Sie sehen welche Datenpakete in Ihrem Paketfilter gefiltert werden Wenn nach der Installation des Internet Sicherheitssystems Probleme auftauchen so eignen 37 Installation 16 sich diese Informationen zum Debugging Ihrer Paketfilter regeln Die Funktion Packet Filter Live Log wird in Kapitel 5 5 3 ab Seite 260 beschrieben Sicherheitssystem und Virenscanner aktualisieren ffnen Sie im Verzeichnis System das Men Up2Date Service und f hren Sie das System Up2Date aus Falls Ihre Lizenz auch Virus Protection beinhaltet starten Sie anschlie end manuell die Funktion Pattern Up2Date Das Modul Up2Date Service wird in Kapitel 5 1 3 ab Seite 60 beschrieben Wenn Sie diese Schritte erfolgreich durchgef hrt haben ist die Erst konfiguration des Internet Sicherheitssystems abgeschlossen Schlie en Sie nun das Konfigurationstool WebAdmin durch einen Klick auf die Schaltfl che Exit Probleme Sollten bei der Durchf hrung dieser Schritte Probleme auftauchen so wenden Sie sich bitte an den Support ihres Sicherheitssystem A
139. Sie hier das Zertifikat f r die X 509 Au thentifizierung aus Es sind nur die Zertifikate verf gbar bei denen der passende Private Key vorhanden ist Passphrase Tragen Sie in das Eingabefeld das Passwort ein mit dem der Private Key gesichert ist Der Active Key wird anschlie end mit seinem Namen im Fenster Local IPSec X 509 Key angezeigt Wenn Sie einen neuen Local Key ausw hlen wird der alte automatisch ersetzt Das Sicherheitssystem verwendet nun die ID und den Public Private Key des aktuellen Local X 509 Key zur Identifizierung Authenti fizierung und zur Verschl sselung des X 509 IPSec Key Exchanges 379 System benutzen amp beobachten RSA Authentication F r die Authentifizierung mit RSA wird an den Endpunkten jeweils ein Schl ssel Key Paar bestehend aus einem Public Key ffentlichen Schl ssel und einem Private Key privaten Schl ssel ben tigt Das Schl ssel Key Paar wird in zwei Schritten im Fenster Local IPSec RSA Key erstellt Zuerst wird der Local IPSec Identifier definiert und daraus wird anschlie end das Schl ssel Key Paar ge neriert 1 Definieren Sie im Fenster Local IPSec RSA Key einen einzigartigen VPN I dentifier IPv4 Address F r statische IP Adressen Hostname F r VPN Security Gateways mit dynamischen IP Adressen E Mail Address F r mobile Road Warrior Verbindungen Speichern Sie anschlie end die Einstellung durch einen Klick auf die Schaltfl che Save 2 Generieren S
140. Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die Netzwerkgruppe ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Network Group aus Initial Members W hlen Sie im Auswahlfeld die Netzwerke aus indem Sie auf der Tastatur die Strg Taste gedr ckt halten und mit der Maus die Namen markieren Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die Netzwerkgruppe hinzuf gen 4 Speichern Sie die Netzwerkgruppe durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird die neue Netzwerkgruppe in die Netzwerktabelle eingetragen Sie finden diese Netzwerkgruppe jetzt 138 System benutzen amp beobachten unter seinem Namen auch in verschiedenen anderen Men s wieder IPSec Benutzergruppe definieren Diese Definition enth lt nur den Distinguished Name DN Er wird f r ankommende IPSec Verbindungen die X 509 Zertifikate verwen den eingesetzt Wenn der DN der Gruppe mit dem des Benutzers bereinstimmt wird seine virtuelle IP Adresse dynamisch bei der Gruppe hinzugef gt
141. Sie nun die Definition Ihres Gesamtsystems durch System benutzen amp beobachten WebAdmin starten 1 Starten Sie Ihren Browser und geben die IP Adresse des Inter net Sicherheitssystems eth0 wie folgt ein https IP Adresse Beispiel aus Kapitel 3 2 Installationsanleitung Schritt 6 https 192 168 2 100 Falls Sie noch kein Zertifikat f r Ihre WebAdmin Seite gene riert haben erscheint ein Sicherheitshinweis Ausf hrliche Informationen zum Zertifikat und wie Sie dieses installieren finden Sie in Kapitel 5 1 10 ab Seite 119 Best tigen Sie die Frage auf dem Sicherheitshinweis ob der Vor gang fortgesetzt werden soll mit einem Klick auf die Schaltfl che Ja Authentifizieren Sie sich im WebAdmin User admin Password Passwort des WebAdmin Benutzers Beachten Sie bitte die Gro und Kleinschreibung Klicken Sie auf die Schaltfl che Login Ein anderer Administrator ist schon eingeloggt Sollte bereits ein anderer Administrator im Konfigura EE a tionstool WebAdmin ange l meldet sein wird eine ent sprechende Meldung ange zeigt Anhand der IP Adresse k nnen Sie sehen von welchem Rechner auf das Internet Sicherheitssystems zugegriffen wird Sie k nnen diese Session beenden Geben Sie im Eingabefeld Reason den Grund f r die bernahme an und klicken anschlie end auf die Schaltfl che Login 47 System benutzen amp beobachten Nun sind Sie im Internet Sicherheitssystem eingeloggt und k nnen
142. TCP Flood Attacken k nnen dazu f hren dass sehr umfangreiche Protokolle erstellt werden Mit diesem Drop down Men k nnen Sie den Umfang des Logging einstellen Die m glichen Einstellungen sind Alles Everthing Limitiert Limited und Aus Off Mit den folgenden beiden Einstellungen k nnen Sie Netzwerke von der Funktion Portscan Detection auschlie en Skip Source Networks Hier k nnen Sie zuverl ssige Quell netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen 235 System benutzen amp beobachten 236 Skip Destination Networks Hier k nnen Sie zuverl ssige Ziel netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Definieren Sie in den folgenden beiden Einstellungen die maxi male Rate f r die Datenpakete Es ist sehr wichtig dass Sie in den Eingabefeldern angemessene Werte eintragen Wenn Sie die Werte zu hoch definieren kann es passieren dass z B Ihr Web Server in die Knie geht da er so eine gro e Summe an SYN Paketen nicht bew ltigen kann Wenn auf der anderen Seite die Rate zu gering definiert wurde kann es passieren dass das Sicherheitssystem unvorhersehbar reagiert und regul re Anfragen blockiert Die Werte h ngen haupts chlich von der Hardware ab auf der das Sicherheitssystem installiert ist Ersetzen Sie daher die Standardeinstellungen durch f r Ihr Sicherheitssystem geiegnete Werte Source flood packet rate packets second Tragen Sie in das Ein
143. TTPS Verbindungen SSL ber den Paketfilter Packet Filter abgewickelt werden User Authentication Dieser Modus entspricht in der Funktionalit t dem Modus Standard Der Benutzer bekommt zus tzlich nur durch vorherige Authentisierung Zugriff auf den HTTP Proxy Active Directory NT Domain Membership Dieser Modus steht zur Auswahl wenn Sie im Men die Authentifizierungsmethode Active Directory NT Domain Membership konfiguriert haben Wenn dieser Betriebsmodus eingestellt ist k nnen nur die Benutzer auf den HTTP Proxy zugreifen die auf dem Domain Controller der Gruppe http_access zugeh ren Damit ein Benutzer Zugriff auf das Internet erh lt muss er in der Profiles Tabelle einem bestimmten Profil zugeordnet sein Wenn Sie 272 System benutzen amp beobachten die Gruppe bereits im Active Directory AD definiert haben m ssen Sie dem Profil nur den selben Namen hier http_access geben wie der Gruppe im Verzeichnisdienst Auf diese Weise m ssen Sie nur die Profile f r die Benutzergruppe definieren f r die der Zugriff auf be stimmte Internetseiten verhindert werden soll Die Konfiguration der Surf Protection Profiles wird in Kapitel 5 6 1 1 ab Seite 279 beschrieben Hinweis EI nderung in Proxies wird ohne eine weitere Meldung sofort wirksam HTTP Proxy einschalten 1 2 ffnen Sie im Verzeichnis Proxies das Men HTTP Schalten Sie im Fenster Global Settings den Proxy durch einen Klick auf die Scha
144. Technologie externen Hosts in das gesch tzte Netzwerk passieren Wird diese Verbindung wieder abgebaut so hat kein System aus dem unge sch tzten Netzwerk die M glichkeit Pakete in ihrem abgesicherten Netzwerk zu platzieren es sei denn Sie wollen es so und erlauben diesen Vorgang explizit Anwendungsschicht Gateways Application Proxy Firewall Application Gateway Die zweite ma gebende Art von Firewalls sind die Anwendungs schicht Gateways Sie nehmen Verbindungen zwischen au enstehen den Systemen und Ihrem Netzwerk stellvertretend an In diesem Fall werden Pakete nicht weitergeleitet sondern es findet eine Art ber setzung statt mit dem Gateway als Zwischenstation und bersetzer Die Stellvertreterprozesse auf dem Application Gateway werden als Proxyserver oder kurz Proxies bezeichnet Jeder Proxy kann spe ziell f r den Dienst f r den er zust ndig ist weitere Sicherheitsmerk male anbieten Es ergeben sich weitere umfangreiche Sicherungs und Protokollierungsm glichkeiten durch die Verwendung von Proxies Die Analyse ist auf dieser Kommunikationsebene besonders intensiv m glich da der Kontext der Anwendungsdaten jeweils klar durch Protokollstandards definiert ist Die Proxies konzentrieren sich auf das Wesentliche Der Vorteil ist dass kleine berschaubare Module ver wendet werden wodurch die Fehleranf lligkeit durch Implementa tionsfehler reduziert wird 14 Einf hrung in die Technologie Bekannte Pro
145. Verzeichnis Definitions das Men Networks Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den Host ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Host aus Address Tragen Sie in das Eingabefeld die IP Adresse ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den Host hinzuf gen 135 System benutzen amp beobachten 4 Speichern Sie den Host durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird der neue Host in die Netzwerkta belle eingetragen Sie finden diesen Host jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder Diesen Host k nnten Sie z B unter System Remote Syslog als Remote Syslog Server definieren Netzwerk hinzuf gen 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r das Netzwerk ein Diesen Namen verwenden Sie sp ter z B um Paketf
146. Verzeichnis Reporting das Men Accounting 2 Schalten Sie die Funktion Accounting Reports durch einem Klick auf die Schaltfl che Enable ein Anschlie end wird das Eingabefenster ge ffnet 405 System benutzen amp beobachten W hlen Sie im Auswahlfeld unter dem Fenster Queried Net works die Netzwerke aus f r die ein detailliertes Protokoll er stellt werden soll In der Regel ist dies Ihr LAN und oder das DMZ Netzwerk Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Wichtiger Hinweis Stellen Sie im Auswahlfeld Queried Networks nicht Any ein da dies zur Folge hat dass alle Quell und Zielnetzwerke behan delt werden Dies bedeutet dass kein Accounting erfogt Die Netzwerke werden sofort bernommen und erscheinen an schlie end im Fenster Queried Networks 406 System benutzen amp beobachten 5 8 14 Advanced RAID Status Das Fenster wird angezeigt wenn die Software auf einer Hardware mit einem RAID Festplattensystem installiert ist Mit einem RAID Sys tem Redundant Array of Independent Disks werden mehrere physi kalische Festplatten zu einem besonders leistungsf higen logischen Laufwerk zusammengefasst Damit das RAID System erkannt und in desem Men angezeigt wird ben tigen Sie einen RAID Controller der vom Sicherheitssystem unterst tzt wird Die Hardware Compatibility List HCL befindet sich auf www astaro com kb Mit Hilfe des Suchbegriffs HCL ge l
147. W hlen Sie in diesem Drop down Men den Type des Stand alone LDAP Servers aus Die m glichen Typen sind Microsoft Active Directory Novell eDirectory und OpenLDAP Unique User Attribute Dieses Atribut definiert den Benutzer namen zur Authentifizierung am Stand alone LDAP Server Die zur Verf gung stehenden Atribute h ngen vom ausgew hlten Type des Stand alone LDAP Servers ab Falls Sie f r den Be nutzernamen ein eigenes Attribut erstellen m chten w hlen Sie hier Selfdefined aus siehe nachfolgendes Bild System benutzen amp beobachten F r den LDAP Server Microsoft Active Directory k nnen Sie das Atribut User Principal Name UPN oder saMAccount Name ausw hlen F r die LDAP Server Novell eDirectory und OpenLDAP kann jeweils das Attribut Common Name CN Surname SN oder Unique Identifier UID eingestellt werden Attribute Name Dieses Eingabefeld wird nur ange zeigt wenn im Drop down Men Unique User At tribute die Einstellung Selfdefined ausgew hlt wurde Definieren Sie in diesem Eingabefeld das eigene Attribut zur Bestimmung des Benutzernamens IP Address Tragen Sie in das Eingabefeld die IP Adresse des Stand alone LDAP Servers ein TCP Port Tragen Sie in das Eingabefeld den TCP Port ein Per Default ist der Standard Port 389 bereits eingetragen Bind DN Der hier einzutragende Wert h ngt vom Type des Stand alone LDAP Servers ab 1 Microsoft Active Directory Sie k nnen den User Principal
148. abefenster 3 F hren Sie die nachfolgenden Einstellungen durch Allowed Networks Hier w hlen Sie die f r diesen Proxy zuge lassenen Hosts und Netzwerke aus 344 System benutzen amp beobachten Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten SOCKS Proxy mit Benutzerauthentifizierung Wenn Sie f r den SOCKS Proxy die Funktion User Authentication einschalten m ssen sich die Benutzer mit Benutzernamen und Pass wort anmelden Da User Authentication nur mit SOCKSv5 funktio niert ist die Protokollversion SOCKSv4 dann nicht verf gbar Mit dem Auswahlfeld Authentication Methods bestimmen Sie die Methode zur Benutzerauthentifizierung Zur Auswahl stehen nur Authentifizierungsmethoden die Sie zuvor im Men Settings User Authentication konfiguriert haben Wenn Sie als Methode Local Users ausw hlen k nnen Sie f r lokale Benutzer festlegen ob sie den SOCKS Proxy benutzen d rfen Die lokalen Benutzer Users werden im Men Definitions Users verwaltet Die Funktionsweise der Auswahltabelle wird in Kapitel 4 3 3 ab Seite 42 beschrieben 345 System benutzen amp beobachten Das Ident Protokoll wird von einigen Servern zur einfachen Indentit ts ber pr fung der zugreifenden Clients verwendet Obwohl dieses Ident Protokoll unverschl sselt ist verwenden es noch viele Dienste Services und
149. age festgesetzt e Sinle Das eingestellt Zeitintervall findet nur einmal statt Der Be ginn und das Ende werden durch Datums und Uhrzeitangaben de finiert Wochentage k nnen hier nicht eingestellt werden 150 System benutzen amp beobachten Zeitintervall definieren 1 2 ffnen Sie im Verzeichnis Definitions das Men Time Events Klicken Sie auf die Schaltfl che New event definition Anschlie end wird eine neue Zeile in der Tabelle angezeigt F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den Zeitintervall Time Event ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 Punkt Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men den Typ aus Start Time Stellen Sie hier den Beginn des Intervalls ein Durch einen Klick auf das Feld werden die Eingabefenster ge ffnet Stop Time Stellen Sie hier das Ende des Intervalls ein Durch einen Klick auf das Feld werden die Eingabefenster ge ffnet Weekdays F r den Zeitintervalltyp Recuring stellen Sie hier die Wochentage ein f r die das Zeitintervall bestimmt ist Durch einen Klick auf das Feld werden die Optionsfelder zu Auswahl der Wochentage angezeigt Die neue Definition ist sofort aktiv und kann in den Modulen mit einer entsprechenden Time Event Funktion ausgew hl
150. ails nicht akzeptiert die mit einem Dot beginnen SPF Fail Check Mit dieser Funktion pr ft die Firewall anhand von Sender Policy Framework SPF ob die eingehenden E Mails vom richtigen Server aus versendet wurden SPF wird durch spezielle DNS Eintr ge zur Verf gung gestellt die hier abgefragt werden Durch SPF haben die Inhaber von Domains so die M glichkeit Informationen zu ihren Mail Servern im DNS zu ver ffentlichen Eine Domain verwendet ffentliche Records DNS um Anfragen zu den verschiedenen Diensten z B HTTP SMTP etc an Rechner zu richten die diese Dienste ausf hren Die Mail MX Records werden bereits von allen Domains ver ffentlicht um die anderen dar ber zu informieren welche Rechner E Mails f r diese Domain erhalten Durch SPF werden nun die entgegengesetzten Mail MX Records ver f fentlicht in denen mitgeteilt wird welche Rechner E Mails von einer bestimmten Domain aus versenden Der Empf nger einer Mail kann nun diese Records pr fen und feststellen ob diese auch wirklick von dieser Domain abgeschickt wurde Use BATV Bei der Funktion Bounce Address Tag Validation BATV handelt es sich um ein Tool des Standardisierungsgremiums Internet Engineering Task Force IETF Mittels Domain Keys sol len die Internet Service Provider ISP in der Lage sein unerw nschte Massen Mails leichter zu blockieren indem verhindert wird dass die Absenderadresse der E Mail verschleiert oder gef lscht wird D
151. aketfilterregelsatz definiert sind Wenn die ICMP Einstellungen ausgeschaltet sind Statusampel zeigt Rot kann man mit geeigneten Paketfilterregeln einzelnen IPs und Netzwerken das Senden von ICMP Paketen auf die Firewall bzw durch die Firewall erlauben 256 System benutzen amp beobachten ICMP Forwarding Alle ICMP Pakete werden hinter die Firewall wei tergeleitet Dies bedeutet dass alle IPs im lokalen Netzwerk und in allen angeschlossenen DMZs angepingt werden k nnen Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Wichtiger Hinweis Falls Sie ICMP Forwarding ausschalten m chten darf im Men Packet Filter Rules keine Regel mit den Eintr gen Any Source Any Service Any Destination Allow Action definiert sein Das ICMP Forwarding bleibt sonst aktiv ICMP on Firewall Die Firewall empf ngt und sendet direkt alle ICMP Pakete Per Default ist diese Funktion eingeschaltet Status ampel zeigt Gr n Mit einem Klick auf die Schaltfl che Disable schalten Sie die Funktion aus Statusampel zeigt Rot Hinweis F r die Aktion Ping muss hier die Funktion ICMP on Firewall eingeschaltet sein Die Aktion befindet sich im Men Network Ping Check und wird in Kapitel 5 3 9 ab Seite 221 beschrieben Log ICMP Redirects Die ICMP Redirects werden von Routern ge genseitig verschickt um eine bessere Route zu einem Ziel zu finden Router ndern daraufhin ihre Rout
152. al zugewiesen In der Tabelle sind alle Informationen zu den konfigurierten Schnittstellen enthalten Schnittstelle ein aus Statusampel zeigt Gr n Rot der aktuelle Funktionszustand Up Down Name Name Bezeichnung Sys ID und Schnittstellen Typ eth ttyS sowie IP Adresse und Netzwerkmaske Parameters Durch einen Klick auf die Statusampel in der Spalte Admin wird die Schnittstelle ein und ausgeschaltet Mit den Funktionen in der Spalte Actions k nnen Sie die Schnittstellen bearbeiten edit oder ent fernen delete Bei diesem Internet Sicherheitssystem weisen Sie jeder virtuellen Schnittstelle einen Namen und eine bestimmte Netzwerkkarte zu F r jede konfigurierte Schnittstelle werden anschlie end automatisch drei logische Netzwerke definiert e Eine Schnittstelle NAME Address bestehend aus der von Ihnen definierten IP Adresse und der Netzwerkmaske 255 255 255 255 Host e Ein Netzwerk NAME Network bestehend aus der Netzwerk IP Adresse und der Netzwerkmaske Netzwerk e Broadcast NAME Broadcast bestehend aus der Broadcast IP und der Netzwerkmaske 255 255 255 255 Host Die Netzwerke werden im Men Networks angezeigt Wenn bei einer Netzwerkkarte eine dynamische IP Adressenverteilung z B bei DHCP oder PPPoE verwendet wird werden diese Einstellungen auto matisch aktualisiert Alle Funktionen die sich auf diese Einstellungen beziehen z B Paketfilter oder NAT erhalten automatisch die ge nderte IP Adr
153. alle Verbindungen ber dieses Dual Homed Gateway weitergeleitet werden Firewall Eine Firewall dient der Abschirmung und damit dem Schutz eines Teil Netzwerks z B Astaro von einem anderen Netzwerk z B dem Internet Der gesamte Netzwerkverkehr geht ber die Firewall wo er reguliert und reglementiert werden kann 468 Glossar Header Im Allgemeinen ein Bereich am Anfang bzw am Kopf von Dateien in dem grunds tzliche Informationen ber diese Datei gespeichert sind Im Speziellen ist es der Teil einer E Mail oder einer Usenet Nachricht die Informationen ber Inhalt Absender und Datum gibt Host In Client Server Architekturen bezeichnet man als Host den Rechner auf dem die Server Software l uft Dabei k nnen auf einem Host mehrere Server laufen zum Beispiel ein FTP und ein E Mail Server Auf einen Host kann man mit Hilfe von Clients zugreifen zum Beispiel mit einem Browser oder einem E Mail Programm Da der Ausdruck Server au er f r das entsprechende Programm also die Software auch f r den Rechner verwendet wird auf dem das Programm l uft also die Hardware wird in der Praxis nicht klar zwischen Server und Host unterschieden In der Datenfern bertragung bezeichnet man denjenigen Rechner als Host von dem Daten wie FTP Dateien News WWW Seiten abge rufen werden Ein Host wird im Internet auch als Node Knoten bezeichnet Auf einem Internet Host im Unterschied zum Localhost kann man zum Beispi
154. ameserver anderenfalls gibt es bei der SSH Anmeldung einen Time out Dieser Time out dauert etwa eine Minute an In dieser Zeit sieht es so aus als w re die Verbindung eingefroren oder w rde nicht zustande kommen Danach geht es ohne Verz gerung weiter Zus tzlich m ssen Sie im Auswahlfeld Allowed Networks die Netz werke hinzuf gen von denen aus per SSH auf das Internet Sicher heitssystem zugegriffen werden soll Per Default Einstellung ist im Auswahlfeld Allowed Networks f r eine reibungslose Installation die Option Any eingetragen d h jeder ist berechtigt auf den SSH Dienst zuzugreifen Netzwerke definieren Sie im Men Definitions Networks N Sicherheitshinweis Per Default Einstellung ist jeder berechtigt auf den SSH Dienst zuzugreifen Im Auswahlfeld Allowed Networks ist die Option Any eingetragen Aus Sicherheitsgr nden empfehlen wir den Zugriff auf den SSH Dienst zu beschr nken Alle anderen Netz werke sollten sie l schen Schalten Sie aus Sicherheitsgr nden den SSH Zugang nach Abschluss der Arbeiten wieder ab 53 System benutzen amp beobachten Password and Factory Reset 4 Mit Password Reset k nnen Sie die Passw rter f r das In ternet Sicherheitssystem neu setzen Wenn Sie sich nach dieser Aktion das n chste mal im Konfigurationstool WebAdmin anmelden wird das Fenster Set ting System Passwords angezeigt Auf diese Weise k nnen Sie op tionale Passw rter wie z B das Astaro Confi
155. ampel zeigt Gr n Ping from Firewall Der Ping Befehl kann auf der Firewall verwen det werden Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n 259 System benutzen amp beobachten 5 5 9 Advanced Connection Tracking Helpers Der Stateful Inspection Packet Filter und die NAT Funktionalit t werden durch das Modul iptables im Sub System Netfilter bereitgestellt Alle Ver bindungen die ber den Paketfilter betrieben werden werden durch das Modul Conntrack mitverfolgt dies bezeichnet man als Connec tion Tracking Einige Protokolle wie FTP oder IRC ben tigen mehrere Kommunika tionskan le und diese k nnen nicht ber Portnummern miteinander in Verbindung gebracht werden Damit nun diese Protokolle ber den Paketfilter betrieben werden k nnen bzw eine Adressumsetzung durch NAT erfolgen kann werden die Connection Tracking Helpers ben tigt Helpers sind Strukturen die auf sogenannte Conntrack Helper verweisen Dies sind in der Regel zus tzliche Kernel Module die dem Modul Conntrack helfen bestehende Verbindungen zu erken nen F r FTP Datenverbindungen wird z B ein FTPConntrack Helper ben tigt Dieser erkennt die zur Kontrollverbindung normalerweise TCP Port 21 geh renden Datenverbindungen deren Zielport beliebig sein kann und f gt entsprechende expect Strukturen zur expect Liste hinzu Die folgenden Protokolle werden unterst tzt e FTP Fi
156. anann 466 Firewall verlassen Exit u uuun0n0n0nnnunnnunnnunnnnnnnn 466 SE Ee SE ee ee Ee Ee eg DEE ee e 467 Ee Ehe ECH See ae ege Re KENE EE See ug 475 ARFTLLTLTORLTEBTELLTELTTETETEPSFLTETTLTFERFETEBTELERELTELTETTELTCETTTEFTLTFUR 484 Willkommen bei Astaro 1 Willkommen bei Astaro Wir begr en Sie herzlich als neuen Kunden unseres Internet Sicher heitssystems Astaro Security Gateway V6 Dieses Handbuch f hrt Sie schrittweise durch die Installation des Internet Sicherheitssystems erkl rt Ihnen ausf hrlich die Bedienung des Internet Sicherheitssystems durch das web basierte Konfigura tionstool WebAdmin und unterst tzt Sie bei der Dokumentation Ihrer Konfiguration Die aktuelle Version dieses Benutzerhandbuchs k nnen Sie von der Astaro Knowledgebase unter folgender Internetadresse herunter laden http www astaro com kb Die Benutzerhandb cher und die Zusatzdokumentation Guides zur Astaro Security Gateway Software finden Sie ber die Navigation auf der linken Seite im Unterverzeichnis Astaro Manuals and Guides Um Sie ber aktuelle Informationen und Neuerungen auf dem Laufen den zu halten beinhaltet dieses Handbuch auch Verweise auf Inter netadressen von Astaro sowie weiteren Anbietern Diese Internet adressen k nnen sich allerdings auch ndern bzw im Falle der Fremdanbieter auch ganz entfallen Sollten Sie Fragen haben oder Fehler im Handbuch entdecken z gern Sie bitte nicht und kontaktieren uns
157. andbreitenmanage ment mit der Funktion Quality of Service QoS durchzuf h ren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Downlink verf gbare Band breite in vollen Kilobits ein Bei einer Schnittstelle zum Internet 177 System benutzen amp beobachten 178 ist es
158. angen Sie schnell auf die entsprechende Seite Achten Sie beim Austausch einer Festplatte besonders darauf dass Sie die defekte Festplatte entfernen da sonst das gesamte RAID System ausf llt Achten Sie ebenfalls darauf dass Sie nur die f r das System passende Festplatte vom gleichen Hersteller verwenden Achtung F r das RAID Festplattensystem werden die folgenden drei Betriebs zust nde angezeigt e OK Das RAID Festplattensystem ist in Funktion RAID Status The RAID array status is OK e DEGRADED Eine der Festplatten ist defekt und muss ausge tauscht werden Eine entsprechende Meldung wird auch per E Mail an den Administrator abgeschickt RAID Status The RAID array is currently DEGRADED faulty disk is HDDO left harddisk 407 System benutzen amp beobachten e REBUILDING Eine neue Festplatte wurde eingebaut und erkannt Die bestehende Festplatte wird auf die neue Festplatte gespiegelt Der Vorgang kann 30 Minuten oder l nger dauern Der aktuelle Stand des Speichervorgangs wird in diesem Fenster angezeigt Vor Beginn und nach Beendigung des Speichervorgangs wird eine ent sprechende Notification an den Administrator abgeschickt RAID Status The RAID array is currently REBUILDING process is 4 complete Die Notification Codes sind in Kapitel 5 10 3 2 ab Seite 431 aufgef hrt System Information REH In diesem Men stehen I noch weitere Systeminfor Interface Informati
159. ann noch zu viele Anfragen vorhanden sind werden zus tzlich die UDP Pakete f r die Zieladresse gefiltert Destination address only In diesem Modus werden nur die UDP Pakete zur ckgewiesen die speziell die Ziel IP Adresse be handeln Source address only In diesem Modus werden nur die UDP Pakete zur ckgewiesen die speziell die Quell IP Adresse be handeln 237 System benutzen amp beobachten 238 Logging UDP Flood Attacken k nnen dazu f hren dass sehr umfangreiche Protokolle erstellt werden Mit diesem Drop down Men k nnen Sie den Umfang des Logging einstellen Die m g lichen Einstellungen sind Alles Everthing Limitiert Limited und Aus Off Mit den folgenden beiden Einstellungen k nnen Sie Netzwerke von der Funktion Portscan Detection auschlie en Skip Source Networks Hier k nnen Sie zuverl ssige Quell netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Skip Destination Networks Hier k nnen Sie zuverl ssige Ziel netzwerke ausw hlen die von der Funktion ausgeschlossen wer den sollen Definieren Sie in den folgenden beiden Einstellungen die maxi male Rate f r die Datenpakete Es ist sehr wichtig dass Sie in den Eingabefeldern angemessene Werte eintragen Wenn Sie die Werte zu hoch definieren kann es passieren dass Systeme in die Knie geht da sie so eine gro e Summe an UDP Paketen nicht bew ltigen k nnen Wenn auf der anderen Seite die Rate zu gering definiert
160. arbeitet bis eine Regel zutrifft Die Reihen folge der Abarbeitung wird in der Tabelle durch die Positionsnum mer zweite Spalte von links angezeigt Falls Sie die Tabelle sp ter sortieren z B nach der Quelladresse Source beachten Sie bitte dass die Anzeige der Regeln nicht mehr mit der Reihenfolge der Regelabarbeitung bereinstimmt Falls Sie allerdings die Reihenfolge der Regeln ber die Positionsnummer ver ndern wird auch die Reihenfolge der Abarbeitung ver ndert Falls im vorangehenden Bei spiel die Regel 2 vor die Regel 1 verschoben wird ist der Dienst SMTP f r beide Netzwerke nicht mehr erlaubt Seien Sie sehr gewissenhaft bei der Definition dieses Regelsatzes er bestimmt die Sicherheit der Firewall Wenn eine Regel zutrifft werden die nachfolgenden Regeln nicht mehr beachtet Die Reihenfolge ist daher sehr wichtig Setzen Sie nie eine Regel mit den Eintr gen Any Source Any Service Any Destination Allow Action an die Spitze Ihres Regelwerks Wichtiger Hinweis Paketfilterregel setzen 1 ffnen Sie im Verzeichnis Packet Filter das Men Rules 2 Klicken Sie auf die Schaltfl che New Rule Anschlie end wird das Eingabefenster ge ffnet Packet Filter Rules Total 1 entries A New Rule A 7 Filters 7 Position To bottom H Group Inone Source Any X Service Any z Destination Any X Action Allow Comment IT Log Add Definition amp Group E Source Service Action De
161. are in state closed Port State Service 25 tcp open smtp 135 tcp openloc srv 139 tcp filtered netbios ssn 445 tcp openMicrosoft ds 1032 tcp openiad3 Da den Internetprotokollen TCP und UDP je 65535 Ports zur Verf gung stehen werden die Ports in sehr kurzen Zeitabst nden ge scannt Wenn nun von derselben IP Adresse mehrere Versuche regi striert werden mit immer anderen Ports Ihres Systems Verbindung aufzunehmen bzw Informationen an diese zu senden dann handelt es sich mit ziemlicher Sicherheit um einen Portscan PSD entdeckt diese Portscans und informiert per E Mail den Admini strator sobald der Vorgang protokolliert wurde Anschlie end k nnen Sie entscheiden welche Ma nahme gegen weitere Verbindungen vom Port Scanner des Angreifers durchgef hrt werden soll Die E Mail Adresse des Administrators wird im Men System Set tings eingestellt 231 System benutzen amp beobachten i Sicherheitshinweis Achten Sie als Administrator darauf dass auf dem System im mer die aktuellsten Sicherheits Patches eingespielt sind Der Up2Date Service wird ausf hrlich in Kapitel 5 1 3 ab Seite 60 beschrieben Portscan Detection einschalten ausschalten 1 232 ffnen Sie im Verzeichnis Intrusion Protection das Men Portscan Detection Schalten Sie die Funktion durch einem Klick auf die Schaltfl che Enable bei Status ein Anschlie end ffnet sich das Fenster Portscan Detection W hlen Sie im Drop down Men
162. at diesen Angriff als mittlere Priorit t einge stuft und hat das Datenpaket automatisch abge fangen Bei dieser Intrusion Protection Regel kann im WebAdmin zwischen den Aktionen Alert a only nur alarmieren und Drop abfangen um geschaltet werden Weiter Informationen erhal ten Sie in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als mittlere Priorit t einge stuft und hat das Datenpaket automatisch abge fangen Der Ereignispuffer wurde aktiviert Wei tere Intrusion Protection Ereigniss werden g sammelt und an Sie abgesendet sobald die Sam melperiode abgeschlossen ist Wenn weitere Er eignisse auftreten wird dies Period ausg dehnt Bei dieser Intrusion Protection Regel kann im WebAdmin zwischen den Aktionen Alert WI only nur alarmieren und Drop abfangen um 854 855 System benutzen amp beobachten geschaltet werden Weiter Informationen erhal ten Sie in der Notification E Mail Anomaly Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Der Alarm wurde vom Modul Anomaly Detection generiert Das Paket wurde nicht abgefangen Es gibt mehrere glichkeiten wodurch ein Paket als ungew hn
163. ation Daemon protokolliert Diese Log Dateien ge h ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt Content filter In diesen Log Dateien werden die Aktivit ten der Content Filter zu den Proxies HTTP SMTP und POP3 protokolliert DHCP server Falls das Internet Sicherheitssystem als DHCP Server fungiert und den Clients im Netzwerk dynamische IP Adressen zu weist werden die Aktivit ten in diesen Log Dateien protokolliert DNS proxy In diesen Log Dateien werden die Aktivit ten des DNS Proxy protokolliert 426 System benutzen amp beobachten Fallback messages Diese Log Dateien dienen als Sicherheitsarchiv f r protokollierte Prozesse die keinem der Log Dateien zugeordnet werden k nnen Diese Log Dateien geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt In der Regel sind diese Log Dateien leer High availability In diesen Log Dateien werden die Aktivit ten des High Availability HA Systems protokolliert HTTP accessed sites In diesen Log Dateien werden die angefor derten Internetseiten protokolliert HTTP blocked sites In diesen Log Dateien werden alle vom Content Filter geblockten Internetseiten protokolliert HTTP daemon Die Log Dateien zum HTTP Daemon geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt HTTP proxy In den HTTP
164. auf die zwei HTTP Server verteilen Bevor Sie die Load Balancing Regel definieren k nnen m ssen Sie im Men Definitions Networks die zwei HTTP Server als Netzwerke bestehend aus je einem Host definieren und anschlie end zu einer Netzwerkgruppe zusammenfassen Das Hinzuf gen von Netzwerken Networks und die Erstellung von Netzwerkgruppen Network Groups wird in Kapiteln 5 2 1 ab Seite 134 schrieben Danach k nnen Sie wie nachfolgend beschrieben die Load Balancing Regel definieren 204 System benutzen amp beobachten Load Balancing definieren 1 ffnen Sie im Verzeichnis Network das Men NAT Masquer ading Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Load Balancing Regel Anschlie end ffnet sich ein erweitertes Eingabefenster Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Load Balancing Regel W hlen Sie im Drop down Men Rule Type die Funktion Load Balancing aus W hlen Sie im Fenster Pre Balancing Target die original Ziel adresse und den entsprechenden Dienst Service aus Address or Hostname Stellen Sie hier die original Ziel Adresse ein In der Regel ist dies die externe Adresse des Internet Sicherheitssystems Service W hlen Sie hier den original Zielport Dienst aus W hlen Sie im Drop down Men Post Balancing Target Group die neue Adresse aus In der Regel ist dies eine Netzwerkgruppe aus einzelnen Hosts Nach erfolgreicher Defi
165. beim Anschlie en der Ger te die Betriebsanleitung zum UPS Ger t Das Sicherheitssystem erkennt das UPS Ger t beim Hochfahren ber die USB Schnittstelle Achten Sie daher darauf dass Sie das Sicherheitssystem erst einschalten wenn Sie auch die USB Schnittstellen miteinander verbunden haben 22 Administrations PC Installation Korrekte Konfiguration der IP Adresse der Subnetzwerkmaske und des Default Gateway Ein HTTPS f higer Browser Microsoft Explorer 5 0 oder h her Netscape Communicator 6 1 oder h her oder Mozilla 1 6 Im Browser muss JavaScript aktiviert sein Im Browser muss die IP Adresse der internen Netzwerkkarte eth0 auf dem Internet Sicherheitssystem von der Verwendung eines Proxyservers ausgeschlossen sein Die Konfiguration des Browsers wird in Kapitel 5 6 1 auf Seite 270 beschrieben Beispielkonfiguration Externes Netzwerk Cp I Internet Internes Netzwerk Ze gt Firewall ER emm 1 Netzwerkkarte ethO Web FTP E Mail 2 Netzwerkkarte eth1 Server Server Server 3 Netzwerkkarte eth2 Das Internet Sicherheits system sollte wie in der linken Konfiguration dar gestellt die einzige Ver bindung zwischen Ihrem internen LAN und dem externen Netzwerk Inter net herstellen 23 Installation Adresstabelle Be IP Adresse Netzwerkmaske Default Gateway Mit internem Netzwerk verbundene Netzwerk Mit exter nem Netz werk ver bundene Netzwe
166. benutzen amp beobachten Schritt 2 Benutzer der Security Group zuweisen 1 W hlen Sie im Verzeichnis den Benutzer aus und klicken mit der rechten Maustaste auf den Namen Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register MemberOf aus Um die neue Gruppe auszuw hlen klicken Sie auf die Schalt fl che Add Anschlie end ffnet sich das Fenster Select Groups W hlen Sie nun die Security Group aus Beispiel socks_ users Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che OK Die neue Security Group wurde nun in das Fenster MemberOf bernommen Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK F hren Sie nun die Einstellungen auf dem Internet Sicherheitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 112 erkl rt 106 System benutzen amp beobachten Microsoft Active Directory selbstdefinierte Attribute Die Benutzerauthentifizierung mittels Microsoft Active Directory kann auch mit zus tzlich selbstdefinierten Attributen und Werten erfolgen Die Konfiguration ist allerdings sehr viel aufwendiger Hinweis Um eine derartige Erweiterung unter MS Active Directory durch zuf hren ben tigen Sie f r jedes Attribut eine Objekt ID OID Die OID Nummer ist im gesamten I
167. benutzen amp beobachten Use Upstream HTTP Proxy et Pron In diesem Fenster k nnen Sie tatus EL L Sen A A die Verbindung zu einem Up SS stream Proxy Server definie E ren Diese Funktion ben tigen E Sie falls Sie nur ber einen L 8 Des u m solchen Upstream Proxy HTTP Ge Jl und HTTPS Ports erreichen k nnen Upstream Proxy Server definieren 1 2 68 ffnen Sie im Verzeichnis System das Men Up2Date Service Schalten Sie im Fenster Use Upstream HTTP Proxy den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster Definieren Sie in den Upstream HTTP Proxy Proxy Host W hlen Sie im Drop down Men den Proxy Server aus Der Server muss zuvor im Men Definitions Networks definiert werden Proxy Service W hlen Sie im Drop down Men den Dienst aus Der Dienst muss zuvor im Men Definitions Services definiert werden Falls f r den Upstream Proxy Server eine Authentifizierung notwendig ist klicken Sie auf die Schaltfl che Enable Username Tragen Sie in das Eingabefeld den Benutzernamen ein Password Tragen Sie in das Eingabefeld das Passwort ein Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten 5 1 4 Backup Mit der Funktion Backup k nnen Sie die Einstellungen Ihres Inter net Sicherheitssystems auf einer lokalen Festplatte sichern
168. bility System die bestehenden Verbindungen nicht verloren gehen soll Wenn die Funktion Strict TCP Session Handling eingeschaltet ist erfolgt der Verbindungsaufbau mittels TCP Handshake Falls die Firewall im Common Criteria Mode oder ICSA Labs Com pliant Mode arbeitet schalten Sie diese Funktion nicht aus Weitere Informationen zum Common Criteria Mode und ICSA Labs Compliant Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 Hinweis Validate Packet Length Der Paketfilter Packet Filter pr ft die Datenpakete auf die minimale L nge wenn das Protokoll icmp tcp oder udp verwendet wird Die minimalen Datenl ngen f r die einzelnen Protokolle sind e icmp 22 bytes e tcp 48 bytes 262 System benutzen amp beobachten e udp 28 bytes Wenn die Datenpakete k rzer als die Minimalwerte sind werden diese blockiert und in der Log Datei Packet Filter mit dem Vermerk INVALID_PKT protokolliert Die Log Dateien werden im Men Local Logs Browse verwaltet Hinweis Falls die Firewall im Common Criteria Mode oder ICSA Labs Com pliant Mode arbeitet schalten Sie diese Funktion nicht aus Weitere Informationen zum Common Criteria Mode und ICSA Labs Compliant Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 Spoofing Protection IP Spoofing ist ein Angriff bei dem Pakete mit einer gef lschten Absenderadresse Source IP verschickt werden Auf diese Weise sollen Authentifizierungs und Identifikationsverfahren umgangen werd
169. canner Aerb iech se Rejest Subject Bioched by Suri Protection Unallowed eategury General News Newspapers Magamner reason URL estagery Canara News Newspapers Mapamnas nat Bowed Unallowed categary IT Secarity IT Information reason URL catagory IT Sacumy IT Information not allowed Most vvv bes Ae UnerAsmt Pann o compatible MSIE 6 0 Windows NT 3 1 Acet est appbeationtend appbcabonhunlexm ruht geo 3 teruplang O 8 amageng Ir g 0 5 Aceept Language encnenung O 7 engen Aert Charset va Keep Alive x Proy Connection best sr Caskie Mardu re Preisvergleicht6 30Cookiei 30VO Om neulade fanit Waff IDA MTEYNDM NDQIMCATODc Ce M e sbt Ce LfN TI Mrge M YAD w MACH AE Ap Prasy autheriratiom Basic LTpwchihwigen Content type teram Internetseite wurde von der Funktion URL Blacklist geblockt ai astaro Content blocked If you think this is wrong please contact your administrator URL http porn domain com Backist match wi domani com Zus detai auct Allgemeine Fehlermeldung S a A astaro Content could not be loaded y offer some more information to the cause of the admrst ator later If the problem persists please contact your syster an bach 464 System benutzen amp beobachten 5 19 0Online Help User Manual Im Men Online Help stehen Ihnen neben Online Help drei weitere Funktionen zur Verf gung 5 11 1 Search Mit Hilfe dieser Funktion wird im WebA
170. cation Ebene erh ht da zwischen Client und Server keine direkte Verbindung besteht Jeder Proxy kann speziell f r seinen Dienst wiederum weitere Sicherheitsdienste anbieten Durch das Wissen jedes Proxies um den Kontext seines Dienstes ergeben sich umfangreiche Sicherungs und Protokollierungsm glichkeiten Die Analyse ist auf dieser Kommunika tionsebene besonders intensiv m glich da der Kontext der Anwen dungsdaten jeweils klar durch Protokollstandards definiert ist Die Proxies konzentrieren sich dabei auf das Wesentliche Im Verzeichnis Proxies w hlen Sie die gleichnamigen Proxies aus und konfigurieren die Einstellungen Zu Beginn sind alle Proxies ausgeschaltet Die Firewall beinhaltet die Proxydienste HTTP Web SMTP E Mail POP3 DNS Nameserver Generic f r die Nutzer von Novell eDirectory Directory SIP VolP SOCKS Punkt zu Punkt Verbindung Ident und Proxy Content Manager 268 System benutzen amp beobachten 5 5 1 HTTP Global Settings Status Operation Mode Sranan Log Level Anonymity Allowed Networks Content Filter Surf Protection WWW Anfragen Use parent proxy J Im Men HTTP konfigu rieren Sie die Firewall als HTTP Cache Proxy Die ser Proxy ist neben dem reinen Weiterleiten von auch in der Lage diese Seiten zwi schenzuspeichern zuvor angefragte Seiten werden dann nicht mehr Bereits ber das Internet neu geladen sondern nach der ersten ber
171. cceeded Updated new Intrusion Protection patterns Ein oder mehrer neu Pattern Up2Date Paket wurden f r das Modul Intrusion Protection er folgreich auf dem Internet Sicherheitssystem in stalliert Weitere Informationen erhalten Sie in der Notification E Mail Weitere Informationen zu System Up2Date erhalten Sie in Kapitel 5 1 3 ab Seite 60 441 System benutzen amp beobachten 361 362 700 710 442 Pattern Up2Date succeeded Virus Protection Pattern Up2Date installed Ein oder mehrere neue Pattern Up2Date Pakete f r Virus Protection wurden erfolgreich auf dem In ternet Sicherheitssystem installiert Weitere Informationen zum neuen Up2Date Paket rhalten Sie in der Notification E Mail Pattern Up2Date succeeded Spam Protection Pat tern Up2Date installed Ein oder mehrere neue Pattern Up2Date Pakete f r Spam Protection wurden erfolgreich auf dem In ternet Sicherheitssystem installiert Weitere Informationen zum neuen Up2Date Paket rhalten Sie in der Notification E Mail Daily log file archive Dies ist eine Archiv Datei Das Datum dieser Log Files wird in der Notification angegeben Log file partition is filling up Die Log File Partition f llt sich Die derzeit erreichte Auslastung der Partition wird in der Notification angezeigt Die Aktion des Internet Sicherheitssystems richtet sich nach den Ein stellung
172. ch bei der Lizenz um eine Unlimited Version handelt Reset User IPs Listing Wenn Sie das interne Netzwerk neu konfi gurieren m chten k nnen Sie durch diese Aktion die Tabelle mit den Benutzern zur cksetzen Anschlie end erfolgt ein Reboot das Inter net Sicherheitssystem wird heruntergefahren und wieder gestartet Die Aktion wird durch einen Klick auf die Schaltfl che Start einge leitet 59 System benutzen amp beobachten 5 1 3 Up2Date Service Prefetch Up2Oates nom Click Start to prefetch Prefetch Up2Dates automaticaby Intervall Import tom Fie Update now Update automabcaly Astaro Virus Protection Opan wource Virus Protoctian Tue Spam Protection we Mit dem Up2Date Service hal ten Sie Ihr System auf dem neusten Stand Neue Viren Pattern System Patches und Sicherheits Features werden in Ihr laufendes System einge spielt Die Up2Date Pakete sind sig niert nur Astaro ist berech tigt solche Up2Date Pakete zu erstellen und zu signieren Nicht korrekt signierte Up2Date Pakete werden als solche erkannt und gel scht F r System Up2Date und f r Pattern Up2Date gibt es mehrere Up2Date Server die der Reihe nach angew hlt werden Falls ein Up2Date Server nicht erreichbar ist wird der n chste Server nach System bzw Pattern Up2Dates abgefragt Der Up2Date Service benutzt eine TCP Verbindung auf Zielport 443 um die Up2Date Pakete herunterzuladen Das Internet
173. chlossen werden sollen Wenn der Administrator bei einem entdeckten Portscan per E Mail informiert werden soll schalten Sie die Funktion Send Notification E Mails ein Die E Mail Adresse des Administrators wird im Men System Settings eingestellt Wenn den Protokollumfang minimieren m chten schalten Sie die Funktion Limit Logging ein W hrend eines Portscans k nnen in der entsprechen Log Datei viele unterschiedliche Eintr ge gemacht werden Durch diese Funktion k nnen Sie den Protokollumfang auf das N tigste herabsetzen Die Log Dateien werden im Men Local Logs Browse verwaltet 233 System benutzen amp beobachten 5 4 4 DoS Flood Protection Mit den Funktionen in diesem Men k nnen Denial of Service DoS und Distributed Denial of Service DDoS Angriffe abge wehrt werden indem der Umfang der SYN TCP UDP und ICMP Pakete die in das Netzwerk geschickt werden ber eine bestimmte Zeit begrenzt werden SYN TCP Flood Protection E 2 Die Denial of Service An Status US Dees Mode SSES griffe DoS auf Server zie Logona E len darauf ab legitimen Ee SS 3 Nutzern den Zugriff auf einen Dienst zu verwehren rs zn 3 Im einfachsten Fall berflu tet der Angreifer den Server e 1 mit sinnlosen Paketen um Bene 5 Ihre Leitung zu berlasten Da f r diese Angriffe eine gro e Bandbreite erforderlich ist verlegen sich immer mehr Ang
174. ck auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Wenn Sie einem Profile gleichzeitig einen lokalen Benutzer und ein Netzwerk zuweisen dann wird das Profile nur wirksam wenn der Benutzer auch aus dem eingestellten Netzwerk auf den HTTP Proxy zugreift Einem lokalen Benutzer oder einem Netzwerk kann immer nur ein Surf Protection Profile zugeordnet werden Wichtiger Hinweis Assigned Network Blocks In diesem Feld w hlen Sie das Netz werk aus der diesem Profil zugewiesen werden soll Durch einen Klick auf das Feld mit dem Eintrag wird das Auswahlfeld ge ffnet Mit der Schaltfl che Save werden die nderungen gespei chert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten 302 System benutzen amp beobachten Surf Protection Profile zuweisen Per Default befindet sich in der Tabelle bereits eine Blanko Zuwei sung Blank Assignment Falls Diese Blanko Zuweiung noch nicht editiert wurde fahren Sie mit Schritt 2 fort 1 F gen Sie durch einen Klick auf die Schaltfl che Add blank Assignment eine neue Blanko Zuweisung in die Tabelle ein W hlen Sie im Feld Profile Name das Surf Protection Profile aus W hlen Sie im Feld Assigned local Users den lokalen Benutzer f r dieses Profile aus W hlen Sie im Feld Assigned Network Blocks das Netzwerk f r dieses Profile aus Schalten Sie die Profile Zuweisung durch einen Klick auf die Statusampel ein Die Statusam
175. cription Tragen Sie in das Eingabefeld eine Beschreibung der Regel ein Beispiel Large ICMP packet gro es ICMP Datenpaket Selector Tragen Sie in das Eigabefeld die Auswahlparameter f r die IPS Regel in der Snort Syntax ein Beispiel icmp EXTERNAL_NET any gt HOME_NET any Filter Tragen Sie in das Eigabefeld die eigentliche Erkennung f r die IPS Regel in der Snort Syntax ein Achten Sie darauf dass der Eintrag mit einem Zeichen beendet wird Beispiel dsize gt 800 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add local Rule 229 System benutzen amp beobachten Die neue IPS Regel wird immer in die IPS Regelgruppe local impor tiert Die Regel ist sofort eingeschaltet Statusampel zeigt Gr n WC pr info Informational messages WC fe local Locally generated rules au pe misc Miscellaneous rules DO n multimedia Recognition of multimedia streaming software 7 Group Hits Info WC pr local D Locally generated rules BT Ir local o B example ID 10000 5 4 3 Portscan Detection Portscan Detection Mit Portscan Detection Se SE z gt oder auch PSD sind Sie in Exclude source networks Seng e O der Lage m gliche Angriffe l durch Unbefugte zu erken nen Sogenannte Portscans SE werden meist von Hacker SE oa durchgef hrt um ein abge Geer ml sichertes Netzwerk nach er reichbaren Diensten Ser vic
176. ction e Spam Protection e MIME Error Checking e Expression Filter e Sender Address Verification e Realtime Blackhole Lists RBL e Greylisting Dies hat zur Folge dass die ben tigte Rechenleistung f r Scanvor g nge herabgesetzt wird und dass problematische Hosts vom Content Scanning ausgeschlossen werden k nnen Senders mit der Kontrollliste k nnen vertrauensw rdige Absender adressen vom Content Scanning ausgeschlossen werden N Sicherheitshinweis Diese Funktion sollte allerdings nur mit Vorsicht eingesetzt wer den da Absenderadressen auch leicht gef lscht werden k nnen Nutzen Sie m glichst das Auswahlfeld Hosts Networks 328 System benutzen amp beobachten Recipients mit der Kontrollliste k nnen vertrauensw rdige Emp f ngeradressen vom Content Scanning ausgeschlossen werden Bitte beachten Sie dass E Mails mit mehreren Adressaten ebenfalls vom Content Scanning ausgeschlossen werden wenn eine von diesen Adressen in der Kontrollliste enthalten ist Advanced Settings Max Message Size Hier sec stellen Sie die maximale Ongo ns Dateigr e f r die ein und ee ausgehenden E Mails ein bliche Werte sind 20 oder 40 MB Bitte beachten Sie dass durch die Kodierungsverfahren an E Mails angeh ngte Dateien wesentlich gr er werden k nnen Max Message Size DoS Protection Um Denial of Service DoS Attacken vorzubeu gen werden bis zu 20 gleichzeitig eingehende SMTP Verbindungen bea
177. d WebAdmin pr ft nun Ihre Eingaben auf semantische G ltigkeit Nach erfolgreicher Definition wird das neue Netzwerk in die Netz werk Tabelle eingetragen 6 ffnen Sie im Verzeichnis System das Men Settings 7 F hren Sie im Fenster Time Settings folgende Einstellungen in der angegebenen Reihenfolge durch Time Zone W hlen Sie zuerst die Zeitzone aus Use NTP Server W hlen Sie hier den NTP Server aus Die Uhrzeit des Internet Sicherheitssystems wird nun mit dem exter nen System jede volle Stunde synchronisiert SSH Shell Access Settings aA Die Secure Shell SSH ist ei ne textorientierte Schnittstelle zum Internet Sicherheitssys tem die nur f r erfahrene Ad ministratoren geeignet ist Man ben tigt f r den Zugriff per SSH einen SSH Client der in den meisten Linux Distributionen be reits vorhanden ist Unter MS Windows ist das Programm Putty als SSH Client zu empfehlen Der Zugriff per SSH ist verschl sselt und somit f r Fremde nicht mitzulesen tratie Die Funktion Shell Access ist per Default eingeschaltet wenn Sie im Fenster Setting System Passwords f r die Konfiguration ber den Astaro Configuration Manager ein Passwort gesetzt haben 52 System benutzen amp beobachten Wenn Sie ber SSH auf das Internet Sicherheitssystem zugreifen wollen muss der SSH Status eingeschaltet sein Statusampel zeigt Gr n SSH ben tigt f r die Protokollierung des Zugriffs Namens aufl sung g ltige N
178. d MD5sum error occurred Ein Fehler in der MD5 Pr fsumme ist aufgetreten Falls das Problem andauert setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Pattern Up2Date failed Can t restart Content Scanner with backup pattern Der Pattern Update ist fehlgeschlagen da der Content Scanner mit den aktualisierten Pattern nicht gestartet werden kann Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Pattern Up2Date failed Restarted Content Scan ner with backup pattern Der Pattern Update ist fehlgeschlagen da der Content Scanner mit den aktualisierten Pattern nicht gestartet werden kann Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System shut down due to full log file partition Di derzeit rreicht Auslastung der Partition wird in der Notification angezeigt Um vorzubeu gen dass Log Dateien verloren gehen ist das Internet Sicherheitssystem automatisch herunter gefahren Pr fen Sie die Einstellungen im WebAdmin und l schen Sie zur Sicherheit manuell alte Log Dateien Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge 459 System benutzen amp beobachten 85l 852 853 460 s
179. d die IP Adressen der installierten Netzwerk karten in die entsprechenden Felder eintragen und anschlie end archivieren Achtung Falls Sie Ihr Internet Sicherheitssystems von Astaro Security Linux V5 auf Astaro Security Gateway V6 aktualisieren und die beste hende Konfiguration bernehmen wollen m ssen Sie zuvor Ihr be stehendes System mindestens auf Version 5 200 updaten Weitere Informationen zum Up2Date Service und zur Backup Funktion erhal ten Sie in den Kapiteln 5 1 3 und 5 1 4 20 Installation 3 1 Systemvoraussetzungen Damit Sie das Sicherheitssystem auf Ihrer Hardware installieren k n nen m ssen die nachfolgenden Voraussetzungen erf llt sein Hardware e Prozessor Pentium Il oder kompatibel bis zu 100 Benutzer Prozessor Pentium Ill oder kompatibel ber 100 Benutzer e 256 MB Arbeitsspeicher e 8GB IDE oder SCSI Festplatte e Bootf higes IDE oder SCSI CD ROM Laufwerk e 2 oder mehr PCI Ethernet Netzwerkkarten e 1 USB Port f r Kommunikation mit UPS Ger t optional Weitere Informationen erhalten Sie auf Seite 22 Wichtiger Hinweis F r das High Availability HA System und zur Konfiguration eines Virtual LAN ben tigen Sie Hardware die vom Sicherheitssystem f r die entsprechende Funktion unterst tzt wird Die Hardware Compa tibility List HCL befindet sich auf www astaro com kb Mit Hilfe des Suchbegriffs HCL gelangen Sie schnell auf die entsprechende Seite Zur einfacheren Konfig
180. d f r eine LAN Netzwerkarchitektur emp fohlen Wenn Sie diese Methode ausgew hlt haben f hren Sie die folgenden Einstellungen durch Host W hlen Sie im Drop down Men den ARM Server aus an den die ARM Log Files gesendet werden sollen Service Stellen Sie in diesem Drop down Men den Dienst ein der f r den Datentransfer verwendet werden soll 414 System benutzen amp beobachten EE Verwechseln Sie diese Einstellungen nicht mit dem Men System J Remote Syslog Dort Syslog transfers are uncompressed and e kann normalerweise nur are only recommended in a LAN scenario ein Syslog Server f r das Sicherheitssystem definiert werden Im Men ARM kann der Astaro Report Manager ARM unabh ngig davon als Syslog Server konfiguriert werden Damit in diesem Fall der Astaro Report Man ager reibungslos funktioniert werden die Daten in einem speziel len ARM kompatiblen Format bertragen e Die Methode SMB CIFS Share wird f r eine WAN Netzwerkarchi tektur empfohlen Wenn Sie diese Methode ausgew hlt haben f h ren Sie die folgenden Einstellungen durch Host W hlen Sie im Drop down Men den ARM Server aus an den die ARM Log Files gesendet werden sollen Share Name Tragen Sie in das Eingabefeld den Windows Share Name ein Stellen Sie sicher dass im Astaro Report Manager die entsprechenden Rechte f r das Verzeichnis definiert wurden Username Tragen Sie in das Eingabefeld den Benutzerna
181. d werden mueler agency com pro Seite 10 Eintr ge dargestellt koenig ageney com EE 7 _ king ageney nn 9 _ striegel agency com Fi 18 bachmann aganey om ____ ar 43 WebAdmin Werkzeuge In der ersten Zeile wird die An Page 1 Ss zahl der Seiten Page und der ays soeder heinri Re 5 i EEA AT Eintr ge angezeigt Die ak EE tuelle Seitenzahl ist wei darge 2 mustermann ageney com 9 5 3 richard striegel projektagentur com za stellt Wenn Sie mit der Maus die roten Seitenzahlen ber hren werden in einer Info Box die darin enthaltenen Intervalle angezeigt kleines Bild Mit den Pfeilen in der zweiten Zeile kann die Reihenfolge der Eintr ge ver ndert werden Die hier durchgef hrten Einstellungen haben aller dings keinen Einfluss auf die Funktionalit t Mit den Schaltfl chen und Y in der linken Spalte werden die Eintr ge in der Tabelle nume risch auf bzw absteigend dargestellt Mit den Schaltfl chen und Y in der mittleren Spalte werden die Eintr ge alphanumerisch auf bzw absteigend dargestellt Die funktionale Reihenfolge der Eintr ge wird mit den Schaltfl chen in der rechten Spalte ver ndert Durch einen Klick auf die Schaltfl chen oder Y wird der jeweilige Eintrag um eine Zeile nach vorne bzw nach hinten verschoben Durch einen Klick auf die Schaltfl che oder wird der jeweilige Ein trag in die erste bzw in die letzte Zeile der Tabelle verschoben
182. das Profil ausw hlen Durch einen Klick auf die Schaltfl che Save werden die nderungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Wenn f r ein Profil ein Zeitintervall eingestellt ist wird im entspre chenden Feld das Uhren Symbol angezeigt Die genauen Einstel lungen f r dieses Zeitintervall werden angezeigt wenn Sie mit der Maus dieses Uhrensymbol ber hren Die Zeitinterwalle werden im Men Definitions Time Events de finiert Das Men wird in Kapitel 5 2 4 ab Seite 150 beschrieben 301 System benutzen amp beobachten Directory Groups Dieses Eingabefeld ben tigen Sie nur wenn Sie eine Authentisierung mittels Radius LDAP oder Active Directory ein setzen Tragen Sie in dieser Spalte den Gruppennamen Group Name aus dem Verzeichnisdienst ein dem dieses Profil Profile zugeteilt werden soll F r LDAP tragen Sie hier bitte den Distin guished Name DN ein der auf dem LDAP Server auch zur Benut zerabfrage verwendet wird Wenn Sie Active Directory verwenden m ssen Sie f r den Zugriff auf den HTTP Proxy zus tzlich zu der Gruppennamen in diesem Feld eine Gruppe mit der Bezeichnung http access definieren Assigned local Users In diesem Feld w hlen Sie den lokalen Be nutzer aus der diesem Profil zugewiesen werden soll Durch einen Klick auf das Feld mit dem Eintrag wird das Auswahlfeld ge ffnet Mit der Schaltfl che Save werden die nderungen gespei chert Durch einen Kli
183. ddress Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wichtiger Hinweis Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Modem IP Address Tragen Sie hier die IP Adresse des ADSL Modems ein Diese Adresse wird in der Regel vom Provider oder von der Hardware mitgeliefert und kann nicht ge ndert werden Beispiel 10 0 0 138 bei AonSpeed NIC IP Address Tragen Sie hier die IP Adresse f r die Netz werkkarte auf dem Internet Sicherheitssystem ein Die Adresse muss im selben Sub Netzwerk liegen wie die IP Adresse des Modems Beispiel 10 0 0 140 bei AonSpeed NIC Netmask Tragen Sie hier die Netzwerkmaske ein Beispiel 255 255 255 0 bei AonSpeed Address to Ping Geben Sie hier die IP Adresse eines Hosts im Internet ein der auf ICMP Ping Anfragen antwortet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird der Verbindungsaufbau abgebrochen 181 System benutzen amp beobachten 182 Username Tragen Sie h
184. ddress Assignment Mit dieser Funktion k nnen Sie festlegen ob den Hosts bei der Einwahl eine Adresse aus einem definierten PPTP IP Pool zugewiesen werden soll oder ob die Adresse auto matisch von einem DHCP Server angefordert wird Bitte beachten Sie dass der lokale DHCP Server f r diese Funktion nicht unterst tzt wird Der DHCP Server muss physikalisch auf einem anderen System laufen Alternativ zu den beiden Optionen kann jedem Benutzer eine be stimmte IP Adresse zugeteilt werden Daf r muss f r jeden dieser Benutzer im Men Definitions Users ein Account angelegt werden Die zugeteilte IP Adresse muss nicht aus dem IP Pool stammen Bei der Einwahl wird dem Host diese Adresse dann automatisch zugewiesen 213 System benutzen amp beobachten PPTP IP Pool Hier legen Sie fest welche Network PPTP Po E E eme IP Adressen den Hosts vom Subnet Mask 255 255 255 0 Static PPTP IP Pool bei Useable IP Addresses 253 der Einwahl zugewiesen werden Per Default Einstel lung wird beim ersten Aktivieren der PPTP Funktion ein Netzwerk aus dem privaten IP Bereich 10 x x x ausgew hlt Dieses Netzwerk wird PPTP Pool genannt und kann f r alle anderen Funktionen des Inter net Sicherheitssystems genutzt werden in denen Netzwerkdefini tionen verwendet werden Falls Sie ein anderes Netzwerk verwenden wollen k nnen Sie entweder die bestehende PPTP Pool Definition ver ndern oder ein anderes definiertes Netzwerk als PPTP
185. den die Aktivit ten in der MiddieWare protokolliert Diese Log Dateien geh ren zu den Support Logs und werden erst durch einen Klick auf die Schaltfl che show support logs angezeigt Network accounting daemon In diesen Log Dateien wird die Funktionsf higkeit des Accounting protokolliert Packet filter In den Packet Filter Logs werden alle geblockten Da tenpakete protokolliert Diese Log Files sind ein Teil der Kernel Logs POP3 proxy In diesen Log Dateien werden die Aktivit ten des POP3 Proxy protokolliert Alle ausgehenden E Mails werden darin auf gef hrt Zus tzlich werden alle Unregelm igkeiten z B Ausf lle oder blockierte E Mails protokolliert Portscan Die Funktion Portscan Detection erkennt Portscans und benachrichtigt den Administrator per E Mail Wenn Sie die Log Files in diesem Men analysieren ziehen Sie keine voreiligen Schl sse hin sichtlich der in diesen Protokollen angegebenen Quelladresse SRC IP Source Address und dem Quell Port SPT Source Port Diese Angaben k nnen vom eigentlichen Absender leicht gef lscht werden N tzliche Informationen erh lt man durch die Auswertung der Ziel Adresse DST Destination IP Adresses und des Ziel Portes DPT Destination Port 428 System benutzen amp beobachten PPP daemon Diese Log Dateien werden generiert wenn Modem dialup konfiguriert wurde In den Log Dateien werden Aktivit ten vom PPP Daemon und vom chat Programm protokolliert Das chat Pro
186. der Benutzer nach der Informationsanfrage eine entsprechende Fehler meldung Im Auswahlfeld Allow Requests from k nnen Sie ausw hlen von welchen Netzwerken oder Clients aus diese Informationen abgerufen werden k nnen Mit dem Drop down Men Use URL Hostname k n nen Sie entweder den MX Host verwenden der im Men Proxies SMTP konfiguriert ist oder einen blichen Hostnamen oder eine IP Adresse angeben Der Name oder die IP Adresse wird im Eingabefeld Hostname IP definiert Im Eingabefeld Listen on TCP Port ist f r die Anfragen der Port 3840 voreingestellt Der Port kann ge ndert werden falls dieser bereits f r einen Anderen Dienst ben tigt wird 354 System benutzen amp beobachten 5 7 Virtual Private Networks IPSec VPN Ein Virtuell Private Network VPN ist eine sichere Kommuni kationsverbindung ber ein ungesichertes Netzwerk z B das Inter net Ein VPN ist immer dann n tzlich wenn Informationen ber das Internet gesendet oder empfangen werden und gew hrleistet sein muss dass diese Informationen von keinem Dritten gelesen oder ver ndert werden k nnen Diese Verbindung wird durch die Software gesichert die auf beiden Seiten der Verbindung installiert ist Diese Software erm glicht Authentifizierung Schl sselaustausch und Daten verschl sselung nach dem offenen Standard Internet Protocol Security IPSec Bei einer durch VPN gesch tzten Verbindung k nnen nur authen tifizierte Gegenstellen miteinande
187. der Tabelle angezeigt Nach Verlassen des Men s werden wieder alle Protokolle dargestellt 351 System benutzen amp beobachten Automatic Cleanup 3 Um den belegten Festplatten Status D Dess D Mode Eessen 7 speicher Ihres Sicherheits ee AA F systems m glichst gering zu halten k nnen Sie hier die E Mails automatisch l schen Sie schalten die Funktion in der Zeile Status durch einen Klick auf die Schaltfl che Enable ein Status ampel zeigt Gr n Mode Stellen Sie in diesem Drop down Men den Modus ein Folgende Modi stehen zur Auswahl e Cleanup by message age Mit diesem Modus werden alle E Mails ab einem bestimmten Alter gel scht Tragen Sie das Eingabefeld Maximum Message Age days das maximale Alter in Tagen ein e Cleanup by message count Sobald sich eine bestimmte Menge an E Mails agesammelt hat werden die lteren E Mails gel scht Per Default sind 500 E Mails eingestellt Weniger wie 200 sollten nicht eingestellt werden Die Einstellungen werden durch einen Klick auf die Schaltfl che Save gespreichert Die Aktion wird anschlie end einmal pro Stunde durch gef hrt so dass der maximale Stand immer nur f r kurze Zeit ber schritten wird 352 System benutzen amp beobachten Daily Spam Digest Mit der Funktion Daily Spam Digest versendet das System eine t gliche Zusammenfassung des Proxy Content Manager an die internen Empf nger per E ae j Mail und i
188. det wird System benutzen amp beobachten Um Konflikte zu vermeiden tragen Sie hier nicht einen Hostna men ein der bereits auf einem anderen System eingesetzt wird insbesondere nicht den Hostnamen des Domain Controller Achtung Account Tragen Sie in das Eingabefeld den Account Namen ein der auch die Rechte f r die Anbindung von Clients an eine Do main enth lt In der Regel ist dies der Administrator Dieser Name wird nur zur Anbindung an die Domain verwendet und wird nicht auf dem Sicherheitssystem gespeichert Passwort Tragen Sie in das Eingabefeld das Passwort zum Account Namen ein Dieses Passwort wird ebenso nur zur Anbin dung an die Domain verwendet und wird nicht auf dem Sicher heitssystem gespeichert Clear Authentication Cache Diese Funktion kann verwendet werden wenn Sie bei Ihrer bestehenden MS Windows NT 2000 Domain z B neue Benutzer hinzugef gt oder die Gruppenzu geh rigkeit bestehender Benutzer ver ndert haben Wenn Sie den Authentication Cache nicht leeren kann es bis zu 24 Stun den dauern bis Ihre nderungenauf dem Sicherheitssystem wirk sam werden 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Sobald die Anbindung des Sicherheitssystems an die Domain erfolg reich durchgef hrt wurde erscheint bei Domain Member Status die Best tigung 101 System benutzen amp beobachten 5 1 8 6 LDAP Server LDAP steht f r Lightweight Directory Access Protoco
189. die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Downlink Bandbreite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Beim Schnittstellen Typ PPP over Ethernet PPPoE DSL Connection ist per Default bereits ein MTU Wert definiert 1492 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tig
190. die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Firewall forwards Traceroute Die Firewall leitet Traceroute Pakete weiter Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Die Funktionen Firewall is Traceroute visible und Firewall for Hinweis warde Traceroute machen nur Sinn wenn beide eingeschaltet sind 258 System benutzen amp beobachten Traceroute from Firewall Der Traceroute Befehl kann auf der Fire wall verwendet werden Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Ping Settings Hier werden die erweiter Firewall is Ping visible je Disabie t Ei t 1 P Il Firewall forwards Pings CB Disabie en Ins e ungen Spezie Ping from Firewall a f r ICMP Ping vorgenom men Weitere Informationen zu Ping erhalten Sie im Kapitel 5 3 9 ab Seite 221 Firewall is Ping visible Die Firewall antwortet auf Ping Pakete Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Hinweis l Falls die Firewall im ICSA Labs Compliant Mode arbeitet schalten Sie diese Funktion nicht ein Weitere Informationen zum ICSA Labs Compliant Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 Firewall forwards Ping Die Firewall leitet Ping Pakete weiter Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Status
191. dmin und in Online Help nach dem von Ihnen eingegebenen Begriff gesucht und der Begriff wird in einem separaten Fenster angezeigt Suche starten 1 ffnen Sie im Verzeichnis Online Help das Men Search 2 Geben Sie in das Eingabefeld Search Term den Begriff ein 3 Um die Suche zu starten klicken Sie auf die Schaltfl che Start Falls der Begriff im WebAdmin oder in Online Help gef hrt wird liefert das Ergebnis folgende Infos e Pfad zur entsprechenden Funktion im WebAdmin e Link zum gesuchten Begriff in Online Help e Informationen zur Funktion oder die Texte aus der Online Hilfe mit dem gesuchten Begriff 5 1191 2 Glossary In diesem Verzeichnis entspricht die Struktur der Begriffe ihrer Zutei lung im WebAdmin Durch einen Klick auf die Begriffe erhalten Sie einen berblick der Funktionen in diesem Verzeichnis 465 System benutzen amp beobachten 5 11 3 User Manual Im Men User Manual k n l nen Sie die aktuelle Version des Benutzerhandbuchs he runterladen Zum ffnen des Benutzerhandbuchs ben tigen einen PDF Reader z B Adobe Reader Select language Engin z POF software is required to view the A manual z 5 12 Firewall verlassen Exit Wenn sie den Browser mit einer offenen WebAdmin Session schlie en ohne den WebAdmin ber Exit zu verlassen so bleibt die letzte Session bis zum Ablauf des Time outs aktiv In solch einem Fall k nnen Sie sich erneut am WebAdmin anmelden Es
192. down Men Select which properties to view den Wert Both und im Drop down Men Select a property to view den Wert distinguishedName aus Der im Feld Value s angezeigte Wert ist der Attributwert 477777 DELU SEEEEEEEEEEE AT FAE Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save 115 System benutzen amp beobachten Nun ist jeder Benutzer der als MemberOf der Security Group socks _ users definiert wurde berechtigt diesen Dienst zu verwenden 5 1 9 WebAdmin Settings In desem Men richten Sie den Zugang zum Konfigurationstool WebAdmin ein General Settings gt Language In diesem Drop down Men stellen Sie die Sprache ein Timeout seconds Im Eingabefeld geben Sie die Zeitspanne in Se kunden an in der Sie vom WebAdmin automatisch abgemeldet wer den wenn keine Aktionen stattfinden Nach der Installation sind stan dardm ig 300 Sekunden eingestellt Die kleinstm gliche Zeitspanne betr gt 60 Sekunden Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save Wenn sie den Browser mit einer offenen WebAdmin Session schlie en ohne den WebAdmin ber Exit zu verlassen bleibt die letzte Session bis zum Ablauf des Time outs aktiv TCP Port Falls Sie den Standard Port 443 f r den HTTPS Dienst anderweitig verwenden wollen z B eine Umleitung mit DNAT m ssen Sie hier einen anderen TCP Port f r das WebAdmin Interface angeben M gl
193. durch einen Klick auf die Schaltfl che Enable ein Das Fenster Remote Log File Archive wird ge ffnet 2 W hlen Sie im Drop down Men Type die Archivierungsart aus Anschlie end werden die Drop down Men s und oder Eingabe felder zur ausgew hlten Archivierungsart angezeigt 3 F hren Sie die Einstellungen f r Ihre Archivierungsart durch 3 1 FTP Server Host W hlen Sie im Drop down Men den Host aus Port W hlen Sie im Drop down Men den Port aus Per Default ist FTP bereits ausgew hlt Username Tragen Sie in das Eingabefeld den Benutzernamen ein 419 System benutzen amp beobachten 420 Passwort Tragen Sie in das Eingabefeld das Passwort ein Remote Path Tragen Sie in das Eingabefeld den Pfad ein 3 2 SMB CIFS Share Host W hlen Sie im Drop down Men den Host aus Username Tragen Sie in das Eingabefeld den Benutzernamen ein Passwort Tragen Sie in das Eingabefeld das Passwort ein Share Name Tragen Sie in das Eingabefeld den Share Name ein 3 3 Secure Copy SSH Server Public DSA Key Im Fenster wird der Public DSA Key angezeigt Host W hlen Sie im Drop down Men den Host aus Username Tragen Sie in das Eingabefeld den Benutzernamen ein Remote Path Tragen Sie in das Eingabefeld den absoluten Pfad ein 3 4 Send by E Mail E Mail Address Tragen Sie in das Eingabefeld die E Mail Adresse ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benut
194. e Virus Protection success Talled 2070 25 0 148 3 2 der letzten 30 Tage Up2Date Intrusion Protection success falled Die folgenden Vorg nge werden angezeigt e WebAdmin Logins e Remote Logins e Local Logins e Up2Date System e Up2Date Virus Protection 398 System benutzen amp beobachten e Up2Date Intrusion Protection e Config Changes e Astaro Configuration Manager Uploads e System Restarts e High Availability Takeover e Uplink Failover Events Die folgenden beiden Zeilen werden angezeigt wenn die Spannungsversorgung des Sicherheitssystems durch ein UPS Ger t gesch tzt ist e UPS on Battery Power e UPS Emergency Shut downs Weitere Informationen zum UPS Ger te Support erhalten Sie in Kapitel 3 1 auf Seite 22 5 8 2 Virus Protection Das Men Virus Protection enth lt eine bersicht der gefilterten Viren der letzten 30 Tage Die folgenden Viren werden angezeigt e SMTP Viruses e POP3 Viruses e HTTP Viruses 399 System benutzen amp beobachten 5 8 39 Hardware In diesem Men werden die aktuellen Werte Ihrer Sys tem Hardware angezeigt Die verf gbaren Werte sind die CPU Auslastung sowie die RAM und SWAP Aus lastung U lead Daily Mary wage Daily Die Grafiken und Tabellen werden alle f nf Minuten aktualisiert Die Informatio nen k nnen durch einen Klick auf die Schaltfl che Reload auch manuell aktualisiert werden
195. e W hlen Sie hier f r die auf dem Sicherheits system eingehenden Datenpakete die anschlie end geroutet werden eine Netzwerkkarte aus Target W hlen Sie in diesem Drop down Men die Ziel IP Adresse f r die Datenpakete aus Als Ziel kann entweder eine Netwerkkarte auf dem Sicherheits system oder ein Next Hop Host eingestellt werden 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add static route Nach erfolgreicher Definition wird die neue Static Route immer deaktiviert in die Static Route Tabelle eingetragen Statusampel zeigt Rot 5 Aktivieren Sie die statische Route durch einen Klick auf die Statusampel Durch einen Klick auf das Papierkorb Symbol wird der Eintrag wieder gel scht 197 System benutzen amp beobachten 5 3 5 NAT Masquerading 5 3 5 1 NAT CEET Die Funktion Network Ad em 2 dress Translation NAT dient zur Umsetzung der ns ger an meist privaten IP Adres Ee re SS sen eines Netzwerkes auf andere meist ffentliche IP Adressen eines anderen Netzwerkes NAT erm glicht Eu EEE E damit mehreren PCs in einem LAN einerseits die IP Adresse des Internet Access Routers f r den Internet Zugang zu nutzen und andererseits versteckt es das LAN hinter der im Internet registrierten IP Adresse des Routers Rule Type Change Source to Change Destination to NAT Rules Wenn ein Client im LAN ein IP Paket an den Router schickt wandel
196. e Aktion 422 System benutzen amp beobachten Delete oder Download as ZIP File im Drop down Men aus Die Aktion wird sofort gestartet Durch einen Klick auf das Auswahlk stchen in der Kopfzeile werden alle Protokollgruppen ausgew hlt 3 Durch einen Klick auf das Papierkorb Symbol wird die Gruppe aus der Tabelle gel scht Name In dieser Spalte sind alle Protokolle alphabetisch aufgelistet Date Das Datum wird bei den heutigen Protokollen nicht angezeigt P Durch einen Klick auf das Ordner Symbol wird das Unterver zeichnis mit allen Protokollen dieser Gruppe angezeigt Durch einen nochmaligen Klick auf das Symbol gelangen Sie wieder in die bersicht Die zus tzlichen Funktionen im Unterverzeichnis wer den im Abschnitt Das Log File Unterverzeichnis beschrieben File Count Name In dieser Spalte wird die Anzahl der vorhandenen Dateien Files angezeigt Die alten Protokolle k nnen im Unterver zeichnis ge ffnet werden Activity Falls in einer Gruppe seit Mitternacht Prozesse protokolliert werden wird in dieser Spalte eine entsprechende Meldung angezeigt e Now Es werden in diesem Moment Protokolle erstellt e Today Es wurden seit Mitternacht Protokolle erzeugt Das aktuelle Protokoll Live Log kann durch einen Klick auf die Meldung Now oder Today ge ffnet werden Size In dieser Spalte wird die Gr e der Log File Gruppe angezeigt 8 Durch einen Klick auf das Download Symbol k nnen Sie die
197. e Log File bersicht In der bersicht sind alle Protokollgruppen Log File Groups enthal ten Die Gruppen mit den heutigen Protokollen k nnen direkt in dieser bersicht ge ffnet werden Browse local Log Files Total 183 entries 162 filtered 21 7 Filters e shown E 7 Name at File Count Name rs Accounting data 6 files di rg Admin notifications P s8 files Today 5914 di rs Boot messages 8files 4170 di ris Content filter P A files 10kB amp wi DNS proxy P 8 files Today 46kB di rs HTTP proxy 8 files 5676 amp ig Intrusion Protection System D s8 files 8894 di rig Kernel messages P s8 files 1609 di rs Local logins 8 files Today 2128 di rig Logging subsystem 8 files Today 2181 d i CR Packet filter 8files Today 411kb d i rs POP3 proxy P s8 files 865 amp rs PPTP daemon P 8files 655 di rg Selfmonitoring P 8 files 1025 rs SIP proxy P 8files 952 di rig SMTP proxy D 8 files Today 14kB di rs SSH daemon 8 files 432 dr rig System log messages 8 files Now 39kB di rigi Up2Date messages P 8 files Today 1075 di r9 User authentication daemon P 8 files Today 1814 di CR WebAdmin s8 files Now 28kB di lie Me de Please select X Die Funktionen in der bersicht von links nach rechts Auswahlk stchen Diese Einstellung wird in Verbindung mit dem Drop down Men in der Fu zeile der Tabelle ben tigt Markieren Sie hier die Protokollgruppen und w hlen Sie anschlie end di
198. e Name e server DNS und WINS und eine Name Service Dom ne zuweisen 215 System benutzen amp beobachten Verbindung mit MS Windows 2000 Hier wird in einem Beispiel Szenario beschrieben wie eine Verbindung mit PPTP VPN Access konfiguriert wird wenn auf dem Host Microsoft Windows 2000 installiert ist 1 ffnen Sie im Verzeichnis Network das Men PPTP VPN 2 Schalten Sie im Fenster PPTP VPN Access die Funktion durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet 3 F hren Sie im Fenster PPTP VPN Access die Einstellungen f r den Netzwerkzugang durch Logging Behalten Sie die Einstellung Normal bei Encryption Bestimmen Sie im Drop down Men die Verschl s selungsst rke Sie k nnen zwischen weak 40 Bit und strong 128 Bit w hlen Beachten Sie dass bei Microsoft Windows 2000 im Gegensatz zu MS Windows 98 und Windows ME nur die Verschl sselungsst rke 40 Bit standardm ig installiert ist F r eine 128 Bit Verschl sselungsst rke ben tigen Sie zus tzlich das High Encryption Pack oder Service Pack 2 SP2 kann aber sp ter nicht mehr deinstalliert werden Die ausgew hlte Verschl sselungsst rke wird sofort bernommen Damit die Verbindung zustande kommt muss auf beiden Seiten die gleiche Verschl sselungsst rke eingestellt sein Wenn im WebAdmin die Verschl sselungsst rke 40 Bit eingestellt
199. e Schl ssel werden au tomatisch erzeugt und sicher ausgetauscht Das IKE Protokoll erm glicht das Erzeugen und Verwalten mehrerer VPN Tunnel sowie die Verwendung von dynamischen IP Adressen Au erdem werden vom IKE Protokoll die Security Associations SA automatisch verwaltet Das Internet Sicherheitssystem unterst tzt drei Authentifizierungs arten innerhalb des IKE Protokolls e IKE mit Preshared Keys PSK e IKE mit RSA Keys RSA e IKE mit X 509v3 Zertifikaten X 509 Die Authentifizierung mit Preshared Keys PSK erfolgt durch Schl ssel mit einem geheimen Kennwort die vor der eigentlichen Ver bindung unter den Beteiligten ausgetauscht werden Wenn nun ein VPN Tunnel aufgebaut werden soll pr fen die beiden Gegenstellen ob ihnen dieses geheime Kennwort bekannt ist Wie sicher solche PSKs sind h ngt davon ab wie gut das Kennwort gesetzt wurde Allgemeine W rter sind z B sehr unsicher da sie sehr anf llig auf W rterbuch Angriffe sind Daher sollte bei dauerhaften IPSec VPN Verbindungen diese Authentifizierungsmethode durch Zertifikate oder durch RSA ersetzt werden Die Authentifizierung mit RSA Keys basiert auf einem Schl ssel Key Paar und beinhaltet einen Public Key ffentlichen Schl ssel und einen Private Key privaten Schl ssel Der Private Key wird zur Verschl sselung und Authentifizierung w hrend des Key Ex changes Schl sselaustausch ben tigt Die beiden Schl ssel sind 363 System benutze
200. e Schnittstelle zu laden 9 Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 165 System benutzen amp beobachten 5 3 2 2 Additional Address on Ethernet Interface Default Gateway Non z Einer Netzwerkkarte k nnen mehrere zus tzliche IP J Adressen zugeordnet wer den IP Aliase Diese Funk tion wird ben tigt um auf einer Netzwerkkarte meh rere logische Netzwerke zu verwalten Sie kann auch im Zusammen hang mit der Funktion NAT notwendig sein um dem Internet Sicher heitssystem zus tzliche Adressen zuzuweisen Die Funktion NAT wird in Kapitel 5 3 5 ab Seite 198 beschrieben Auf jeder Netzwerkkarte k nnen bis zu 255 zus tzliche Adressen konfiguriert werden Zus tzliche Adresse einer Netzwerkkarte zuweisen 1 2 166 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus W hlen Sie im Drop down Men Type den Schnittstellen Typ Additional address on Ethernet interface aus F hren Sie nun die spezifischen Einstellungen
201. e w hrend der Auswahl gedr ckt halten 2 Klicken Sie auf die Schaltfl che Pfeil nach links Der Name wird nun in das Feld Selected verschoben Netzwerk oder Benutzer entnehmen 1 W hlen Sie im Feld Selected das Netzwerk bzw den Benutzer aus indem Sie den entsprechenden Namen mit der Maus mar kieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die CTRL Taste w hrend dem Markieren gedr ckt halten 2 Klicken Sie auf die Schaltfl che Pfeil nach rechts Der Name wird nun in das Feld Available verschoben 41 WebAdmin Werkzeuge 4 3 39 Die Auswahltabelle a Ji intema a Mit der Auswahltabelle wird 2 F web_server kel den Funktionen und Diensten die entsprechende Authenti 3 F og ses EEE fizierungsmethode oder ei er ae ne Netzwerkkarte Inter face zugewiesen Die Authentifizierungsmetho 1 Is Faptus Database aa de Men System User Au T toca SE thentication und die Netz werkkarten Men Network Interfaces m ssen vom Administrator zuerst konfiguriert werden Das obere Bild zeigt eine Auswahltabelle f r Schnittstellen Das untere Bild enth lt eine Tabelle zur Auswahl der Authentisierung Die Funktionen zu den Eintr gen Die Funktionen werden erst aktiviert wenn der betreffende Eintrag ausgew hlt wurde In der linken Spalte wird die Position des Eintrags angezeigt Mit den Schaltfl chen in der rechten Spalte wird die Rei henfolge der Eintr ge ver ndert Durch einen Kl
202. e zuvor im Men Definitions Networks definiert wurden Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten Aus den zugelassenen Netzwerken kann nun auf den HTTP Proxy zugegriffen werden Beachten Sie auch die Funktionen im Fenster Advanced 275 System benutzen amp beobachten Parent Proxy 3 Die Funktion Parent Proxy wird in L ndern ben tigt in Service S denen der Zugang zum In Use authentication ternet nur ber einen staat Sen emm lich kontrollierten Proxy er laubt ist Dies trifft auf viele L nder in Afrika oder Asien zu Des Weiteren k nnen in bestimmten IT Landschaften hinterei nanderliegende Proxys vorkommen Sobald in diesem Fenster ein Parent Proxy definiert wurde werden die HTTP Anfragen zuerst an die entsprechende IP Adresse abgeschickt Use parent proxy Password Parent Proxy definieren 1 ffnen Sie im Verzeichnis Proxies das Men HTTP 2 Schalten Sie im Fenster Parent Proxy den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster 3 Definieren Sie in den Parent Proxy Host W hlen Sie im Drop down Men den Parent Proxy Server aus Der Server muss zuvor im Men Definitions Networks definiert werden Service W hlen Sie im Drop down Men den Dienst aus Der Dienst muss zuv
203. echte Ein gabefeld eintragen Bei der Option X 509 DN bleibt das rechte Feld leer 3 Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r den Zertifikats Antrag Erlaubte Zeichen sind Das Alphabet die Zahlen Oo bis 9 und Unterstrich 4 Tragen Sie in das Eingabefeld Passphrase ein Passwort mit mindestens vier Zeichen ein 5 W hlen Sie im Drop down Men Key Size die Verschl sse lungsst rke aus 6 Tragen Sie in die Drop down Men s und Eingabefelder Country bis E Mail Address die Authentifizierungsdaten f r dieses CSR ein Common Name Wenn Sie dieses CSR f r eine Road Warrior Verbindung erstellen m chten tragen Sie in dieses Feld den Namen des Benutzers User ein F r die Verbindung zu einem Host tragen Sie hier den Hostnamen ein 7 Um die Eintr ge zu speichern klicken Sie auf die Schaltfl che Start Anschlie end wird der Zertifikats Antrag CSR KEY in die Tabelle Host CSRs and Certificates geladen In der Tabelle wird der Type 392 System benutzen amp beobachten der Name und die VPN ID angezeigt Diese Anfrage kann nun mit der Signing CA aus Schritt 1 signiert werden Schritt 3 Das Zertifikat erstellen 1 W hlen Sie in der Tabelle Host CSRs and Certificates den neu erstellten Zertifikats Antrag CSR KEY aus 2 W hlen Sie im Drop down Men in der Fu zeile der Tabelle die Funktion Issue CERT from CSR aus Anschlie end wird das Eingabefeld Signing CA Passphrase sichtbar Trag
204. ed Der Ereignispuffer wurde aktiviert Weitere In trusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sammelperiod abgeschlossen ist Wenn weitere Ereignisse auf treten wird diese Periode ausgedehnt License usage Exceeding 100 of user count on Astaro Security Gateway Lizenznutzung Die maximale Anzahl der m glichen Benutzer wird berschritten UPS power critical system shutting down Die Spannungsversorgung des UPS Ger ts neigt sich einem kritischen Wert Das Sicherheitssys tem wird heruntergefahren RAID degraded hard disk replacement needed Es wurde ein Fehler auf dem RAID Festplattensys tem festgestellt Bitte wechseln Sie schnellst m glich die defekte Festplatte aus HA check No link beat on interface going down Die berwachung des Firewall Systems im Normal Modus mittels Link Beat ist fehlgeschlagen Di berwachung mittels Link Beat wird abgeschaltet 301 302 305 306 308 System benutzen amp beobachten System Up2Date failed Could not connect to Authentication Server s Der Authentication Server ist nicht erreichbar Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Download of System Up2Date Packages failed Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheits
205. efault ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Falls diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet und zudem st ndig erreichbar ist Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein Monitor Interface Usage Mit Hilfe dieser Funktion wird die Bandbreite auf der Schnittstelle berwacht Sobald die Band breite einen bestimmten Wert unter oder berschreitet wird eine Notification E Mail an den Administrator abgeschickt F r die Funktion Monitor Interface Usage muss in den Ein gabefeldern Uplink Bandwidth kbits und Downlink Band width kbits die jeweils maximal verf gbare Bandbreite einge tragen werden Die Notification E Mail an den Administrator wird abgesendet sobald die tats chlich vorhandene Bandbreite einen vordefinierten Grenzwert unter oder berschreitet Die Grenz werte werden mit den Notify Dro
206. efeld Hostname or IP Address den Hostnamen oder die IP Adresse des Sicherheitssystems ein ber die Sie mit Ihrem Browser auf WebAdmin zugreifen Beispiel Wenn Sie ber die Adresse https 192 168 10 1 auf das Konfigurationstool WebAdmin zugreifen tragen Sie 192 168 10 1 in das Eingabefeld ein System benutzen amp beobachten 4 Speichern Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Save Zertifikat f r WebAdmin installieren L Um nun das CA Zertifikat auf Ihrem Browser zu installieren klicken Sie im Fenster Certificate Installation auf die Schalt fl che Install Certificate into Browser Die anschlie enden Dialoge sind von Ihrem Browsertyp ab h ngig Bei Microsoft Internet Explorer z B ffnet sich der Dia log Dateidownload Datei auf Datentr ger speichern Mit dieser Option k nnen Sie das Zertifikat vor der Installation auf einem lokalen Daten speicher sichern Die Datei von ihrem aktuellen Ort ffnen Mit dieser Option wird das Zertifikat direkt ge ffnet Im Fenster Zertifikat haben Sie anschlie end drei Register zur Verf gung In diesen Regis tern k nnen Sie die Daten Ihres Zertifikats betrachten und anschlie end installieren 2 Um den jeweiligen Vorgang zu starten klicken Sie auf die Schalt fl che OK Hinweis Infolge von unterschiedlichen Systemzeiten und den weltweit ver setzten Zeitzonen kann es vorkommen dass das Zertifikat nicht sofort g ltig ist Viele Browser versenden
207. eht Ihnen zur berpr fung der IPSec Ver bindung zur Verf gung In den IPSec Logs werden aus f hrliche Informationen protokolliert Diese Protokolle k nnen Sie im Men Local Log Browse in Echtzeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Local Logs werden im Kapitel 5 10 ab Seite 417 beschrieben Wichtiger Hinweis Die Funktion IKE Debugging ben tigt einen gro en Teil der Sys temresourcen und kann daher den IPSec VPN Verbindungsaufbau erheblich verlangsamen Schalten Sie daher die Funktion nur f r den eigentlichen Debugging Vorgang ein 365 System benutzen amp beobachten IPSec Connections In der Tabelle IPSec Connections werden alle aktuellen IPSec VPN Verbindungen angezeigt IPSec Connection Status In der Tabelle IPSec Connection Status werden alle aktuell aus gehandelten oder aufgebauten IPSec VPN Verbindungen angezeigt Global IPSec Settings Status CIS Disable J IKE Debugging IS Enable J New IPSec Connection Name Type 1 Please select z H Road warrior IPSec connection status Total 1 entries 7 Connection Name IPSec SA ISAKMP SA Connection Type VPNId Remote Gateway roadie 800 BCC Road warrior 192 168 2 99 IPSec System Information Eine Verbindung ist vollst ndig aufgebaut wenn die Statusampeln in den Spalten IPSec SA und ISAKMP SA beide gr n anzeigen Die Tabelle enth lt die folgenden Meldungen Connection Name
208. eile Single Sign on SSO auf die Schaltf l che Enable Die Statusampel zeigt gr n und ein erweitertes Eingabemen wird angezeigt 2 F hren Sie die folgenden Einstellung durch SSO bind user Tragen Sie in das Eingabefeld den Benutzerna men ein Um die Benutzer authenfizieren zu k nnen m ssen die Zugangs daten ausreichend Rechte f r alle relevanten Benutzerobjektin formationen vom Novell eDirectory Server beinhalten SSO password Tragen Sie in das Eingabefeld das Passwort f r den SSO Bind User ein Der SSO Mechanismus ist nun aktiviert Novell eDirectory User Group Container based Access Control Novell eDirectory User Group Container based Access Control 4 Die N ovel l eDirectory G ru p WebAdmin Browse eDirectory rn pen k nnen genutzt wer den um die Zugangskon trolle f r die verschiedenen s Authentisierungs Clients zu HTTP Browse eOrectory SMTP SE verwalten Definieren Sie in der entsprechenden Kon IS trollliste die Gruppe des Be nutzers aus dem Verzeich EI Save nisdienst der hier authenti siert werden soll Ab dem Sicherheitssystem Version 6 2 ist im Men bei jedem Dienst ein eDirectory Browser mit der Struktur des Verzeichnisdienstes enthalten Mit Hilfe dieses eDirectory Browsers ist der Administrator in der Lage ber das Sicherheitssystem Benutzer Users Benutzergrup 89 System benutzen amp beobachten pen User Groups oder Container
209. einen Klick auf die Statusampel wird die IPS Regelgruppe ein und ausgeschaltet e 9 Die IPS Regel kann als Alarmierungsregel Intrusion Detection oder als Blockierungsregel Intrusion Prevention eingstellt werden Durch einen Klick auf das Symbol werden alle IPS Regeln in dieser Gruppe umgeschaltet 226 System benutzen amp beobachten Durch einen Klick auf das Ordner Symbol wird das Unterver zeichnis mit allen Protokollen dieser Gruppe angezeigt Durch einen nochmaligen Klick auf das Symbol gelangen Sie wieder in die bersicht Die zus tzlichen Funktionen im Unterverzeichnis wer den im Abschnitt Das IPS Regel Unterverzeichnis beschrieben Group In dieser Spalte wird der Name der IPS Regelgruppe ange zeigt Die Gruppen sind anhand dieses Namens alphabetisch sortiert Durch einen Klick in die Kopfzeile werden die Gruppen alphabetisch auf oder absteigend dargestellt Hits In dieser Spalte wird angezeigt wie oft eine Regel aus dieser Gruppe aktiv wurde Info In dieser Spalte erhalten Sie eine kurze Information zu dieser IPS Regelgruppe Das IPS Regel Unterverzeichnis Im Unterverzeichnis befinden sich alle IPS Regeln einer Gruppe Die Untergruppe wird in der bersicht durch einen Klick auf das Ordner Symbol P ge ffnet u pr ddos D Rules for Distributed Denial of Service au pr dns D Rules for DNS protocol RT dos D Denial of Service attacks D W exploit Well known exploits of specific so
210. eits w hrend der Installation die Authentifizierungsmethode Local Users definiert und im Auswahl men Allowed Users der entsprechende Benutzer User angelegt Weitere m gliche Authentifizierungsmethoden sind NT 2000 XP Server RADIUS Database und LDAP Server Allowed Users Per Default ist hier der Benutzer admin einegstellt Die lokalen Benutzer Users werden im Men Definitions Users verwaltet 117 System benutzen amp beobachten Log Access Network Traffic Alle Verbindungen zum Konfigura tionstool WebAdmin werden in den Packet Filter Logs als Accept Regel protokolliert Die Packet Filter Logs befinden sich im Men Local Logs Browse Per Default ist diese Funktion ausgeschaltet Die Funktion wird durch einen Klick auf die Schaltfl che Enable ein geschaltet Statusampel zeigt Gr n Block Password Guessing gt Mit dieser Funktion k nnen die Versuche sich in das Konfigurationstool Web Admin einzuloggen be grenzt werden Nach einer bestimmten Anzahl an Versuchen wird der Zugang von dieser IP Adresse aus f r eine bestimmte Zeitspanne verweigert Blockierschutz f r Login Versuche einstellen 1 Stellen Sie im Drop down Men After failed Attempts die ma ximale Anzahl der Versuche ein 2 Tragen Sie in das Eingabefeld Block IP for Period die Zeitspan ne f r den Blockierschutz ein 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Der Blockierschutz i
211. eitssystem kei ne weiteren wichtigen Log Files entfernt werden Di gel schten Dateien und oder Verzeichnisse werden im Anhang aufgelistet Remote log file storage failed Das t gliche Log File Archiv kann nicht auf dem konfigurierten Remote Server gespeichert werden Bitte pr fen Sie die Einstellungen im Men Local Logs Settings Remote log file archive Die Archivdatei wird automatisch mit dem n chs ten t glichen Log File Archiv abgeschickt Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als mittlere Priorit t einge stuft Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel 449 System benutzen amp beobachten 852 853 450 hat diesen Angriff als mittlere Priorit t ein gestuft Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sam melperiode abgeschlossen ist Wenn weitere Er eignisse auftreten wird dies Period ausg dehnt Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel h
212. el ber Telnet auch aus der Ferne arbeiten Remote Access ICMP Neben dem IP Protokoll gibt es eine Variante mit speziellen Funk tionen Das Internet Control Message Protocol ICMP wird zur bermittlung von Kontrollinformationen zwischen aktiven Netzwerk komponenten oder Rechnern verwendet Den meisten Anwendern sind die ICMP Typen Echo Typ 8 und Echo Reply Typ 0 im Zusammenhang mit dem Programm ping bekannt Empf ngt ein Rechner ein ICMP Echo Paket so muss sein IP Stack ein ICMP Reply 469 Glossar Paket an den Absender zur ckschicken Man macht dies mit dem Programm ping um festzustellen ob eine andere Netzwerkkompo nente ber IP zu erreichen ist IP Das Internet Protocol ist das Basisprotokoll f r die Daten ber tragung im Internet das seit 1974 nahezu unver ndert in Gebrauch ist Es regelt den Verbindungsauf und abbau sowie die Fehlerken nung Durch Verwendung von NAT und Masquerading k nnen private Netzwerke auf offizielle IP Adressen gemappt werden auf diese Weise wird der Ipv4 Adressraum noch lange ausreichen IP Adresse Jeder Host besitzt eine eindeutige IP Adresse vergleichbar mit einer Telefonnummer Eine IP Adresse besteht aus vier durch Punkte voneinander getrennte dezimale Ziffern Die m glichen Ziffern sind O bis einschlie lich 255 Beispiel Eine m gliche IP Adresse ist 192 168 2 15 Zu jeder IP Adresse geh rt mindestens ein IP Name der Form hostname subdomain s domain Z B k
213. em Unternehmens Netzwerk zu kommunizieren 3 HOST to HOST Verbindung Host Host Internet J i p Ca wm e w verschl sselt Ein Computer kommuniziert mit einem anderen Computer Bei diesem Szenario k nnen zwei Computer mittels VPN ber das Internet miteinander verschl sselt kommunizieren 358 System benutzen amp beobachten Ein VPN Server ist eine kosteng nstige und sichere L sung um Infor mationen zu bertragen und kann teuere Datendirekt Verbindungen Standleitungen zwischen Unternehmen ersetzen Das IPSec Konzept IP Security IPSec ist eine Suite von verschiedenen Protokollen f r die kryptographische sichere Kommunikation auf IP Ebene Layer 3 siehe auch Kapitel 2 ab Seite 11 IPSec besteht aus zwei Betriebsarten Modi und aus zwei Proto kollen e Transport Modus e Tunnel Modus e Authentication Header AH Protokoll f r Authentifizierung e Encapsulated Security Payload ESP Protokoll f r Verschl s selung und Authentifizierung Des Weiteren bietet IPSec Methoden f r die manuelle sowie die automatische Verwaltung von Security Associations SA und zur Schl sselverteilung Alle diese Merkmale wurden in einem Domain of Interpretation DOI zusammengefasst IPSec Architecture Transport Mode Se Tunnel Mode AH en ESP Protocol Authentication Algorithm Encryption Algorithm MD5 SH 1 DES 3DES Domain of Interpretation DOI SA and Key Management Manual and Automatic
214. en ber die serielle Verbindung laufen kann es vorkommen dass das System die ankommenden Daten nicht schnell genug verarbeiten kann Um sicherzustellen dass keine Daten verloren gehen ist eine Methode zur Kontrolle des Datenflusses notwendig Bei der seriellen Verbindung stehen zwei Methoden zur Auswahl Hardware Signale Software Signale Da bei einer PPP Verbindung alle 8 Bits der Leitung verwendet werden und sich in den bertragenen Daten die Bytes der Steuerzeichen Control S und Control Q befinden empfehlen wir die Default Einstellung Hardware beizubehalten und ein ent sprechendes serielles Verbindungskabel zu verwenden Line Speed Stellen Sie hier die Geschwindigkeit in Bits pro Sekunde f r die Verbindung zwischen dem Sicherheitssystem und dem Modem ein bliche Werte sind 57600 Bits s und 115200 Bits s Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assigned by remote oder Static ausgew hlt wurde Bei einer Schnittstelle zum Internet k nnen Sie mit Hilfe eines zweiten Internetzugangs z B ber die serielle Schnittstelle und einem PPP Modem eine Ausfallsicherung einrichten Eine Ausfallsicherung f r den Internetzugang kann z B aus einer Standleitung und einem Zugang ber die serielle Schnitt stelle bestehen Bei einem Ausfall der prim ren Verbindung er 187 System benutzen amp beobachten folgt dann automatisch der Uplink ber den zwe
215. en bernehmen In diesem Fall sollten Sie hier die interne Adresse Ihres Internet Sicherheitssystems einstellen Die Konfiguration des DNS Proxy erfolgt im Men Proxies DNS Die Funktionalit t des DNS Proxy wird in Kapitel 5 6 4 ab Seite 336 beschrieben F r NetBIOS Netzwerke kann zur Namensaufl sung ein WINS Server eingetragen werden WINS ist die Abk rzung f r Windows Internet Name Service Ein WINS Server ist ein MS Windows NT Server auf dem Microsoft TCP IP und die WINS Serversoftware ausgef hrt wer den Auf WINS Servern wird eine Datenbank verwaltet in der Computernamen den IP Adressen so zugeordnet werden dass die Benutzer problemlos mit anderen Computern unter Benutzung der Windows Techniken kommunizieren k nnen und dabei alle Vorteile von TCP IP nutzen k nnen 1 ffnen Sie im Verzeichnis Network das Men DHCP Service 2 Tragen Sie in die Eingabefelder DNS Server 1 IP und DNS Server 2 IP die IP Adressen der Nameserver ein 3 Tragen Sie in das Eingabefeld Gateway IP die IP Adresse des Default Gateways ein 4 Falls Sie einen WINS Server zuweisen m chten f hren Sie die folgenden zwei Einstellungen durch WINS Server IP Tragen Sie hier die IP Adresse des WINS Servers ein WINS Node Type W hlen Sie im Drop down Men die Metho de aus die der Client zur Namensaufl sung anwenden soll Falls 209 System benutzen amp beobachten die Einstellung Do not set note type ausgew hlt ist wird das Vorgehen
216. en amp beobachten Die weitere Konfiguration erfolgt am Host des Benutzers Der Benut zer ben tigt zur weiteren Konfiguration die IP Adresse des Servers sowie einen Benutzernamen und Passwort Diese Angaben werden vom Administrator des Internet Sicherheitssystems vergeben 1 218 Klicken Sie in Microsoft Windows 2000 auf Start Einstel lungen Netzwerk und DEU verbindungen Klicken Sie auf das Icon Neue Verbindung erstellen Der Netzwerksverbindungs Assistent ffnen sich Klicken Sie anschlie end auf die Schaltfl che Weiter W hlen Sie die folgende Option aus Verbindung mit einem privaten Netzwerk ber das Internet herstellen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie eine permanente Verbindung ins Internet haben w hlen Sie die folgende Option aus Keine Anfangsverbindung auto matisch w hlen Klicken Sie anschlie end auf die Schaltfl che Weiter Falls Sie sich zuerst ber einen Provider in das Internet ein w hlen klicken Sie auf die Option Andere Verbindung zuerst w hlen und w hlen im Auswahlmen Ihren Provider aus Diese Einstellungen k nnen Sie auch sp ter im Dialog Eigenschaften vornehmen bzw ndern Tragen Sie in das Eingabefeld Zieladresse die IP Adresse des Servers ein Klicken Sie anschlie end auf die Schaltfl che Weiter Bestimmen Sie im Fenster Verf gbarkeit der Verbindung ob der PPTP Zugang f r alle Benutzer oder nur f r Sie selbst zu Verf gung stehen soll
217. en die auf der Verwendung vertrauensw rdiger IP Adressen oder Hostnamen beruhen Viele der Exploits im Internet die Teardrop oder Ping of Death Angriffe ausf hren verwenden dieses Spoofing Spoof Protection vergleicht abh ngig von der ausgew hlten Einstel lung nach bestimmten Verfahren die Absenderadresse des ankom menden Datenpakets mit den IPs der beteiligten Schnittstellen Die folgenden Einstellungen stehen zur Verf gung Normal Das Sicherheitssystem f ngt und protokolliert alle Datenpa kete die als Absenderadresse Source IP entweder die gleiche IP enthalten wie die eigene Schnittstelle auf der die Pakete eintreffen oder wenn die Absenderadresse mit der IP eines Netzwerks berein stimmt die einer der anderen Schnittstellen auf dem Sicherheitssys tem zugewiesen ist Strict Mit dieser Einstellung werden alle Datenpakete abgefangen die zwar die richtige Zieladresse Destination IP f r eine bestimmte Schnittstelle im Netzwerk enthalten allerdings ber eine Schnittstelle 263 System benutzen amp beobachten der sie nicht zugeordnet sind im Netzwerk eintreffen Des Weiteren werden alle Pakete abgefangen die von einer externen IP direkt an eine interne IP gesendet werden da eigentlich vorausge setzt wird dass sie nur Datenpakete von internen Absenderadressen empfangen kann Hinweis Falls die Firewall im Common Criteria Mode oder ICSA Labs Com pliant Mode arbeitet behalten Sie die Einstellung Strict bei
218. en Sie hier das Passwort der Signing CA ein 3 Klicken Sie auf die Schaltfl che Start Anschie end wird aus dem Antrag CSR KEY das fertige Zertifikat CERT KEY erstellt und in der Tabelle entsprechend ausgetauscht Schritt 4 Zertifikat herunterladen 1 W hlen Sie in der Tabelle Host CSRs and Certificates das neue Zertifikat aus 2 W hlen Sie im Drop down Men in der Fu zeile der Tabelle ein Download Format aus DER Tragen Sie in das Eingabefeld Passphrase das Passwort des Privat Key ein PEM F r dieses Format wird kein Passwort ben tigt PKCS 12 Tragen Sie in das Eingabefeld Passphrase das Pass wort des Private Key ein In das Eingabefeld Export Pass ge ben Sie ein zus tzliches Passwort ein Dieses Passwort ben tigen Sie oder ein anderer Benutzer um das Zertifikat auf dem exter nen Client zu importieren 3 Klicken Sie auf die Schaltfl che Start Das Zertifikat muss nun auf dem externen IPSec VPN Client installiert werden Der Installationsablauf h ngt von der IPSec Software ab die auf diesem Client verwendet wird 393 System benutzen amp beobachten 5 7 7 Advanced Advanced IPSec Settings 4 In diesem Men k nnen Dead Peer Disable H Detecion D Sie f r das Modul IPSec BE urn VPN zus tzliche Einstel Copy TOS Mag DW _nebte_ ve See lungen durchf hren Diese ne Le _Disabie_ sollten allerdings nur von un oe Enable T erfahrenen Benutzern Strict CRL Ensb
219. en g 860 System benutzen amp beobachten sammelt und an Sie abgesendet sobald die Sam melperiode abgeschlossen ist Wenn weitere Er eignisse auftreten wird dies Period ausg dehnt Bei dieser Intrusion Protection Regel kann im WebAdmin zwischen den Aktionen Alert only nur alarmieren und Drop abfangen um geschaltet werden Weiter Informationen erhal ten Sie in der Notification E Mail Intrusion Protection Alert Buffered Events Nach der Aktivierung des Ereignispuffers wurden weitere Intrusion Protection Ereigniss gesam melt In der angeh ngten Datei ist ein Auszug aus den gesammelten Ereigniss nthalten Eine komplette Liste mit Ereignissen wurde in den Intrusion Protection Log Files gespeichert 461 System benutzen amp beobachten 5 10 3 3 HTTP Proxy Meldungen Die folgenden Informationen und Fehlermeldungen werden vom HTTP Proxy verschickt Download Verlauf A astaro H astaro A astaro 462 Schritt 1 von 3 Schritt 2 von 3 Schritt 3 von 3 System benutzen amp beobachten Internetseite wurde vom Virus Protection for Web blockiert ai astaro Content blocked A The Fan you une ph ted m rier um Viren name LXAR Tost te Pt men sc comjomeioadjec com d boy a veus It winot be dowriboded gue dte obt Internetseite wurde vom Virus Protection for Web
220. en im Men Local Logs Settings Pr fen Sie die Einstellungen im WebAdmin und l schen Sie zur Sicherheit manuell alte Log Da teien damit vom Internet Sicherheitssystem kei ne wichtigen Log Files entfernt werden Di gel schten Dateien und oder Verzeichnisse werden im Anhang aufgelistet 720 850 85l System benutzen amp beobachten Executive report Die Notification enth lt den heutigen Executiv Report Weitere Informationen zum Executive Re port erhalten Sie in Kapitel 5 8 12 ab Seite 404 Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als niedrige Priorit t einge stuft und das Datenpaket wurde nicht abgefangen Falls diese Pakete in Zukunft abgefangen werden sollen stellen Sie im WebAdmin bei der entspr chenden Intrusion Protection Regel di Aktion Drop in Beachten Sie dabei dass dann even tuell auch regul rer Datenverkehr abgefangen werden kann Weitere Informationen rhalten Si in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als niedrige Priorit t ein gestuft das Datenpaket wurde nicht abgefangen Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereignisse we
221. enden Pass Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Empf ngers zu sortieren oder zu filtern Des Weiteren wird in den Betreff der E Mail der Hinweis SPAM hinzugef gt Die m glichen Header sind X Spam Score Der Header enth lt einen Punktestand der aus einem numerischen Wert und einer Anzahl von Minus und Pluszei chen besteht Je h her dieser Punktestand ausf llt umso wahr scheinlicher ist es dass es sich bei der Nachricht um eine Spam Mail handelt X Spam Flag Wenn der enthaltene Wert Yes lautet wurde die Nachricht als Spam Mail erkannt X Spam Report Der Proxy hat die Nachricht als Spam Mail er kannt Der hinzugef gte Multiline Header enth lt einen offen les baren Antispam Bericht Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben Spam Sender Whitelist Mit dieser Kontrollliste k nnen die E Mails bestimmter Absender vom Scannvorgang durch das Modul Spam Protection ausgeschlossen werden Es werden alle Nachrichten nicht gescannt in denen die Envelope from Adresse oder Header Ab sender mit einem Eintrag aus der Kontrollliste bereinstimmen 334 System benutzen amp beobachten Tragen Sie die Adressen wie nachfolgend beschrieben in die Kontroll liste ein e Alle E Mails einer bestimmten Adresse sollen nicht gescannt wer den Ei
222. ene Werte eintragen Wenn Sie die Werte zu hoch definieren kann es passieren dass Systeme in die Knie geht da sie so eine gro e Summe an ICMP Paketen nicht bew ltigen k nnen Wenn auf der anderen Seite die Rate zu gering definiert wurde kann es pas sieren dass das Sicherheitssystem unvorhersehbar reagiert und regul re Anfragen blockiert Die Werte h ngen haupts chlich von der Hardware ab auf der das Sicherheitssystem installiert ist Ersetzen Sie daher die Standardeinstellungen durch f r Ihr Sicherheitssystem geiegnete Werte Source flood packet rate packets second Tragen Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Quell IP Adressen erlaubt sind 5 4 5 Advanced System benutzen amp beobachten Destination flood packet rate packets second Tragen Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Ziel IP Adressen erlaubt sind fl che Save Policy and Exdusions Pobey IPS Network Exdusions HTTP Service HTTP Servers DNS Servers SMTP Servers SQL Servers Total 0 entries Available GC SH Available Tamm Lie b e Policy and Exclusions Speichern Sie die Einstellungen durch einen Klick auf die Schalt In diesem Men k nnen Sie f r das Modul Intrusion Protection System IPS zus tzliche Einstellungen durchf hren Diese sollten aber nur von
223. engere Behandlung erfahren soll Das Modul Spam Protection ben tigt auf stark frequentierten Sys Wichtiger Hinweis temen einen hohen Anteil der Systemressourcen Pass Quarantine when Score exceeds Mit diesen Drop down Men s justieren Sie den H chstwert zur Bewertung der E Mails Der Unterschied zwischen den H chstwerten definiert sich durch die Wahr scheinlichkeit dass ungef hrliche Mails z B HTML Newsletter ge filtert werden Im Drop down Men kann ein Wert zwischen 1 und 15 eingestellt werden Mit der Stufe 1 werden bereits E Mails mit einem kleinen Spam Score behandelt Die folgenden Stufen Level geben einen Anhaltspunkt e Aggressive 03 Diese Strategie filtert die meisten Spam Mails Allerdings werden mit hoher Wahrscheinlichkeit auch ungef hrliche Nachrichten z B HTML Newsletter zur ckgewiesen e Reasonable 05 Diese Strategie liegt zwischen Aggessive und Conservative e Conservative 08 Diese Strategie filtert nur Nachrichten bei denen es sich mit sehr hoher Wahrscheinlichkeit um Spam Mails handelt Ungef hrliche E Mails werden meist nicht gefiltert 333 System benutzen amp beobachten Die folgenden Aktionen sind voreingestellt Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu vers
224. enthaltene Wert Yes lautet wurde die Nachricht als Spam Mail erkannt X Spam Report Der Proxy hat die Nachricht als Spam Mail er kannt Der hinzugef gte Multiline Header enth lt einen offen les baren Antispam Bericht X Infected Die Nachricht enth lt einen Virus Als Wert wird der Name des gefundenen Viruses angezeigt X Contains File Dieser Header wird von der Funktion File Ex tension Filter hinzugef gt Eine E Mail enth lt einen Anhang Attachment mit einer potentiell gef hrlichen Erweiterung aus der Kontrollliste X Regex Match Dieser Header wird von der Funktion Expres sion Filter hinzugef gt Die E Mail beinhaltet eine Zeichenkette 324 System benutzen amp beobachten aus der Kontrollliste In Microsoft Outlook 2000 Regeln erstellen In MS Outlook k nnen die von der Firewall gescannten und anschlie end durchgelassenen E Mails anhand der Header sortiert werden Voraussetzung hierf r ist dass bei der entsprechenden Content Filter Funktion auf der Firewall die Aktion Warn SMTP oder Pass POP3 ausgew hlt wurde Die verf gbaren Header sind auf der vor hergehenden Seite aufgelistet 1 Starten Sie MS Outlook 2 Klicken Sie auf Posteingang 3 ffnen Sie das Men Extras Regel Assistent 4 Klicken Sie auf die Schaltfl che Neu Anschlie end ffnet sich der Assistent zur Erstellung neuer Re geln Dieser Regel Assistent f hrt Sie nun schrittweise durch die Konfiguration 5 Welche Art v
225. er die IP Adresse oder den Hostna men des RADIUS Servers ein Shared Secret Tragen Sie hier das Passwort Shared Secret aus Schritt 6 ein 12 Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save 13 ffnen Sie das Men des entsprechenden Proxys bei dem Benutzerauthentifizierung mittels RADIUS erfolgen soll 14 Falls User Authentication noch ausgeschaltet ist Statusampel zeigt Rot aktivieren Sie diese indem Sie auf die Schaltfl che Enable klicken Authentication Methodes W hlen Sie in diesem Auswahlfeld RADIUS aus 15 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Add Die Benutzerauthentifizierung per RADIUS ist nun aktiviert Im Microsoft Windows NT 2000 Event Log protokolliert anschlie end der IAS Server jeden Zugriff auf den Proxyserver Um ein schnelles Volllaufen des Event Logs zu verhindern speichert das Internet Sicherheitssystem die vom RADIUS Server gelieferten Daten f r f nf Minuten Das bedeutet allerdings auch dass sich nderungen an der Benutzerdatenbank gegebenenfalls erst nach maximal f nf Minuten bemerkbar machen Achtung Das Sicherheitssystem sendet Anfragen ber den UDP Port 1812 u 95 System benutzen amp beobachten 5 1 8 4 SAM NT 2000 XP Bei dieser Authentifizierungsmethode wird zur Bewertung der An fragen ein MS Windows NT 2000 Domain Controller oder ein Stand alone Server verwendet Viele Unternehmen verwenden bereits
226. er hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben Expressions Tragen Sie in die Kontrollliste die Zeichenketten ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben 319 System benutzen amp beobachten 5 6 2 2 Spam Protection Dieses Modul berpr ft die eingehenden E Mails heuris ses heuristic and stat stcal heds test HTML EE tisch auf bestimmte Eigen Tireshald one schaften die Hinweise auf ae sun Spam geben Hierzu dienen Re E i interne Musterdatenbanken s i TT Pr z Auf diese Weise ist man Se unabh ngig von den Absen Riegel CH derinformationen und kann du no data n tatie J somit die Genauigkeit stark Spam Reapient koe Adi Wivtekat au GE erh hen Wichtiger Hinweis Wenn Sie eine Upstream Firewall einsetzen m ssen Sie dort den Datenverkehr vom Sicherheitssystem zum Internet durch den nach folgend aufgef hrten Port erlauben Er wird f r die Kommunikation mit der Spam Protection Datenbank ben tigt UDP Port 53 DNS F r den Spam Score k nnen zwei Grenzwerte Thresholds defi niert werden Auf diese Weise k nnen mutma liche Spam E Mails von der Firewall unterschiedlich behandelt werden Die beiden Grenzwerte Thresholds
227. erden in Kapitel 5 1 8 ab Seite 83 erkl rt Debugging Diese Funktion steht Ihnen zur berpr fung der L2TP over IPSec Verbindung zur Verf gung In den IPSec Logs werden ausf hrliche Informationen protokolliert Diese Protokolle k nnen Sie im Men Local Logs Browse in Echtzeit beobachten oder auf Ihren lokalen Rechner herunterladen Die Funktionen im Men Local Logs werden im Kapitel 5 10 ab Seite 417 beschrieben 386 System benutzen amp beobachten IP Address Assignment Mit dieser Funktion k nnen Sie festlegen ob den Hosts bei der Einwahl eine Adresse aus einem definierten L2TP over IPSec IP Pool zugewiesen werden soll oder ob die Adresse automatisch von einem DHCP Server angefordert wird Bitte beachten Sie dass der lokale DHCP Server f r diese Funktion nicht unterst tzt wird Der DHCP Server muss physikalisch auf einem anderen System laufen L2TP over IPSec IP Pool Hier legen Sie fest welche Ee FEREN IP Adressen den Hosts bei Subnet Mask 255 255 255 0 der Einwahl zugewiesen SE werden Per Default Ein stellung wird beim ersten Aktivieren der L2TP over IPSec Funktion ein Netzwerk aus dem privaten IP Bereich 10 x x x ausgew hlt Dieses Netzwerk wird IPSec Pool genannt und kann f r alle anderen Funk tionen des Internet Sicherheitssystems genutzt werden in denen Netzwerkdefinitionen verwendet werden Falls Sie ein anderes Netz werk verwenden wollen k nnen Sie entweder die bestehende IPSec P
228. eren oder zu filtern Des Weiteren wird in den Be treff der E Mail der Hinweis SPAM hinzugef gt Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben Spam Sender Whitelist Mit dieser Kontrollliste k nnen die E Mails bestimmter Absender vom Scannvorgang durch das Modul Spam Protection ausgeschlossen werden Es werden alle Nachrichten nicht gescannt in denen die Envelope from Adresse oder Header Ab sender mit einem Eintrag aus der Kontrollliste bereinstimmen 322 System benutzen amp beobachten Tragen Sie die Adressen wie nachfolgend beschrieben in die Kontroll liste ein e E Mails einer bestimmten Adresse sollen nicht gescannt werden Eingabe user domain com e Alle E Mails einer bestimmten Domain sollen nicht gescannt wer den Eingabe domain com e Alle E Mails eines bestimmten Benutzers sollen nicht gescannt wer den egal von welcher Domain diese abgesendet werden Eingabe user Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben Spam Recipient Whitelist Mit dieser Kontrollliste k nnen die E Mails f r bestimmte Empf nger vom Scannvorgang durch das Modul Spam Protection ausgeschlossen werden Es werden alle Nach richten nicht gescannt in denen die Envelope recipient Adresse mit einem Eintrag aus der Kontrollliste bereinstimmen Tragen Sie die Adressen wie nachfolgend beschrieben in die K
229. erfahrenen Benutzern vorgenommen werden Policy Stellen Sie in diesem Drop down Men ein welche Sicher heitspolitik das Intrusion Protection System anwenden soll wenn eine Blockierungsregel eine IPS Angriffssignatur erkennt IPS Network Exclusions Drop silently Das Datenpaket wird nur blockiert Terminate connection An beide Kommunikationspartner wird ein TCP Reset bzw ein ICMP Port Unreachable f r UDP abge schickt und die Verbindung wird daraufhin beendet In diesem Auswahlmen k nnen be stimmte Verbindungen zwischen den Netzwerken vom Intrusion Pro tection System IPS ausgeschlossen werden 241 System benutzen amp beobachten Die Verbindungen werden in einer Tabelle unter dem Auswahlmen aufgelistet Durch einen Klick auf das Papierkorp Symbol 8 wird die definierte Verbindung wieder aus der Tabelle gel scht Performance Tuning Mit den Einstellungen in diesem Fenster kann die Leistung des Intru sion Prevention System IPS verbessert werden indem die Server und Ports definiert werden Die entsprechenden IPS Regeln werden dann nur bei den eingestellten Servern und Ports angewendet Die Server m ssen zuvor als Host im Men Definitions Networks hinzugef gt werden Das Hinzuf gen von Hosts wird in Kapitel 5 2 1 ab Seite 134 beschrieben Hinweis l Wenn Sie in diesem Fenster keine Server einstellen wird vom Intru sion Protection System IPS der gesamte Datenverkehr im gesamten Netzwerke gem
230. erfolgt bei entsprechender Konfi 83 System benutzen amp beobachten guration die Authentifizierung z B vor dem Zugriff auf einen Dienst Service nicht mehr ber das Sicherheitssystem sondern ber den Active Directory Server Die Authentifizierung des Clients bei Anfragen an einen Proxydienst muss durch Benutzernamen und Passwort erfolgen Auf diese Weise wird die Authentifizierung personenbezogen User und nicht IP bezogen durchgef hrt Dies erm glicht ein personenbezogenes Ac counting im HTTP Proxy Zugangsprotokoll Proxydienste und Authentifizierungsmethoden Die Proxydienste HTTP SMTP und SOCKSv5 k nnen so konfiguriert werden dass sie alle Clients auf IP Adressen basierend oder nur Clients mit einem g ltigen Benutzernamen und Passwort Benutzer authentifizierung akzeptieren Wenn Sie User Authentication akti vieren m ssen Sie mindestens eine Methode f r Ihr System aus w hlen um die angefragten Berechtigungsnachweise zu bewerten Ansonsten k nnen Sie den Proxydienst nicht benutzen Das Sicherheitssystem unterst tzt Benutzerauthentifizierung mit einem Novell eDirectory Server e einem RADIUS Server e einer NT SAM Benutzer Basis e eine Active Directory NT Domain Membership e einem LDAP Server e einer lokalen Benutzerdatenbank im WebAdmin Die f nf Benutzerdatenbanken k nnen nacheinander abgefragt wer den 84 System benutzen amp beobachten 5 1 8 1 Local Users Um die Sicherheit f
231. ern Diese Funktion 1024 65533 Sage ees J s erleichtert das Managen won 2 von gro en Netzwerken mit vielen Diensten erheb lich da Dienste eines be stimmten Typs bersicht lich dargestellt werden k nnen 1024 65535 Dienste filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Name Falls Sie Dienste mit bestimmten Namen filtern m chten tragen Sie den Begriff in das Eingabemen ein Type Mit diesem Drop down Men filtern Sie Dienste eines bestimmten Typs Protocol Mit diesem Drop down Men filtern Sie Dienste mit bestimmten Protokollen Source Port Falls Sie Dienste mit einem bestimmten Quellport filtern m chten tragen Sie diesen in das Eingabefeld ein Destination Port Falls Sie Dienste mit einem bestimmten Zielport filtern m chten tragen Sie diesen in das Eingabefeld ein 145 System benutzen amp beobachten Comment Falls Sie Dienste mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Dienste in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige Diensttabelle dargestellt Weitere Funktionen Defin
232. ernet erfolgen Dabei hat jede dieser Vorgehensweisen Vor und Nach teile da ein Konflikt zwischen den entstehenden Kosten und den Sicherheitsanforderungen auftritt Internet K e gt VPN Client f r Fernzugriff DMZ Firewall Server Server 17 Einf hrung in die Technologie Durch Virtual Private Network VPN wird es m glich abge sicherte d h verschl sselte Verbindungen zwischen LANs aufzubau en die transparent von Endpunkt zu Endpunkt ber das Internet geleitet werden Dies ist insbesondere sinnvoll wenn Ihre Organisa tion an mehreren Standpunkten operiert die ber eine Internet Anbindung verf gen Aufbauend auf dem IPSec Standard wird es hier m glich sichere Verbindungen herzustellen Unabh ngig von der Art der zu bertragenden Daten wird diese ver schl sselte Verbindung automatisch d h ohne die Notwendigkeit zu s tzlicher Konfigurationen oder Passw rter am Endsystem genutzt um den Inhalt w hrend des Transports abzusichern Am anderen Ende der Verbindung ISO OSI TCP IP werden die bermittelten Daten EEA wieder transparent entschl sselt 7 Application Layer pP y FTP SMTP E mail und stehen in ihrer urspr nglichen 6 Presentation Layer Form dem Empf nger zur Verf 5 Session Layer gung AE Transmission Level Die Firewall dieses Internet ransport Layer TCP UDP Sicherheitssystems ist ein Hybrid 3 Network Layer Internet Level IP ICMP aus den genannten
233. erpr fung wurde durchgef hrt Die MD5 Pr fsumme der synchronisierten Config Backup Datei passt nicht zur Signatur HA check Slave is running HA system is active and working Das System 2 im Hot Standby Modus ist in Be trieb das HA System ist aktiv Astaro User Authenticator AUA not running restarted Das Programm Astaro User Authenticator AUA wird nicht ausgef hrt ein Restart wurde durch gef hrt Cron Task Scheduler not running restarted Das Programm Cron Task Scheduler wird nicht aus gef hrt in Restart wurde durchgef hrt WebAdmin webserver not running restarted Der WebAdmin Webserver wird nicht ausgef hrt ein Restart wurde durchgef hrt ssh server not running restarted Der SSH Server wird nicht ausgef hrt ein Re start wurde durchgef hrt 109 110 111 112 11 3 114 LIS 116 117 System benutzen amp beobachten license server not running restarted Der License Server wird nicht ausgef hrt ein Restart wurde durchgef hrt configuration database server not running restarted Der Configuration Database Server wird nicht ausgef hrt in Restart wurde durchgef hrt syslog server not running restarted Der Syslog Server wird nicht ausgef hrt ein Restart wurde durchgef hrt middleware not running restarted Die MiddleWare wird nicht ausgef hrt ein Restart wurde durchgef hrt alicd not running restarted
234. ert Anderst beim HTTPS Protokoll hier wird der Header nur durchlaufen Das Modul Surf Protection kann daher bei HTTPS Verbindungen keine angefragte URL aufgrund der White oder Blacklist bewerten Custom HTML Content Removal Tragen Sie in die Zugriffs kontrollliste die Begriffe ein die aus den Internetseiten entfernt werden sollen F hren Sie die Einstellungen f r die Funktionsgruppe Content Scanning Features durch Virus Protection for Web Durch einen Klick auf das Kontroll k stchen wird die Funktion ein und ausgegeschaltet Block Spyware Infection and Communication Durch einen Klick auf das Kontrollk stchen wird die Funktion ein und ausgegeschaltet Block suspicious and unkown sites Durch einen Klick auf das Kontrollk stchen wird die Funktion ein und ausgegeschaltet Strip Embedded Objects Durch einen Klick auf das Kontroll k stchen wird der Filter ein und ausgegeschaltet System benutzen amp beobachten N Sicherheitshinweis Schalten Sie die Funktion Strip Embedded Objects nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen Strip Script Durch einen Klick auf das Kontrollk stchen wird die Funktion ein und ausgegeschaltet N Sicherheitshinweis Schalten Sie die Funktion Strip Script nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen File extension blocking Mit dieser Funktion werden Dateien mit den Erweiterungen aus der Kontrollliste blockiert Das Surf
235. ert Sobald das aktive System wegen einem Hardware Defekt ausf llt f hrt das zweite Sys tem automatisch in den Normal Modus und bernimmt dessen Funktion 128 System benutzen amp beobachten 5 1 12 Certifications Common Criteria Certification Common Criteria Certification In sensiblen Einsatzberei The Common Criteria is an international initiative by A P the following organisations CSE Canada SCSSI OLEA OZ WE France BSI Germany NUNCSA Netherlands chen wie Banken Versi CESG UK NIST USA NSA USA and represents criteria for evaluabon of IT security that are widely cheru ngen sowie im staat accepted within the international community The Common Criteria Mode offers enhanced security options for the Astaro Security Gateway If enabled it H il t ri GE Ee lichen und milit rischen stringent requirements set by the Common Criteria Standard ISO IEC 15408 for computer security Sektor spielen Vertraulich Common Criteria Mode status ge bss _ keit und Integrit t von Hard und Software schon immer eine gro e Rolle Die Evaluierungs organisationen haben daher ihren Ursprung in amtlichen Stellen die f r die Bewertung von milit rischen und staatlichen Rechnersystemen zust ndig waren An der Definition der Common Criteria for Infor mation Technology Security Evaluation sind neben den Europ i schen Staaten Deutschland Frankreich den Niederlanden und Gro britanien auch Ka
236. es zu durchsuchen Um in ein System einzudringen bzw eine Denial of Service DoS Attacke zu starten ben tigt der Angreifer Informationen zu den Netzwerk Diensten Wenn solche Informationen vorliegen ist der Angreifer m glicherweise in der Lage gezielt die Sicherheitsl cken dieser Dienste auszunutzen Netzwerkdienste die die Internet Protokolle TCP und UDP verwenden sind ber bestimmte Ports erreichbar und diese Port Zuordnung ist im Allgemeinen be kannt z B ist der Dienst SMTP in der Regel dem TCP Port 25 zugeordnet Die von Diensten verwendeten Ports werden als offen open bezeichnet da es m glich ist eine Verbindung zu ihnen aufzu bauen Die unbenutzten Ports werden hingegen als geschlossen closed bezeichnet Versuche zu ihnen eine Verbindung aufzubauen scheitern Damit nun der Angreifer herausfinden kann welche Ports Exdude destination networks Seecteg 230 System benutzen amp beobachten offen sind verwendet er ein spezielles Software Tool den Port Scanner Dieses Programm versucht mit mehreren Ports auf dem Zielrechner eine Verbindung aufzubauen Falls dies gelingt meldet es die entsprechenden Ports als offen und der Angreifer hat die n tigen Informationen welche Netzwerkdienste auf dem Zielrechner verf gbar sind Der Port Scanner kann z B folgende Informationen liefern Interesting ports on 10 250 0 114 The 1538 ports scanned but not shown below
237. esse 156 System benutzen amp beobachten Transparent Bridging Mode Transparent Bridging Mode The system is currently in standard Routing Mode Mit der Funktion Trans SEENEN parent Bridging Mode K TT werden alle konfigurierten FE ra Netzwerkkarten entfernt und eine Bridge Schnitt stelle wird definiert Diese Schnittstelle enth lt die Adresse von der Netzwerkkarte mit dem Default Gateway Falls kein Default Gateway vorhanden ist wird vom Sicherheitssystem die erste IP Adresse ver wendet die auf einer Ethernet Netzwerkkarte definiert wurde Die Funktion Transparent Bridging Mode entspricht der Funk tion Bridging im Men Network Interfaces Weitere Informa tionen erhalten Sie in Kapitel 5 3 3 auf Seite 191 Auf den Routing Mode k nnen Sie wieder zur ckschalten indem Sie nochmals auf die Schaltfl che Start klicken Die Bridge wird anschlie end in ein Standard Ethernet Interface ge ndert Diese Schnittstelle enth lt alle Adress Einstellungen von der Bridge Hardware List Hardware List obt Asustok SES 10 100 Eth rnat In dieser Tabelle sind alle E Ee EE auf dem Internet Sicher irq 11 type eth mac 00 50 fe a0 b7 28 ttyso RS232 Fn Geess heitssystem installierten Netzwerkkarten und verf gbaren seriellen Schnittstellen mit den entsprechenden Hardware Informationen enthalten z B die vom System zugewiesene Bezeichnung Sys ID der Netzwerkarten Typ die MAC Hardware Adr
238. esse Name Parameters sowie Angaben zum PCI Bus Bus Ger t Funktion PCI Device ID An die serielle Schnittstelle k nnen PPP Modems die auf der seriellen Konsole aufsetzen angeschlossen werden Die Konfiguration der seriellen Schnittstelle mit einem PPP Modem wird in Kapitel 5 3 2 6 ab Seite 185 beschrieben 157 System benutzen amp beobachten Fehler Die Tabelle Hardware List ent hlt nicht alle Netzwerkkarten M gliche Fehlerursachen Die fehlende Netzwerkkarte wurde erst nach Installation des Internet Sicherheitssystems eingebaut oder sie wurde w h rend der Installation nicht erkannt Setzen Sie sich in diesem Fall mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Wenn Sie die IP Adresse der internen Netzwerkkarte ethO ndern besteht die M glichkeit dass Sie keine Verbindung mehr zum Inter net Sicherheitssystem bekommen Achtung 158 System benutzen amp beobachten 5 9 2 1 Standard Ethernet Interface F r eine Standard Ethernet Schnittstelle zu einem inter Name base 2 Hardware Type nen oder externen Netzwerk ASi 4 muss auf der Netzwerkkarte wesen x J die prim re Netzwerkkarten adresse eingerichtet werden Default Gateway Alle auf dem Sicherheitssys ehe E tem installierten Netzwerk Lekt Falover on ke S z karten werden in der Tabelle 3 Hardware List angezeigt Standard Ethernet Netzwerkka
239. fgrund dieses Zeitstempels wird die E Mail vom SMTP Proxy f r den Zeitraum von f nf Minuten abgelehnt Diese Aktion wird als Greylisting bezeich net Nach dieser Zeitspanne gilt das Triplet als bekannt und die Mail wird beim n chsten Zustellversuch akzeptiert Das Greylisting nutzt die Tatsache dass die meisten Versender von Spam Mails Software verwenden die nach der Fire and Forget Metho de arbeiten Versuche die E Mail zuzustellen und wenn es nicht klappt vergiss es Das hei t dass die Versender solcher Spams nicht wie RFC konforme Mail Server versuchen die Mail bei einem Tempo 311 System benutzen amp beobachten rary Failure nochmals zu versenden Wenn der Zeitstempel lter als f nf Minuten ist wird die E Mail sofort verschickt und seine G ltigkeit wird mit der aktuellen Uhrzeit minus f nf Minuten aktualisiert Verify Recipient Mit dieser Funktion werden die Empf ngeradressen von ankommenden E Mails mit den Adressen auf Ihrem Backend Mail Server verglichen Damit dies funktioniert muss der Backend Mail Server E Mails an unbekannte Empf ngeradressen auf SMTP Ebene zur ckweisen Die allgemeing ltige Regel lautet Wenn der Backend Mail Server die Nachricht zur ckweist dann wird Sie auch von der Firewall zur ckgewiesen Verify Sender Mit dieser Funktion werden die Absenderadressen von ankommenden E Mails berpr ft Es wird gepr ft ob von der Absenderadresse tats chlich Nachrichten zugestellt werden k nnen
240. finieren neuer Netzwerke Networks wird im Handbuch in Kapitel 5 2 1 ab Seite 134 beschrieben Externe Netzwerkkarte konfigurieren ffnen Sie im Verzeichnis Network das Men Interfaces und konfigurieren Sie die Schnittstelle zum externen Netzwerk Inter net Die Wahl der Schnittstelle und die daf r notwendigen Ein stellungen auf der externen Netzwerkkarte h ngen von der Art des Internetzugangs ab Die Konfiguration der Netzwerkarten und virtuellen Schnittstellen Interfaces wird in Kapitel 5 3 2 ab Seite 154 beschrieben 35 Installation 10 11 12 36 Masquerading Regel f r das interne Netzwerk definieren Falls Sie in Ihrem Netzwerk private IP Adressen verwenden m chten und eine direkte Verbindung ohne Proxy ben tigen set zen Sie unter dem Verzeichnis Network im Men NAT die ent sprechenden Masquerading Regeln Weitere Informationen zu DNAT SNAT und Masquerading erhalten Sie im Kapitel 5 3 5 ab Seite 198 Die IP Routing Eintr ge f r an die Netzwerkkarten angeschlos sene Netzwerke Interface Routes werden automatisch er stellt Bei Bedarf k nnen Sie im Men Routing IP Routing Eintr ge auch manuell definieren Dies ist allerdings nur in kom plexeren Netzwerken notwendig DNS Proxy konfigurieren ffnen Sie im Verzeichnis Proxies das Men DNS und konfigu rieren Sie den DNS Proxy Durch die Konfiguration des DNS Proxy beschleunigen Sie die Namensaufl sung Sie k nnen einen lokalen Name
241. ftmals APIC und ACPI nicht unterst tzt werden empfehlen wir in diesem Fall den Classic Kernel zu installieren 2 Tastenfunktionen w hrend der Installation Schritt 1 Die Navigation im Installationsmen erfolgt ber die nachfolgen den Tasten Beachten Sie w hrend der Installation auch die zu s tzlichen Tastenfunktionen in der gr nen Fu leiste Cursor Tasten Navigation in den Texten z B in den Lizenzbe stimmungen und zur Auswahl des Keyboard Layouts Enter Taste Die Eingabe wird best tigt und zum n chsten Punkt fortgefahren ESC Taste Abbruch der Installation Tab Taste Wechseln zwischen den Text und Eingabefeldern sowie den Schaltfl chen Klicken Sie auf die Enter Taste Bei der Installation der Software werden alle bestehenden Daten Achtung auf dem PC gel scht Best tigen Sie die anschlie ende Sicherheitsabfrage durch einen Klick auf die F8 Taste 3 Keyboard Layout Schritt 2 W hlen Sie mit den Cursor Tasten das Keyboard Layout aus und best tigen Sie dies mit der Enter Taste 4 Hardware Erkennung Schritt 3 Die Software pr ft die folgenden Hardware Komponenten Pro zessor Fabrikat und Gr e der Festplatte CD ROM Laufwerk Netzwerkkarten sowie den IDE bzw SCSI Controller 26 Installation Falls die vorhandenen Hardware Ressourcen zur Installation der Software nicht ausreichen wird die Installation mit der ent sprechenden Fehlermeldung abgebrochen Datum und Uhrzeit
242. ftware Intrusion Protection T entries Rules 7 Group Hits Info au pr dns D Rules for DNS protocol BC Ir dns D H DNS EXPLOIT named overflow ADMROCKS ID 260 WC 39 dns Wf DNS EXPLOIT x86 Linux overflow attempt ID 262 ae De dns D H DNS zone transfer TCP ID 255 DCH 39 dns 0 p DNS EXPLOIT x86 Linux overflow attempt ID 264 DCH 39 dns D H DNS EXPLOIT named tsig overflow attempt ID 303 WC pr dns D H DNS named version attempt ID 257 DCH 39 dns D H DNS EXPLOIT named overflow ADM ID 259 au pr dns 0o B DNS SPOOF query response with TTL of 1 min and no authority ID Bo 39 dns op DNS EXPLOIT x86 Linux overflow attempt ADMv2 ID 265 227 System benutzen amp beobachten Die Funktionen im Unterverzeichnis von links nach rechts 0808 Durch einen Klick auf die Statusampel wird die IPS Regel ein und ausgeschaltet IeN Die IPS Regel kann als Alarmierungsregel Intrusion Detection oder als Blockierungsregel Intrusion Prevention eingstellt werden Durch einen Klick auf das Symbol wird die IPS Regel umgeschaltet Durch einen Klick auf das Ordner Symbol kehren Sie in die bersicht zur ck Group In dieser Spalte wird der Name der IPS Regelgruppe ange zeigt Hits In dieser Spalte wird angezeigt wie oft eine Regel aus dieser Gruppe aktiv wurde Info In der ersten Zeile erhalten Sie eine kurze Information zu die ser IPS Regelgruppe Zu den einzelnen IPS Regeln erha
243. g 2uan nannnunnnnanananann 174 PPTPoE PPPoA DSL Verbindung z z2u2n2n2n0n 179 PPP over Serial Modem Line ee ENNER Ek 185 Bridging uzuauanananununununununnnnnnunanananananannnnnnnn anne 191 Routing bk RRE RE RERE RE RE RE REENEN ENEE EE ERERER anne 194 Inhalt 5 3 5 5 3 5 1 5 3 5 2 5 3 5 3 5 3 6 5 3 7 5 3 8 5 3 9 5 4 5 4 1 5 4 2 5 4 3 5 4 4 5 4 5 5 5 5 5 1 5 5 2 5 5 3 5 6 5 6 1 5 6 1 1 5 6 2 5 6 2 1 5 6 2 2 5 6 3 5 6 3 1 5 6 4 5 6 5 5 6 6 5 6 7 Inhaltsverzeichnis Seite NAT Masquerading ununuasananananananannnnnnnnanananann 198 NAT Aa anal 198 Masquerading zuununununununnnnanananananannnunnnnan anna 202 Load Balancing unununununnnnanananananannnnnnnnanananann 204 DHCP Service ue NENNEN NEEN ENEE EN ENEE EN Ek 206 PPTP VPN Access EEN REER RR ER KREE KEEN RE nn an nn un nn nun 212 Accounting uuuuaranananananananunununununnnnnnananananananen 220 Ping Check uzuananunununenunununnnnunanananananunnnnnnanananann 221 Intrusion Protection ENEE ENEE EEN Ek 223 Settings ERR ER RE RERE RE RE RE RER RENE EN ENEE EEN ERER RER R EN 223 Rules a Ee EE 226 Portscan Detection ee NEEN ENEE EN ENNER Ek 230 DoS Flood Protection nusurnennunnnnenennunnnnennnnenen 234 Advanced unse 241 Paketfilter Packet Filter uuunununnnunnnunnnnnnnnnnnn 243 Rules na ea ini EEN 243 Lei TEE 256 Advanced TEE 260 Application Gateways
244. g DONE erscheint 66 System benutzen amp beobachten Die Datumsangabe Date wird aktualisiert wenn Sie im Verzeich nis System auf Up2Date Service klicken oder sobald Sie das n chste Mal dieses Men ffnen Bei der High Availability HA L sung wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert Pattern Up2Date automatisch 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable bei Update automatically ein 3 Definieren Sie im Auswahlfeld Interval den Zeitabstand nach dem das Internet Sicherheitssystem automatisch den spezifizier ten Up2Date Server anw hlt und diesen auf neue Pattern Up2Dates berpr ft Die m glichen Zeitintervalle sind Jede Stunde Hourly jeden Tag Daily einmal pro Woche Weekly N Sicherheitshinweis Stellen Sie das Intervall auf jede Stunde ein damit Ihr Virenscanner immer auf dem aktuellsten Stand ist Der automatische Pattern Up2Date ist jetzt aktiviert Das Internet Sicherheitssystem pr ft nun regelm ig auf dem Up2Date Server ob neue Pattern Up2Dates zur Verf gung stehen Sobald ein neues Pattern Up2Date installiert ist erh lt der Administrator eine E Mail in der die zuletzt installierten Virensignaturen aufgelistet sind Beim High Availability HA System wird der Virusscanner von System 2 automatisch mit dem von System 1 synchronisiert 67 System
245. gabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Quell IP Adressen erlaubt sind Destination flood packet rate packets second Tragen Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Se kunde ein die f r Ziel IP Adressen erlaubt sind Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten UDP Flood Protection UDP Flood Protection J Durch die Funktion UDP Status LS D s _ Mode EE Flood Protection wird die Logg Umars 3 Anzahl der UDP Pakete die Skip Source networks E keen Avalabie J in das lokale Netzwerk gesendet werden begrenzt Skip destination networks Selected Avallable P P A md f 3 Per Default ist die Funktion ausgeschaltet Statusampel Be z zeigt Rot Destination food packet rate E packets second Save UDP Flood Protection 1 ffnen Sie im Verzeichnis Intrusion Protection das Men DoS Flood Protection 2 Schalten Sie die Funktion durch einem Klick auf die Schaltfl che Enable bei Status ein Anschlie end ffnet sich ein erweitertes Eingabefenster 3 W hlen Sie im Drop down Men Mode den Modus aus Both source and destination addresses In diesem Modus werden UDP Pakete zur ckgewiesen die sowohl die Quell IP adresse als auch die Ziel IP Adresse behandeln zuerst werden die UDP Pakete f r die Quelladresse gefilter Wenn d
246. gangsdaten inklusive Passwort Die Daten erhalten Sie von Ihrem Provider 179 System benutzen amp beobachten Hinweis Die Installation und die n tigen Einstellungen am Internet Sicher heitssystem speziell f r den DSL Zugang mit AonSpeed Telekom Austria wird im Leitfaden Netzwerk mit AonSpeed erkl rt Nach dem die Schnittstelle geladen wurde ist das System 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach einem zeitun abh ngigen Tarif erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http www astaro com kb PPTP over Ethernet PPPoA DSL einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Inter face zu ffnen 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein 4 W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet e die Netzwerkkarte mit der Sys ID ethl aus Eine Netzwerkkarte auf der bereits die prim re Netzwerkkarten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden 180 System benutzen amp beobachten W hlen Sie im Drop down Men Type den Schnittstellen Typ PPTP over Ethernet PPPoA DSL connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung A
247. gement Remote Keys werden in einer separaten Tabelle angezeigt ASC Client Parameters In diesem Fenster k nnen Sie den Clients w hrend Chent DNS Servers Gert WINS Servers des Verbindungsaufbaus zus tzlich bestimmte sen Name DNS und WINS Server sowie eine Client Domain zuweisen 385 System benutzen amp beobachten 5 7 5 L2 2TP over IPSec L2TP over IPSec ist eine Kombination des Layer 2 Tunneling Protocol und des Standardprotokolls IPSec Mit L2TP over IPSec k nnen Sie mit der gleichen Funktionalit t wie PPTP einzelnen Hosts ber einen verschl sselten IPSec Tunnel den Zugang zu Ihrem Netz werk erm glichen L2TP over IPSec ist einfach einzurichten und ben tigt auf Microsoft Windows XP Clients keine zus tzliche Software F r die MS Windows Systeme 98 ME und NT Workstation 4 0 muss der Microsoft L2TP IPSec VPN Client aufgespielt werden Diesen Client finden Sie bei Microsoft unter http www microsoft com windows2000 server evaluation news bull etins I2tpclient asp L2TP over IPSec Settings Authentication In diesem cr S u Drop down Men stellen IP address assignment Ste P poo E Sie die Authentifizierungs methode ein Wenn Sie im Men System User Authentication einen RADIUS Server konfi guriert haben k nnen Sie hier auch RADIUS Authentifizierung ein setzen Die Konfiguration des Microsoft IAS RADIUS Servers und die Einstel lungen im WebAdmin w
248. genutzt wird macht es keinen Sinn seine Traffic Daten in die Abrechnung einzubeziehen Im Men Reporting Accounting k nnen Sie nach entsprechender Definition das Accounting beobachten 220 System benutzen amp beobachten F hren Sie das Accounting nicht auf Gigabit Netzwerkkarten aus Durch die hohen Datenmengen kann diese Funktion sonst zu einer Auslastung des Prozessors CPU f hren Wichtiger Hinweis Traffic Accounting einstellen 1 ffnen Sie im Verzeichnis Network das Men Accounting 2 Schalten Sie die Funktion durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet 3 W hlen Sie in der Auswahltabelle Interfaces die Netzwerkkarten aus Die Funktionsweise der Auswahltabelle wird in Kapitel 4 3 3 ab Seite 42 beschrieben 4 W hlen Sie im Auswahlfeld Ignored Networks die Netzwerke aus die vom Traffic Accounting nicht ber cksichtigt werden sollen Die Einstellungen im Men Traffic Accounting werden sofort ber nommen 5 3 9 Ping Check Mit der Aktion Ping k nnen Sie die Verbindung zu einem Hostname Ip Address 8 entfernten Host auf IP Ebene testen F r die Aktion muss im Men Packet Filter ICMP die Funktion ICMP on Firewall aktiviert sein Das Programm Ping verschickt an einen anderen Rechner ein ICMP Echo Paket Wenn der Rechner das ICMP Echo 221 System benutzen amp beobachten Paket erh lt
249. gezeigt werden Port W hrend auf IP Ebene nur die Absender und Zieladressen zur bertragung verwendet werden m ssen f r TCP und UDP weitere Merkmale eingef hrt werden die eine Unterscheidung der einzelnen Verbindungen zwischen zwei Rechnern erlauben Dies sind die Port nummern Eine Verbindung auf TCP und UDP Ebene ist damit durch die Absenderadresse und den Absenderport sowie die Zieladresse und den Zielport eindeutig identifiziert 471 Glossar Protokoll Ein Protokoll ist ein klar definierter und standardisierter Satz von Regeln mit deren Hilfe ein Client und ein Server miteinander kom munizieren k nnen Bekannte Protokolle und die damit betriebenen Dienste sind z B HTTP WWW FTP FTP und NTP News Proxy Application Gateway Die Aufgabe eines Proxy Application Gateways ist die vollst ndige Trennung von Kommunikationsverbindungen zwischen dem externen Netzwerk Internet und dem internen Netzwerk LAN Zwischen einem internen System und einem externem Rechner kann keine direkte Verbindung existieren Die Proxies arbeiten vollst ndig auf der Applikationsebene Firewalls die auf Proxies basieren benutzen ein Dual Homed Gateway das keine IP Pakete weiterleitet Die Proxies die auf dem Gateway als spezialisierte Programme ablaufen k nnen nun Verbindungen f r ein spezielles Protokoll entgegennehmen die bertragenen Daten auf Applikationsebene verarbeiten und anschlie end weiterleiten RADIUS RADIU
250. glicht dem IPSec VPN Tunnel folgende Sicherheitsfunk tionen e Geheimhaltung durch Verschl sselung e Datenintegrit t durch Datenauthentifizierung e Senderauthentifizierung durch PSK RSA oder X 509 Zertifikate Die Sicherheitsfunktionen k nnen beliebig kombiniert werden und richten sich nach den aktuellen Anforderungen Die meisten Netz werksicherheits Designer verwenden die Verschl sselung und die Authentifizierung Es gibt mehrere Szenarien IPSec VPN zu nutzen 356 System benutzen amp beobachten 1 NET to NET Verbindung B ro New York B ro Berlin E _ LAN Internet en IM Firewall wm verschl sselt unverschl sselt Ein Netzwerk kommuniziert mit einem anderen Netzwerk Zwei Unternehmens Netzwerke von rtlich getrennten Niederlas sungen k nnen VPN nutzen um miteinander zu kommunizieren als w ren sie ein Netzwerk Diese Art der Verbindung k nnte man auch nutzen um vertrauens w rdigen Firmen Zulieferer Berater gesicherten Zugriff auf interne Informationen zu erm glichen 357 System benutzen amp beobachten 2 HOST to NET Verbindung Host B ro Berlin Internet LAN TE Genf mm mmm nm m KEES M Laptop Au endienst mitarbeiter Firewall wm verschl sselt unverschl sselt e e e Ein Computer kommuniziert mit einem Netzwerk Au endienstmitarbeiter oder Heimarbeiter k nnen VPN benutzen um sicher mit d
251. guration Manager Pass wort nachtr glich setzen Mit Halt System wird das Internet Sicher heitssystem zus tzlich heruntergefahren Nach dem Neustart wird dann zuerst das Fenster Setting System Passwords angezeigt Mit Factory Reset wird das Sicherheitssystem in den urspr nglichen Zustand nach der Installation zur ckgesetzt d h alle Daten die nach der Installation auf dem System erzeugt oder eingegeben wurden werden gel scht Dies betrifft insbesondere die gesamte Konfigura tion den HTTP Proxy Cache die E Mail Queues die Accounting und Reporting Daten alle Passw rter und alle noch nicht instal lierten Up2Dates Der Versionsstand des Internet Sicherheitssystems bleibt erhalten alle installierten System Up2Dates und Pattern Up2Dates werden nicht ver ndert Hinweis Bei einem High Availability HA System muss der Factory Reset e bei beiden Sicherheitssystemen Normal und Hot Standby Modus separat durchgef hrt werden 54 System benutzen amp beobachten Zusammensetzung der Passw rter Um die Sicherheit f r das Sicherheitssystem und somit auch f r das interne Netzwerk zu erh hen unterliegt die Zusammensetzung und die L nge des Passworts den nachfolgend aufgef hrten Restriktionen Das Passwort wird vom Sicherheitssystem nur bernommen wenn diese Bestimmungen erf llt sind eine Mindestl nge von acht Zeichen mindestens ein kleingeschriebener Buchstabe mindestens ein gro geschriebener Buchstabe minde
252. h Priority wird erst rele vant wenn eine dritte Datenverbindung aufgebaut wird Alle Verbin dungen mit einer niedrigeren Priorit t Allow oder Allow low priority werden nachrangig behandelt 253 System benutzen amp beobachten Weitere Funtionen und Einstellungen Broadcast auf das gesamte Internet Um Pakete mit der Zieladresse Broadcast IP zu droppen m ssen Sie zuerst im Men Definitions Networks die entsprechende Broad cast Adresse in Form eines neuen Netzwerks definieren Anschlie end m ssen Sie die Paketfilterregel setzen und aktivieren 1 254 ffnen Sie im Verzeichnis Definitions das Men Networks und definieren Sie das folgende Netzwerk Name Broadcast32 Type Host IP Address 255 255 255 255 Comment optional Tragen Sie einen Kommentar ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition ffnen Sie nun im Verzeichnis Packet Filter das Men Rules und setzen Sie die folgende Paketfilterregel Source Any Service Any Destination Broadcast32 Action Drop Comment optional Tragen Sie einen Kommentar ein Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition System benutzen amp beobachten Broadcast auf ein Netzwerksegment F r jede im Men Interfaces konfigurierte Schnittstelle wird automa tisch das Netzwerk NAME Broadcast definiert Weitere Informationen hierzu erhalten Sie in Kapitel 5 3 2 ab Se
253. h wieder in bergeordnete Gruppen zusammengefasst werden Au erdem definieren Sie in diesem Verzeichnis die lokalen Benutzer f r die Proxydienste 5 2 1 Networks Network Definitions Sep SS Es Im Men Networks werden die Hosts und Netzwerke sowie die Netzwerkgruppen definiert Any g 00000 Internal Address w interna up 192 160 5 217 Address ra ER IT ea me Die definierten Netzwerke Internal Network A teg vm 192 168 5 0 24 Network on geen Internal und Gruppen werden in der Netzwerktabelle aufgelistet Per Default befinden sich in der Tabelle neben den Definitionen f r die interne Netzwerkkarte ethO weitere statisch eingetragene Netzwerke Diese statischen Netzwerke k nnen von Ihnen nicht editiert oder gel scht werden Die Host und Netz werke lassen sich zu Gruppen zusammenfassen Diese Gruppen wer den behandelt wie einzelne Hosts und Netzwerke und k nnen wieder Teil einer bergeordneten Gruppe sein Auf den folgenden Seiten wird erl utert welche Netzwerktypen zur Verf gung stehen und wie sie definiert werden 134 System benutzen amp beobachten Die Netzwerktypen werden durch Symbole angezeigt Die Symbole Icon Spalte Anzeige Einstellung 4 Netzwerktyp Netzwerkkarte Netzwerktyp Host Server A y Netzwerktyp Netzwerk E Netzwerktyp Netzwerkgruppe H Netzwerktyp DNS Server H Netzwerktyp DNS Server Multiple RRs P Netzwerktyp IPSec Benutzergruppe Host hinzuf gen 1 2 ffnen Sie im
254. haltfl che Enable eingeschaltet Statusampel zeigt Gr n Spam Sender Whitelist Expression Filter Spam Protection Dieses Modul berpr ft die eingehenden E Mails heuristisch auf bestimmte Eigenschaften die Hinweise auf Spam ge ben Hierzu dienen interne Musterdatenbanken Auf diese Weise ist man unabh ngig von den Absenderinformationen und kann somit die Genauigkeit stark erh hen Wenn Sie eine Upstream Firewall einsetzen m ssen Sie dort den Datenverkehr vom Sicherheitssystem zum Internet durch den nach folgend aufgef hrten Port erlauben Er wird f r die Kommunikation mit der Spam Protection Datenbank ben tigt UDP Port 53 DNS Wichtiger Hinweis F r den Spam Score k nnen zwei Grenzwerte Thresholds defi niert werden Auf diese Weise k nnen mutma liche SPAM E Mails von der Firewall unterschiedlich behandelt werden 332 System benutzen amp beobachten Default Einstellungen Grenzwerte Thresholds Pass when Score exceeds 03 aggressive Quarantine when Score exceeds 05 reasonable Der erste Grenzwert hat zur Folge dass E Mails ab Stufe 3 gefiltert aber durchgelassen werden Mit Hilfe des hinzugef gten Headers kann die E Mail auf dem Mail Server oder im E Mail Programm des Emp f ngers sortiert oder gefiltert werden Beim zweiten Grenzwert wird die E Mail angenommen kommt aber in Quarant ne Grunds tzliche gilt dass der Grenzwert Threshold mit der h he ren Stufe eine str
255. heitssystem die entsprechenden Rout ing Eintr ge selbst ein Weitere Eintr ge m ssen manuell vorge nommen werden Dies ist z B der Fall wenn im lokalen Netzwerk ein weiterer Router existiert ber den ein bestimmtes Netzwerk erreicht werden soll Routen f r Netzwerke die nicht direkt angeschlossen sind aber ber einen Befehl oder eine Konfigurationsdatei in die Routing Tabelle ein getragen werden bezeichnet man als statische Routen In diesem Men k nnen Sie festlegen welches Netzwerk zu welcher Netzwerkkarte oder zu welcher externen IP Adresse geroutet wird Statische Routes definieren 1 ffnen Sie im Verzeichnis Network das Men Routing 2 Klicken Sie auf die Schaltfl che New static route Ein erweitertes Eingabemen wird ge ffnet 3 W hlen Sie im Drop down Men Destination das Netzwerk aus Im Drop down Men Destination sind alle statischen sowie die in den Men s Networks und Interfaces neu definierten Netz werke enthalten 194 System benutzen amp beobachten 4 W hlen Sie im Drop down Men Target das Ziel aus Namen in zwei spitzen Klammern kennzeichnen Netzwerkkarten Interfaces Bei Namen ohne Klammern handelt es sich um einen Host oder um einen Router 5 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add static route Nach erfolgreicher Definition wird die neue Static Route immer deaktiviert in die Static Route Tabelle eingetragen Statusampel zeigt Rot
256. ht ge ndert werden WebAdmin User Zugang zum WebAdmin Der Benutzername lautet admin Shell Login User Zugang via SSH Der Benutzername lautet loginuser Shell Administrator User Administratorrechte f r das ge samte Internet Sicherheitssystem Der Benutzername lautet root N Sicherheitshinweis Setzen Sie f r Shell Login und Shell Administrator un terschiedliche Passw rter Astaro Configuration Manager User optional Dieses Pass wort ben tigen Sie falls das Internet Sicherheitssystem mit dem Astaro Configuration Manager konfiguriert werden soll Installation Boot Manager optional Dieses Passwort verhindert dass Unbefugte nderungen in den Bootparametern vornehmen k n nen Best tigen Sie die gesetzten Passw rter durch einen Klick auf die Schaltfl che Save 4 Im Konfigurationstool WebAdmin authentifizieren User admin Password Passwort des WebAdmin Benutzers Beachten Sie bitte die Gro und Kleinschreibung Klicken Sie auf die Schaltfl che Login Hinweis Gehen Sie die Schritte 5 bis 16 in der angegebenen Reihenfolge e durch 5 License Key einspielen ffnen Sie im Verzeichnis System das Men Licensing und spielen Sie im Fenster License File die Lizenzdatei License Key ein Hinweis Bei einer Lizenz mit der Option High Availability HA m ssen Sie den License Key auf beiden Sicherheitssystemen Normal und Hot Standby Modus einspielen Weitere Informationen zur Lizenzierung erha
257. iche Werte sind 1024 65535 wobei bestimmte Ports f r andere Dienste reserviert sind Um den WebAdmin nach einer nderung anzusprechen m ssen Sie den Port mit einem Doppelpunkt getrennt an die Sicherheitssystem IP Adresse anh ngen z B https 192 168 0 1 1443 116 System benutzen amp beobachten Access and Authentication Allowed Networks Authentication Methods Alowed Users Log Access Network Traffic Je Enable d Allowed Networks Im Auswahlfeld werden die Netzwerke hinzugef gt von denen aus auf WebAdmin zugegriffen werden darf Wie auch bei SSH ist hier f r eine reibungslose In stallation Any eingetragen In diesem Fall darf falls das Passwort zur Verf gung steht von berall auf WebAdmin zugegriffen werden Sobald Sie einschr nken k nnen von wo aus das Internet Sicher heitssystem administriert werden soll z B Ihre IP Adresse im loka len Netzwerk Allowed Networks durch ein kleineres Netzwerk Sicherheitshinweis ersetzen Sie den Eintrag Any im Auswahlfeld Am sichersten ist es wenn nur ein Administrations PC per HTTPS auf das Internet Sicherheitssystem Zugriff hat Netzwerke definieren Sie im Men Definitions Networks Authentication Methods Mit dem Auswahlfeld bestimmen Sie die Methode zur Authentifizierung Damit Sie nach der Installation ber das Konfigurationstool WebAdmin Zugriff auf das Internet Sicher heitssystem haben wurde hier ber
258. ick auf die Schalt fl chen oder Y wird der jeweilige Eintrag um eine Zeile nach vorne bzw nach hinten verschoben Durch einen Klick auf die Schaltfl che oder wird der jeweilige Ein trag in die erste bzw in die letzte Zeile der Tabelle verschoben Authentifizierungsmethode oder Netzwerkkarte zuordnen W hlen Sie die Authentifizierungsmethode bzw die Netzwerkkarte durch einen Klick auf das Kontrollk stchen aus Anschlie end wird die neue Einstellung aktiviert und in die letzte Zeile der bereits ausgew hlten Eintr ge verschoben 42 WebAdmin Werkzeuge Authentifizierungsmethode oder Netzwerkkarte ausschalten Der Eintrag wird ausgeschaltet indem Sie in der entsprechenden Zeile auf das aktivierte Kontrollk stchen klicken Der Eintrag wird sofort deaktiviert Die Funktionen in dieser Zeile stehen dann nicht mehr zur Verf gung 4 3 4 Das Drop down Men Das Drop down Men wird bei Europe Berlin Europe Bariin Funktionen verwendet f r die im aii mer nur ein bestimmter Wert ein Brussels Bucharest gestellt werden kann Budapest Chisinau Bei den Drop down Men s wer Copenhagen S S p Dublin den die ausgew hlten Werte in Gibralt Helsinki der Regel sofort vom System Istanbul bernommen Das Hierarchiefeld kommt bei Funktionen zum Einsatz bei de nen mehrere E Mail oder IP A en dressen zugewiesen werden k n mustermann ageney comn 1 een zer nen Im Hierarchiefel
259. ie Achtung eine Netzwerkkarte mit tag f higem Treiber Die Hardware Compatibility List HCL befindet sich auf http www astaro com kb Mit Hilfe des Suchbegriffs HCL ge langen Sie schnell auf die entsprechende Seite Virtual LAN einrichten 1 2 170 ffnen Sie im Verzeichnis Network das Men Interfaces Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein W hlen Sie im Drop down Men Hardware eine Netzwerkkarte aus W hlen Sie im Drop down Men Type den Schnittstellen Typ VLAN Ethernet Interface aus F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ VLAN Ethernet Interface durch Address Weisen Sie der virtuellen Schnittstelle eine IP Adresse zu Falls Sie eine statische IP Adresse eintragen m chten w h len Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Netmask Falls Sie eine statische Netzwerkmaske eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netz System benutzen amp beobachten werkmaske durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem stati
260. ie er Ber durchgef hrt werden IKE Debug Selected Available Flags uie Con Al 5 d Dead Peer Detection Diese Funktion ermittelt automatisch ob der VPN Gateway oder der Client auf der gegen berliegenden Seite noch erreichbar ist Bei Verbindungen mit statischen Endpunkten wird der Tunnel nach einem Ausfall automatisch neu ausgehandelt F r Ver bindungen mit dynamischen Endpunkten wird f r eine neue Aus handlung des Tunnels die Gegenstelle ben tigt In der Regel ist diese Funktion betriebssicher und kann immer eingeschaltet bleiben unab h ngig davon ob die Gegenstelle Dead Peer Detection unterst tzt Die Funktion wird automatisch ausgehandelt NAT Traversal Wenn diese Funktion eingeschaltet ist k nnen Hosts einen IPSec Tunnel durch NAT Ger te aufbauen Diese Funktion ver sucht zu ermitteln ob zwischen Server und Client NAT Ger te ver wendet werden Wenn NAT Ger te entdeckt werden verwendet das System zur Kommunikation mit dem externen Host UDP Pakete Dies funktioniert allerdings nur wenn beide IPSec Endpunkte NAT Traversal unterst tzen und auf dem Road Warrior Endpunkt eine vir tuelle IP Adresse eingestellt ist Zus tzlich muss auf dem NAT Ger t der IPSec Passthrough ausge schaltet sein da dies NAT Traversal unterbrechen kann 394 System benutzen amp beobachten F r die Funktion Virtual IP k nnen keine lokalen IP Adressen ver wendet werden da das Internet Sicherheitssystem keine AR
261. ie Basis f r Verbindungen die zwischen Mobilfunkteilnehmern ber ein IP Netzwerk hergestellt werden Dies erm glicht kosteng nstige Kom munikationsformen wie Push to Talk over Cellular SIP ist in den RFCs 3261 3265 definiert SOCKS SOCKS ist ein Proxyprotokoll das dem Anwender erlaubt eine Punkt zu Punkt Verbindung zwischen einem internem und einem externem Rechner ber das Internet zu erstellen SOCKS oft auch Firewall Transversal Protocol genannt existiert derzeit in der Version 5 und klinkt sich auf Clientseite in die SOCKS Aufrufe der Programme ein 473 Glossar Subnet Mask Die Subnet Mask oder Netzwerkmaske gibt an in welche Gruppen die IP Adressen eingeteilt sind Aufgrund dieser Einteilung werden ein zelne Rechner einem Netzwerk zugeordnet UNC Pfad Mit Hilfe eines TUniversal Naming Convention Pfadnamen UNC Pfad z B Servername Freigabename kann man manuell eine Verkn pfung zu einem Netzlaufwerk erstellen Voice over IP Voice over IP VolP ist der Sammelbegriff f r Sprachvermittlung ber IP Netzwerke Neben der Sprachvermittlung sind auch Video und interaktive Multimedia Dienste m glich Um derartige Systeme reali sieren zu k nnen setzt man Gatekeeper ein deren Funktionen in einer Reihe von Standards definiert sind Relevant sind vor allem die Standards H 323 und H 225 das RAS Protokoll und das H 225 Handshake Verfahren Verfahren RTP und RTCP 474 Index Reese 410 Accounting Einle
262. ie Spam Protection Funk tionen f r dieses Profil ein Die Funktionen werden im Abschnitt Die Profiles and Domain Group Assignment Tabelle beschrieben Das Domain Profile ist nun einer Domaingruppe zugewiesen und ediert Die Einstellungen werden sofort ohne einer weiteren Best tigung wirksam 313 System benutzen amp beobachten Feature Settings an 3 Im Fenster Feature Set tings befinden sich die Zusatzeinstellungen f r die Spam Protection Funktionen in der Tabelle Profiles and Domain Group Assignment Greylist skip reapkents RBL Zones Tragen Sie in diese Kontrollliste die Internetadressen der Datenbanken f r die Funktion Use RBL ein Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben BATV Secret Der automatisch generierte Security Key kann auch manuell definiert werden Wenn Sie mehrere Firewalls als MX ein setzen muss auf allen Systemen der gleiche Security Key eingetragen werden BATV skip Recipients In diese Kontrollliste k nnen Sie Empf nger eintragen an die unsignierte Nachrichten abgeschickt werden sollen Dies ist z B notwendig wenn Nachrichten ber einen Verteiler zuge stellt werden f r den die Umschlagsabsenderadresse ben tigt wird Der Nachteil ist dass Ihnen von den Adressen in der Kontrollliste keine Bounce Nachrichten zugestellt werden BATV skip Senders In diese Kontrollliste k
263. ie einen neuen RSA Key indem Sie im Drop down Men RSA Key length die Schl sselst rke ausw hlen Die Schl ssell nge Key Length muss auf beiden Sicher heitssystem identisch eingestellt werden Die Generierung der RSA Keys kann je nach gew hlter Schl ssell nge und der zur Verf gung stehenden Hardware bis zu mehreren Minuten dauern Wichtiger Hinweis 3 Starten Sie die Generierung des Schl ssel Key Paars durch einen Klick auf die Schaltfl che Save Im Fenster Local Public RSA Key wird anschlie end der aktive Public Key angezeigt Der Public Key aus diesem Fenster wird mit der jeweiligen Gegenstelle z B per E Mail ausgetauscht 380 System benutzen amp beobachten Der Public Key von der Gegenstelle wird sp ter im Men Remote Keys in das Fenster Public Key eingegeben Das Men Remote Keys wird in Kapitel 5 7 4 ab Seite 382 beschrieben PSK Authentication F r die Authentifizierung mit Preshared Keys PSK werden in diesem Men keine Einstellungen f r den local IPSec Key ben tigt W hrend des Schl sselaustauschs Key Exchange wird passend zum verwendeten IKE Main Mode nur IPv4 Address als IPSec Identi fier unterst tzt Die IPSec Identifier werden im IKE Main Mode auto matisch durch PSK verschl sselt die Authentifizierung mit PSK kann daher nicht verwendet werden Die IP Adressen der IKE Ver bindung werden automatisch als IPSec Identifier verwendet Den PSK Key generieren Sie im Men IPSec VP
264. ier den Benutzernamen ein den Sie von Ihrem Provider erhalten haben Password Tragen sie hier das Passwort ein das Sie von Ihrem Provider erhalten haben Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assigned by remote oder Static ausgew hlt wurde Bei einer Schnittstelle zum Internet k nnen Sie mit Hilfe eines zweiten Internetzugangs und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung einrichten Beachten Sie dabei dass das Internet Sicherheitssystem nur eine DSL Verbindung unterst tzt Eine Ausfallsicherung f r den Internetzugang kann z B aus einer Standleitung und einem DSL Zugang bestehen Bei einem Ausfall der prim ren Verbindung erfolgt dann automa tisch der Uplink ber den zweiten Internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetzwerkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erfolgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte Wichtiger Hinweis F r die Funktion Uplink Failover o
265. ieren In dieser Installationsanweisung werden die erforderlichen Einstel lungen beschrieben wenn das High Availability System an ein in ternes Netzwerk angeschlossen wird F r dieses Szenarium ben tigen Sie auf beiden Sicherheitssystem drei Netzwerkkarten Eine zum in ternen Netzwerk eth0 eine zum Internet ethl und eine f r die Datentransfer Leitung eth2 zwischen den beiden Sicherheitssys temen F r jedes weitere interne Netzwerk z B ein DMZ wird ein weiteres Switch ben tigt Vorbereitung 1 124 Software auf beiden Rechnern installieren Installieren Sie die Software auf den beiden Rechnern Die Installation der Software wird in Kapitel 3 2 1 ab Seite 25 beschrieben Konfigurationstool WebAdmin starten und System Pass w rter setzen Setzen Sie auf beiden Sicherheitssystem alle erforderlichen Pass w rter Falls das High Availability System sp ter mit dem Astaro Configuration Manager konfiguriert und verwaltet wird m ssen Sie auch das Passwort Astaro Configuration Manager user wwwrun setzen Hardware miteinander verbinden Um die Hardware Komponenten System 1 und 2 Switches etc wie auf der Grafik dargestellt miteinander zu verbinden m ssen Sie wissen welcher Netzwerkkarte welche Sys ID auf dem je weiligen Sicherheitssystem zugewiesen wurde Die Schnittstellen m ssen auf beiden Sicherheitssystemen iden tisch konfiguriert werden Netzwerkkarten mit der gleichen Sys ID m ssen an dasselbe Ne
266. ies HTTP SMTP und POP3 die ausgewerteten Daten und Ereignisse des Content Filter in Form von Tabellen und Diagrammen angezeigt Das Modul Spam Protection und der Spam Score werden im Kapitel 5 6 2 2 ab Seite 320 erkl rt Informationen zu den Proxies SMTP und POP3 e Summe der bearbeiteten Nachrichten e Die durchschnittliche Gr e der Nachrichten in Kilobytes e Die durchschnittliche H he des Spam Score Informationen zum Proxy HTTP e Summe der angefragten HTTP Seiten e Summe der durch Surf Protection geblockten HTTP Seiten e Summe der durch Virus Protection for Web geblockten HTTP Seiten e Summe der durch Spyware Protection geblockten HTTP Seiten 5 8 7 PPTP PSec VPN In diesem Men werden die PPTP und die IPSec VPN Verbindungen grafisch dargestellt 5 8 8 Intrusion Protection In desem Men werden die Intrusion Protection Vorf lle grafisch dargestellt 5 8 9 DNS In diesem Men wird die DNS Query Statistik dargestellt 402 System benutzen amp beobachten 5 8 10 SIP In diesem Men wird der Zugriff auf den SIP Proxy protokolliert Jede Zeile enth lt vier Spalten indenen die Summe der Ereignisse am heutigen Tag am gestrigen Tag an den letzten sieben Tagen und an den letzten 30 Tagen anzeigt werden Die folgenden drei Ereignisse werden angezeigt e Incoming Call Requests Die Summe der eingegangenen Anfragen e Outgoing Call Requests Die Summe der ausgegangenen Anfragen e Successful Calls Die Gesamt
267. iese anschlie end mit der neuen IP Adresse Diese Netzwerk Definition kann in allen Konfigurationen verwendet werden Sie ist besonders f r IPSec VPN Endpunkte und SMTP Route Targets n tzlich Der Typ DNS Hostname multiple records sollte universell f r alle anderen Adressaufl sungen verwendet werden wenn nicht feststeht dass von diesem DNS nur eine IP Adresse abgebildet wird 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r den DNS Server ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men DNS Hostname aus 137 System benutzen amp beobachten Hostname Tragen Sie in das Eingabefeld den Hostnamen ein Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r den DNS Server hinzuf gen 4 Speichern Sie den Host durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird der neue DNS Server in die Netz werktabelle eingetragen Sie finden diesen Host jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder Netzwerkgruppe definieren 1 ffnen
268. iete SC em Si Sg Gel ul ren Sie die Parameter f r Ss EsP 208 PS A b Zeg S mz 1 die IPSec Verbindung und rg ZS ez SS il generieren daraus eine AUS_PFS_COMP use 05120 PFS deflate esn jete BLOWFISH ESP 30E5S none esit MS_DEFAULT esp es none er ant use nuu none edit delete Novell Border Manager ESP 3085 EES eise z t L etete Policy Die Policy wird f r die Erstellung einer IPSec Verbindung ben tigt und beinhaltet die Konfiguration der Key Exchange Methode IKE und die der IPSec Verbindung Der Key Exchange steht f r die Art des Schl sselaustausches der IPSec Verbindung Die g ngigen Varianten sind e Manual Key Exchange e Internet Key Exchange IKE Das IPSec VPN dieses Internet Sicherheitssystems unterst tzt IKE als Key Exchange Methode Die Manual Key Exchange Methode ist nicht m glich IPSec Policy konfigurieren 1 ffnen Sie im Verzeichnis IPSec VPN das Men Policies 2 Klicken Sie auf die Schaltfl che New um das Men New IPSec Policy zu ffnen 3 Tragen Sie im Eingabefeld Name einen Namen f r die neue IPSec Policy ein Name Definieren Sie einen Namen der diese Policy eindeutig beschreibt z B den verwendeten Verschl sselungs Algorith mus Sie k nnen den Namen auch im letzten Schritt vor dem Er zeugen der Policy definieren Key Exchange Als Schl sselaustauschs Methode wird nur IKE unterst tzt 374 System benutzen amp beobachten 4 Definieren Sie im Fenster I
269. ifikat unterschreibt die CA dass sie sich von der Echtheit einer Person berzeugt hat und dass der vorliegende ffent liche Schl ssel zu der Person geh rt Da das Zertifikat Werte wie den Namen des Besitzers die G ltigkeitsdauer die ausstellende Beh rde und einen Stempel mit einer Unterschrift der Beh rde enth lt kann es auch als digitaler Pass betrachtet werden 119 System benutzen amp beobachten E Mail Address Den HAGER stalliert wird und zum an Mit Hilfe dieses Men s er zeugen Sie zwei Zertifikate Zum einen das CA Zerti fikat welches im Zertifikat speicher Ihres Browsers in deren ein Server Zertifikat das wiederum das Internet Sicherheitssystem ben tigt um sich bei Ihrem Browser zu authentifizieren Diese zwei Zertifikate pr fen die Firmendaten und den Sicherheitssystem Hostnamen Zertifikat f r WebAdmin erstellen 1 120 ffnen Sie im Verzeichnis System das Men WebAdmin Site Certificate Tragen Sie im Fenster Certificate Information die entspre chenden Firmendaten in das Drop down Men und die Eingabe felder ein Country W hlen Sie in diesem Drop down Men das Land aus State Tragen Sie das Bundesland ein City Tragen Sie die Stadt ein Organization Tragen Sie den Firmennamen ein Section Tragen Sie die Abteilung ein E Mail Address Tragen Sie die E Mail Adresse ein ber die Sie eventuell kontaktiert werden m chten Tragen Sie in das Eingab
270. ilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Network aus Address Netmask Tragen Sie in das Eingabefeld die IP Adres se ein und w hlen Sie im Drop down Men die Netzwerkmaske aus Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r das Netzwerk hinzuf gen 4 Speichern Sie das Netzwerk durch einen Klick auf die Schalt fl che Add Definition WebAdmin pr ft nun Ihre Eingaben auf semantische G ltigkeit Nach erfolgreicher Definition wird das neue Netzwerk in die Netz werktabelle eingetragen Sie finden dieses Netzwerk jetzt unter 136 System benutzen amp beobachten seinem Namen auch in verschiedenen anderen Men s wieder F r dieses Netzwerk k nnen Sie z B unter Proxies HTTP den Zugriff auf den HTTP Proxy freischalten DNS Server hinzuf gen Domain Name System DNS ist eine verteilte Datenbank die den Namensraum im Internet verwaltet Mit DNS kann entweder der Namen in eine IP Adresse Forward Lookup oder im umgekehrten Fall die Adresse in einen Namen Reverse Lookup umgesetzt wer den Bei diesem Sicherheitssystem wird die erste Variante eingesetzt Der Typ DNS Hostname sollte ausschlie lich in Verbindung mit DynDNS Endpunkten verwendet werden Das Sicherheitssystem l st die Definition gem dem Time to live Wert TTL auf und aktualisiert d
271. in das Eingabefeld die Adresse ein Mit einem Klick auf die Schaltfl che Save werden die nde rungen gespeichert Um den Vorgang abzubrechen klicken Sie auf die Schaltfl che Cancel Weitere Informationen zu PPTP VPN Access finden Sie im Kapitel 5 3 7 ab Seite 212 Filters Local User Definitions eps pa ra Mit der Funktion Filters k n SEER nen Sie aus der Tabelle loka le Benutzer local Users mit bestimmten Attributen he rausfiltern Diese Funktion erleichtert das Managen von gro en Netz werkkonfigurationen erheblich da Benutzer eines bestimmten Typs bersichtlich dargestellt werden k nnen 3 admin HEP GNEP SOCHS Webadmin tERHPSee PEFP from pool nono Lokale Benutzer filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden 148 System benutzen amp beobachten Username Falls Sie Benutzer nach Benutzernamen filtern m chten tragen Sie den Begriff in das Eingabemen ein Comment Falls Sie Benutzer mit bestimmten Kommentaren fil tern m chten tragen Sie die Begriffe in das Eingabemen ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Benutzer in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige
272. ing Tabellen und leiten die folgen den Pakete zum gleichen Ziel auf der vermeintlich besseren Route weiter Mit dieser Funktion werden die ICMP Redirects protokolliert Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n 257 System benutzen amp beobachten Hinweis Falls die Firewall im ICSA Labs Compliant Mode arbeitet schalten Sie diese Funktion nicht aus Weitere Informationen zum Common Criteria Mode erhalten Sie in Kapitel 5 1 12 auf Seite 129 Traceroute Settings Traceroute ist ein Werk EEE zeug um Fehler beim Rout Traceroute rom kengt us ing in Netzwerken zu finden Mit diesem Tool kann der Weg zu einer IP Adresse aufgel st werden Traceroute listet die IP Adressen der Router auf ber die das versendete Paket transportiert wurde Sollte der Pfad der Datenpakete kurzfristig nicht nachweisbar sein wird die Unterbrechung durch Sterne angezeigt Nach einer bestimmten Menge an Unterbrechungen wird der Versuch abgebro chen Die Verbindungsunterbrechung kann viele Gr nde haben z B auch dass ein Paketfilter im Netzwerkpfad kein Traceroute erlaubt Firewall is Traceroute visible In diesem Fenster werden die erweiterten Einstellungen speziell f r ICMP Traceroute vorgenommen Zus tzlich werden die UDP Ports f r UNIX Traceroute Anwendungen ge ffnet Firewall is Traceroute visible Die Firewall antwortet auf Trace route Pakete Mit einem Klick auf
273. ingaben zu speichern klicken Sie auf die Schaltfl che OK Der HTTP Proxy setzt das HTTP Protokoll im Allgemeinen TCP IP Port 80 zur bertragung von Webseiten um Hierbei sollte beachtet werden dass Teile eines Webservers z B Bilder aus einer Daten bank nicht ber Port 80 abgefragt werden sondern ber einen ande ren TCP Port Falls Ihre Firewall im Transparent Modus arbeitet werden diese Anfragen nicht erfasst Damit diese Anfragen von der 270 System benutzen amp beobachten Firewall unterst tzt werden muss entweder ein anderer Modus einge stellt werden oder die Anfragen m ssen durch eine entsprechende Regel im Men Packet Filter Rules behandelt werden Beispiel Source ein lokales Netzwerk Service Dienst mit Zieladresse Im Men Definitions Ser vices m ssen Sie zuvor diesen Dienst definieren Destination IP Adresse des Webservers oder Any Action Allow HTTPS Anfragen TCP IP Port 443 werden unbearbeitet durch den Proxy weitergeleitet Hinweis Um den Proxy im Modus Standard verwenden zu k nnen muss der Browser entsprechend konfiguriert werden TCP IP Adresse der Firewall und der im Men Proxies HTTP eingestellte TCP Port Des Weiteren muss f r den Proxydienst HTTP ein g ltiger Name server DNS aktiviert sein Ohne konfigurierten Browser kann der Proxy nur im Modus Transparent betrieben werden Global Settings Die Betriebsmodi Operation Modes Standard Sie m ssen alle Netzwerke aus
274. initions Networks de finiert wurden 1 2 ffnen Sie im Verzeichnis Proxies das Men POP3 Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster W hlen Sie im Auswahlfeld Allowed Networks die f r diesen Proxy zugelassenen Netzwerke aus Mit dem Auswahlfeld Skip Source Destination Networks haben Sie die M glichkeit bestimmte Netzwerksegmente oder Hosts aus den erlaubten Netzwerken auszuklammern Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Alle Einstellungen werden sofort wirksam und bleiben beim Verlassen des Men s erhalten Aus den zugelassenen Netzwerken kann nun auf den POP Proxy zugegriffen werden 331 System benutzen amp beobachten 5 6 9 1 Content Filter Virus Protection Dieses Modul untersucht E Mails und Anh nge Attach Virus Protection DE Spam Protection O The anti spam engine uses heuristic and st tost HTML and URL syrtas analysis as wel as both header and body Gen ments auf gef hrliche In acouracy the under pattems are updated SS halte z B Viren und Tro Thresholds eer pe janische Pferde Der Scan ng vorgang wird im E Mail exoneds 05 easonabie s Header vermerkt Die ge filterten E Mails werden im A Reg Men Proxies Proxy Con tent Manager angezeigt Das Modul Virus Protec tion wird durch einen Klick auf die Sc
275. ion locked by HA Das n chste System Up2Date wird durch HA abge schlossen System Up2Date failed Corrupt Up2Date package Ein besch digtes System Up2Date Paket wurde ent deckt Bitte starten Sie den Vorgang von neuem Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Invalid License Ihre Lizenz ist abgelaufen System Up2Date failed License check failed Ihre Lizenz kann nicht gepr ft werden Falls das Problem andauert setzen Sie sich mit dem Sup port Ihres Sicherheitssystem Anbieters in Ver bindung System Up2Date failed Internal error Das System Update ist fehlgeschlagen Setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung 334 335 336 334 338 System benutzen amp beobachten System Up2Date failed Invalid syntax Das System Update ist aufgrund einer ung ltigen Syntax fehlgeschlagen Setzen Si sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Up2Date directory not readable Das System Update ist fehlgeschlagen da das Up2Date Verzeichnis nicht gelesen werden kann Setzen Sie sich mit dem Support Ihres Sicher heitssystem Anbieters in Verbindung System Up2Date failed No installation directory Das System Update ist fehlgeschlagen da kein Installations Verzeichnis vorhanden ist
276. irectory User Group Container based Access Control 89 Single Sign on 88 WebAdmin konfigurieren 87 Packet Filter Advanced s 260 Packet Filter Live Log Einleitung 265 Filter setzen zur cksetzen ae 266 Paketfilterregeln Einletung 243 Eilten ae 251 ul e Ss 251 Gruppe hinzuf gen editieren SNE 249 Regel aktivieren deaktivieren 249 Regel editieren 250 Regel l schen 250 Regelsatztabelle 248 Regelsatztabelle sortieren een EEE 250 Reihenfolge ndern 250 Setzen rn 245 Zeitsteuerung 250 Password Restriktionen 55 85 Pattern Up2Date installieren automatisch 67 installieren manuell 66 Phishing Protection 294 349 Ping starten Nee 222 Ping Check Einletung 221 POP3 Content Filter 332 Expressions Filter 335 File Extension Filter 335 konfigurieren 331 Message Style 335 Index Spam Protection 332 Spam Sender Whitelist 334 Virus Protection 332 Portscan Detection einschalten ausschalten 232 Portscan Detection 230 PPTP VPN DHCP Settings 215 388 Einleitumng 212 MS Windows 2000 Szenario SEA ANA EURE 216 PPTP Client Parameters 215 PPTP IP Pool 214 PPTP VPN Access 212 Protocol Handling 261 Protokolle AH 142 143 ESP sn 142
277. ischen Richt linien Durch die erweiterten Einstellungen kann der Datenverkehr auf mehrere Internet Uplinks verteilt werden Dies erm glicht Ihnen u a Kosten einzusparen sowie den Einfluss auf die genutzte Bandbreite und die Priorit ten Policy Routes definieren 1 2 196 ffnen Sie im Verzeichnis Network das Men Routing Klicken Sie im Fenster Policy Routes auf die Schaltfl che New policy route Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Position Bestimmen Sie in welche Zeile der Tabelle die Route eingef gt werden soll Die Reihenfolge der Route kann auch sp ter ge ndert werden Per Default wird die Route an das Ende To Bottom der Route Tabelle eingef gt Source W hlen Sie im Drop down Men das Quellnetzwerk der Datenpakete aus die geroutet werden sollen Die Einstellung Any trifft auf alle Netzwerke zu Destination W hlen Sie im Drop down Men das Zielnetzwerk der Datenpakete aus Die Einstellung Any trifft auf alle Netz werke zu Service W hlen Sie im Drop down Men den Dienst aus Im Drop down Men sind sowohl die vordefinierten als auch die von Ihnen selbst festgelegten Dienste enthalten Mit Hilfe dieser Dienste l sst sich der zu bearbeitende Datenverkehr pr zise defi nieren Die Einstellung Any steht hier stellvertretend f r alle Kombinationen aus Protokollen und Quell bzw Zielport System benutzen amp beobachten Source Interfac
278. ise definiert werden Als Trennsymbol wird das Komma verwendet Der Punkt wird hier zur Abgrenzung nicht unterst tzt 3 Falls Sie die Verbindung zum LDAP Server mit dem SSL Standard verschl sseln m chten schalten Sie die Funktion in der Zeile Use SSL durch einen Klick auf die Schaltfl che Enable ein Durch die Verschl sselung haben Sie die M glichkeit die Authen tisierung mittels Novell eDirectory auch ber ffentliche Netz werke zu nutzen 4 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Single Sign on SSO Ab Version 6 2 enth lt das Sicherheitssystem den Single Sign On Mechanismus f r den Verzeichnisdienst Novell eDirectory Die Authentifizierung f r den Internetzugang erfolgt damit einmalig der Benutzer muss sich nicht jedes Mal vor der Nutzung des Internets mit Benutzernamen und Passwort anmelden Sobald die Authentifizierung erstmalig durchgef hrt wurde steht be nutzerbasierend die gesamte Funktionalit t der Web Security Sub scription zur Verf gung dies beinhaltet Virus Protection Spam Pro tection und Phishing Protection Eine weitere Authentifizierung auf Browser Level ist nicht mehr n tig Diese Implementierung erleichtert in Verbindung mit den Novell eDirectory Diensten die Administration des Sicherheitssystems und steigert erheblich die Sicherheit des Netzwerks 88 System benutzen amp beobachten Single Sign On Mechanismus einschalten 1 Klicken Sie in der Z
279. ises rz uni konstanz de Hiermit wird ein Rechner namens kises bezeichnet der in der Sub Domain rz der Sub Domain uni konstanz der Domain de steht Wie bei IP Adressen werden die einzelnen Namensteile durch einen Punkt voneinander getrennt Anders als bei IP Adressen jedoch sind IP Namen nicht auf vier Stellen beschr nkt Au erdem k nnen einer IP Adresse mehrere IP Namen zugeordnet sein man spricht dann von Aliasen 470 Glossar Masquerading Dynamisches Masquerading ist eine Funktion die auf der NAT Technologie basiert Mit dieser Funktion kann das gesamte lokale Netzwerk LAN ber eine einzelne ffentliche IP Adresse nach au en kommunizieren Beispiel Der Rechner eines Mitarbeiters mit der IP Adresse 192 168 2 15 steht in einem maskierten Netzwerk Allen Rechnern in seinem Netzwerk wird eine einzige offizielle IP Adresse z B 199 199 199 1 zugeordnet d h wenn er nun eine HTTP Anfrage in das Internet startet wird seine IP Adresse durch die IP Adresse der externen Netzwerkkarte ersetzt Damit enth lt das ins externe Netzwerk Internet gehende Datenpaket keine internen Informa tionen Die Antwort auf die Anfrage wird von der Firewall erkannt und auf den anfragenden Rechner weitergeleitet nslookup Ein Unix Programm zur Abfrage von Nameservern Die Hauptan wendung ist die Anzeige von IP Namen bei gegebener IP Nummer bzw umgekehrt Dar ber hinaus k nnen aber auch noch andere In formationen wie z B Aliase an
280. issen Notifica tion E Mails erstellt und abgeschickt Die Funktion wird durch einen Klick auf die Schaltfl che Enable einge schaltet Statusampel zeigt gr n 225 System benutzen amp beobachten 5 4 2 Rules Das Men Rules enth lt das Intrusion Protection System Regel werk IPS Das bereits vorhandene Basisregelwerk mit den IPS An griffssignaturen wird auf Wunsch durch die Funktion Pattern Up2 Date aktualisiert Neue IPS Angriffssignaturen werden automatisch als IPS Regel in die IPS Regeltabelle importiert Die Funktion Pattern Up2Date wird in Kapitel 5 1 3 ab Seite 60 beschrieben Die IPS Regel bersicht In der bersicht sind alle IPS Regelgruppen enthalten Intrusion Protection ee Rules Zr DO z gt P attack responses O Recognition of successful attacks DI J gt P backdoor 0 Rules for backdoor software DO z gt P bad traffic D Recognizes traffic that should never occur BC pe P chat D Recognition of messaging and chat traffic DO p gt P ddos D Rules for Distributed Denial of Service WC pe B dns D Rules for DNS protocol O pe M dos 0 Denial of Service attacks DI pz P exploit D Well known exploits of specific software DO p P finger D Rules for finger protocol WC pe P ftp 0 Rules for FTP protocol DO p 8 icmp D Rules for ICMP protocol DO z gt icmp info 0 Recognition of assumingly harmless ICMP traffic Die Funktionen in der bersicht von links nach rechts ba Og Durch
281. ist und Sie auf der Gegenstelle in MS Windows 2000 die Verschl s selungsst rke 128 Bit ausw hlen kommt f lschlicherweise die Meldung unter Windows dass die Verbindung besteht Wichtiger Hinweis 216 System benutzen amp beobachten Authentication Stellen Sie im Drop down Men die Authentifi zierungsmethode ein Legen Sie fest welche IP Adressen den Hosts bei der Einwahl zugewiesen werden sollen W hlen Sie im Fenster PPTP IP Pool mit dem Drop down Men Network ein Netzwerk aus Das ausgew hlte Netzwerk wird sofort bernommen Per Default Einstellung ist hier bereits PPTP Pool ausgew hlt Anschlie end wird unter dem Drop down Men die IP Adresse des Netzwerks die Netzwerkmaske und die Anzahl der verf g baren IP Adressen angezeigt Dem Benutzer wird bei der Einwahl aus diesem Adressbereich automatisch eine IP Adresse zugeordnet Im Fenster PPTP Client Parameters k nnen Sie den Hosts w hrend des PPTP Verbindungsaufbaus zus tzlich bestimmte Nameserver DNS und WINS und eine Name Service Dom ne zuweisen Es k nnen jeweils zwei Server eingetragen werden Client DNS Servers Tragen Sie hier die IP Adressen der DNS Server ein Client WINS Servers Tragen Sie hier die IP Adressen der Windows Nameserver ein Client Domain Tragen Sie hier die Domain ein die der Client bei DNS Anfragen an Hostnamen anh ngen soll Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che Save 217 System benutz
282. it Funktionen zur bersetzung von Teilen oder des gesamten Inhalts einer Internetseite in eine andere Sprache 40 Anonymous Proxies Internetseiten ber die Benutzer anonym im World Wide Web surfen k nnen Job_Search 41 Job Search Internetseiten zur Stellensuche z B Arbeitsangebote Arbeits suchende Arbeitsvermittler Arbeits mter Zeitarbeit etc Lifestyle 42 Dating Relationship Internetseiten zur F rderung von zwischenmenschlichen Bezieh ungen 43 Restaurant Bars Internetseiten ber Gastst tten z B Restaurants Bars Diskothe ken Schnellimbissgastst tten 286 System benutzen amp beobachten 44 Travel Internetseiten zum Thema Reisen z B Denkm ler Geb ude Sehensw rdigkeiten Reiseb ros Hotels Animationsprogramme Motels Fluglinien Eisenbahnen Autovermietungen und Touristik information 45 Fashion Cosmetics ewelry Internetseiten ber Mode Kosmetik Schmuck Parf ms Informa tionen zum Modeln und Model Agenturen 46 Sports Internetseiten ber Fanclubs Events z B Olympische Spiele Weltmeisterschaften Sportresultate Vereine Mannschaften und Sport Vereinigungen 47 Building Residence Furniture Internetseiten ber Geb ude und Innenausstattungen z B Immobilienm rkte M belm rkte vorfabrizierte H user Design etc 48 Nature Environment Internetseiten ber Natur und Umwelt z B Umweltschutz Haus tiere Gartenm rkte etc Locomotion
283. it Spyware ver kn pft sein z B mit bestimmten Werkzeugleisten e Unbemerkte Direktinstallation auf einen Computer ber einen so genannten Drive by Download ohne Aufforderung des Benutzers Zu diesen Drive by Installationen geh ren auch oftmals die so ge nannten Browser Helper Objects die sich selbst als Teil eines Web browsers einbetten und das Surfverhalten des Benutzers auf zeichnen e HTTP Cookies zum Aufzeichnen des Verhaltens des Benutzers Bei einem Cookie handelt es sich um einen Mechanismus zum Speichern der vom Benutzer besuchten Internetseiten auf dessen eigenem Computer Diese werden oftmals dazu verwendet die in dividuellen Surfgewohnheiten nicht nur f r bestimmte Internetsei ten aufzuzeichnen sondern f r alle Webseiten die ein Benutzer in einem bestimmten Zeitraum aufgerufen hat Dies ist jedoch erst dann gef hrlich wenn dahinter ein Unternehmen steht das so das Surfverhalten ber mehrere Seiten nachverfolgt Bei der Funktion Block Spyware handelt es sich um die Cobion Unterkategorie Spyware 60 Wenn diese Funktion eingeschaltet ist werden die angeforderten Internetseiten mit den URLs dieser Unter kategorie Sub category verglichen Wenn die angeforderte Internet seite darin kategorisiert ist wird sie geblockt Die Unterkategorie Spy ware ist keiner der 18 Hauptkategorien zugeordnet Sie sollte nur durch das Kontrollk stchen Block Spyware aktiviert werden 293 System benutzen amp beobachten B
284. ite 154 unter der berschrift Current Interface Status 1 ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die folgende Paketfilterregel Source Any Service Any Destination W hlen Sie hier das Netzwerk Broadcast des ent sprechenden Netzwerksegments aus Beispiel NAME Broadcast Action Drop Comment optional Tragen Sie einen Kommentar ein 2 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition 255 System benutzen amp beobachten 5 5 2 ICMP ICMP Settings In diesem Fenster werden IRB die Einstellungen f r das Lei ICMP Redirects us Internet Control Message Protocol ICMP vorge nommen ICMP ist notwendig um die Netzwerkverbindungen und Funktionalit t des Internet Sicherheitssystems zu testen Des Weite ren wird ICMP zur Fehlerbenachrichtigung und zu Diagnosezwecken verwendet ICMP Forwarding Hinweis N here Informationen zu ICMP finden Sie auch unter Ping und Traceroute ICMP on Firewall und ICMP Forwarding beziehen sich immer auf alle IP Adressen Any Wenn diese Funktionen eingeschaltet sind Statusampel zeigt Gr n k nnen alle IPs die Firewall ICMP on Firewall bzw das Netzwerk dahinter ICMP Forwarding an pingen Einzelne IP Adressen k nnen dann nicht mehr mit Paketfilter regeln ausgeklammert werden Wichtiger Hinweis Die hier getroffenen Einstellungen haben stets Priorit t gegen ber den Einstellungen die im P
285. iten Internet zugang Zur berpr fung der Verbindung werden ber die pri m re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatzschnitt stelle geladen W hrenddem die Internetverbindung ber die Ersatzschittstelle Backup Interface erfolgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface verschickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die pri m re Netzwerkkarte F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatzschnittstelle zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge Wichtiger Hinweis Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Schnittstelle die prim re Verbindung zum In ternet sein soll stellen Sie im Drop down Men Primary Inter face ein Falls diese Schnittstelle die Standby Verbindung ent halten soll w hlen Sie die Einstellung Backup Interface aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfrage
286. ition editieren Durch einen Klick auf die Einstellungen in den Spalten Name Value und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten Definition l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 5 2 3 Users Local User Definitions ES E In Men Users werden die rn lokalen Benutzer Local Users hinzugef gt wenn mm nun der Gebrauch der Proxy dienste nach Personen ein geschr nkt werden soll Dies ist die Alternative dazu eine externe Be nutzerdatenbank abzufragen Anschlie end k nnen Sie diesen lokalen Benutzern in der Benutzertabelle den Zugriff auf die Dienste HTTP Proxy SMTP Proxy SOCKS Proxy WebAdmin L2TP over IPSec und PPTP Remote Access erlauben Comment Add Definition N Sicherheitshinweis Standardm ig hat nur der Benutzer admin Zugriff auf das Konfigurationstool WebAdmin Sie sollten das Passwort zum Konfigurationstool in regelm igen Abst nden ndern 146 System benutzen amp beobachten Lokalen Benutzer hinzuf gen 1 2 ffnen Sie im Verzeichnis Definitions das Men Users Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Username Tragen Sie in das Eingabefeld einen eindeutigen Na men f r den Lokalen Benutzer Local User ein Diesen Benutzernamen verwenden Sie sp ter
287. itumng 220 Netzwerkkarte hinzuf gen entfernen 221 Administrator e mail addresses SE 48 Akustische Signale Beep 5 mal 132 Endlos Beep 132 Anti Virus Engines Astaro AV Engine 77 Einleitumng 77 Open Source AV Engine 77 ARM ARM Remote Connection 414 Historical ARM Log Files 413 Transfermethode 414 Astaro Command Center ACC EE 410 Astaro Report Manager ARM EE 411 Astaro Secure Client Client Parameters 385 Profil Import 383 Backup Einleitumng 69 E Mail Backup File generieren e 75 E Mail Backup File verschl sseln 74 E Mail Adressen bearbeiten EE 76 installieren manuell 71 installieren mittels USB Speicher 70 manuell generieren 72 Benutzer Definitionen editieren 149 Index Definitionen l schen 149 Einleitung 146 Eltern ae 148 filtern asien 148 lokale Benutzer hinzuf gen ged ee 147 BOUNCE nennen 349 Bridging Ageing Timeout 193 Allow ARP Broadcasts 193 Bridge Options 193 definleren 191 Einletung 191 Garbage Collection Intervall E E TEE E T 193 Netzwerkkarte hinzuf gen E E 192 Netzwerkkarte l schen 192 Broadcast auf ein Netzwerksegment EE De ee E ee 255 auf gesamtes Internet 254 Browser MS Explorer Proxy Verwendung UMGEREN i 269 Browser Netscape Proxy Verwendung UMGEREN 270 Certifications
288. kerage stoc Exchange Das Modul Surf Protec tion enth lt 18 definierte Surf Protection Cate gories Die Kategorien basieren auf der URL Datenbank von Cobion Security Technologies und k nnen in dieser Ta belle editiert werden Computer Games e Gambles e Toys Information_and_Communication Chat o Digital Postcards o General News Newspaper and Magannes e Search Engines Wabd Catalogs Portals SMS Mobdes Fun e Usenet News and Bulletin Boards Web Mail Alle URLs die in der Cobion Datenbank enthalten sind sind einer der 59 Unterkategorien Subcategories zugeordnet Die Zuordnung er folgt anhand von eindeutigen Kategorienamen wie Hate Discrimi nation Online Shopping oder Pornography Diese Inhaltskategorien k nnen dazu genutzt werden um Internetseiten mit bestimmten In halten zu sperren Fordert ein Benutzer eine Website an so wird diese Anforderung mit der URL Datenbank verglichen Falls der Zugriff auf die Internetseite die vom Administrator definierte Web Policy verletzt wird die Anfrage blockiert Die auf der URL Datenbank kategorisierten Internetseiten sind nach den folgenden 18 Kategorien bzw 59 Unterkategorien unterteilt Community_ Education Religion 1 Governmental Organizations Regierungsstellen und Beh rden z B Polizei Feuerwehr und Krankenh user sowie berstaatliche Regierungsstellen z B Vereinte Nationen Europ ische Gemeinschaft 281 System benutzen amp beobachte
289. kt vor dem Zur ckstellen wieder erreicht ist e Die meisten Diagramme stellen die Werte dieser Zeitspanne zusammengepresst dar e F r das Accounting behalten die bereits erfassten Daten aus der Zukunft ihre G ltigkeit Die Accounting Dateien werden weiterge schrieben wenn der R ckstell Zeitpunk wieder erreicht ist Es wird daher geraten die Zeit nur bei der Erst Konfiguration ein malig zu setzen und sp ter nur geringf gig anzupassen Verwenden Sie am Besten die Central European Time CET Dies ist die ur spr ngliche Uhrzeit Das System l uft dann immer in CET nicht in CEST Central European Summer Time Umstellungen von Winter und Sommerzeit sollten nicht vorgenommen werden insbesondere wenn die gesammelten Reporting und Accounting Daten weiterverar beitet werden Systemzeit manuell einstellen 1 ffnen Sie im Verzeichnis System das Men Settings 2 F hren Sie im Fenster Time Settings folgende Einstellungen in der angegebenen Reihenfolge durch Use NTP Server Vergewissern Sie sich f r die manuelle Zeit einstellung dass hier kein NTP Server ausgew hlt ist In diesem Fall wird im Drop down Men Please select angezeigt Sollte ein NTP Server eingestellt sein w hlen Sie im Drop down Men No NTP Server aus Time Zone W hlen Sie nun die Zeitzone aus 50 System benutzen amp beobachten Die neu definierte Zeitzone hat nur eine Auswirkung auf die derzeit eingestellte Uhrzeit wenn Sie bereits eine
290. l Die Benutzerauthentisie rung wurde innerhalb des SOCKSv5 Protokolls durchgef hrt 90 System benutzen amp beobachten 5 1 8 3 RADIUS RADIUS steht f r Remote Authentication Dial In User Service und ist ein Protokoll mit dem z B ein ISDN Router Informationen f r die Benutzerauthentifizierung von einem zentralen Server abfragen kann Neben den reinen Benutzerinformationen f r die Authentifizie rung verwaltet RADIUS auch technische Informationen die f r die Verst ndigung des Zugangssystems mit dem Endger t des Anrufers n tig sind Dazu geh ren z B die verwendeten Protokolle IP Adres sen Telefonnummern Time outs Routen etc Zusammen bilden sie ein Benutzerprofil das in einer Datei oder Datenbank auf dem RADI US Server gespeichert wird Neben der Authentifizierung von DialUp Usern kann RADIUS aber auch als generisches Authentifizierungsprotokoll verwendet werden Das Protokoll ist sehr flexibel und die RADIUS Server sind f r alle Betriebssysteme eingeschlossen Microsoft Windows NT 2000 verf g bar Die RADI US Implementierung dieses Internet Sicherheitssystems erm glicht Ihnen die Zugriffsrechte auf Proxy und Benutzerbasis zu konfigurieren Bevor Sie RADI US Authentication einstellen k nnen ben tigen Sie einen RADIUS Server in Ihrem Netzwerk Da die Passw rter in Klar text bertragen werden empfehlen wir jedoch den RADIUS Server ausschlie lich in einer geswitchten Umgebung zu verwenden Im folgenden Ab
291. l che Enable Schalten Sie anschlie end im Men Packet Filter Advanced die fol genden Einstellungen ein e Strict TCP Session Handling e Spoofing Protection Einstellung Strict e Validate IP Packet Length Hinweis Wenn Sie auf dem Sicherheitssystem im Common Criteria Mode e eine der Funktionen manuell ausschalten arbeitet das Sicherheits system nicht mehr mit der Bewerteten Konfiguration Der Com mon Criteria Mode wird in diesem Fall automatisch deaktiviert 130 System benutzen amp beobachten ICSA Labs Certification Die Firewall ist durch EI ICSA Labs has been the security industry s central d thority for research ce and certc en CSA Labs gem ihren lahs Te u L requirements on an ongoing bas s and all oerufied Anforderungen f r Fire DIVIZION or CYBERTRUST products are forced to comply The ICSALabs Mode offers improved security and logging options for the Astaro Secunty Gateway If H ifi i ee Walls Firewall Certification meet the stringent set by their Corporate Certificabon ee Criteria Version 4 0 zerti ICSA Labs compkant mode star os fen ui 3 E fiziert Solange die Fire wall bei Network Security Lab entwickelt und die jeweils aktuelle Ver sion in regelm igen Abst nden stichprobenweise gepr ft wird bleibt die Zertifizierung durch ICSA Labs erhalten Damit das Sicherheitssystem in einem ICSA Labs konformen Modus l uft m ssen die nachfolgend aufgef hrte
292. l Directory Service 8 7 1 ist ein auf X 500 basierender Verzeichnisdienst zur Verwaltung von Benutzern Zugriffsrechten und anderen Netzwerkressourcen Novell stellt den Verzeichnisdienst f r die Plattformen Netware ab Version 5 MS Windows NT 2000 Linux Solaris und demn chst auch f r HP UX zur Verf gung Novell eDirectory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Novell eDirectory NDS8 sollte der Abfrage Typ groupMem bership verwendet werden da sich ein bereits vollst ndig eingerich teter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis kann wiederum um selbstdefinierte Attribute erwei tert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden F r die Konfiguration des Novell eDirectory Servers ben tigen Sie die Novell ConsoleOne Die Verwaltung des Novell eDirectory Servers wird ausf hrlich in der zugeh rigen Dokumentation beschrieben Sie erhalten die Dokumen tation unter der Internetadresse http www novell com documentation Ig edir87 index html 86 System benutzen amp beobachten F hren Sie anschlie end die Einstellungen am Internet Sicherhei
293. l und ist ein Kommunikationsprotokoll das den Transport und das Format von Nachrichten definiert die von einem Client f r den Zugriff auf einen xX 500 konformen Verzeichnisdienst verwendet werden Das Protokoll spezifiziert somit die Art des Zugriffs auf einen solchen Verzeichnis dienst Bei diesem Internet Sicherheitssystem wird das Protokoll LDAP zur Benutzerauthentifizierung eingesetzt indem mit Hilfe von Stand alone LDAP Servern Verzeichnisse nach einem Benutzer mit einer bestimmten Gruppenzugeh rigkeit oder mit bestimmten Attributen abgefragt werden Das System unterst tzt die Stand alone LDAP Server Microsoft Active Directory und Novell eDirectory sowie LDAP Server die auf der Open Source Implementation von OpenLDAP basieren Microsoft Active Directory ist der Verzeichnisdienst speziell f r Microsoft Windows NT 2000 Netzwerke und erlaubt die zentrale Or ganisation und Verwaltung aller Netzwerkressourcen Er erm glicht den Benutzern ber eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen und dem Administrator die zentral organisierte Ver waltung transparent von der Netzwerktopologie und den eingesetzten Netzwerkprotokollen F r diesen Verzeichnisdienst wird zur Bewertung der Anfragen ein MS Windows NT 2000 Domain Controller ben tigt Novell eDirectory Novell Directory Service 8 ist ein auf X 500 basierender Verzeichnisdienst zur Verwaltung von Benutzern Zu griffsrechten und anderen Netzwerkressourcen No
294. la z B Mozilla 1 6 genutzt werden 98 System benutzen amp beobachten Hinweis Damit die Anbindung des Internet Sicherheitssystems an die Do main zustande kommt muss einer der Domain Controller DC f r diese Domain innerhalb des System Broadcast Bereichs liegen Die Authentifizierung mit NTLM kann zurzeit nur f r den HTTP Proxy genutzt werden um Single Sign On Anmeldungen f r Internet Explorer Clients durchzuf hren Der Begriff Single Sign On SSO wird im Allgemeinen f r ein ein maliges zentrales Anmelden eines Benutzers in einer IT Struktur ver wendet Dies hat den Vorteil dass der Benutzer seine Kennungsdaten nur einmal eingeben muss und dann an allen zentral angeschlossenen Diensten authentifiziert ist Dies erm glicht es in einem Unternehmen eine einheitliche Benutzer und Rechtestruktur durchzusetzen Bei der Konzeption einer zentralen einmaligen Authentifizierung der auf bestehende Infrastrukturen aufbauen soll m ssen eine Reihe von Anforderungen erf llt werden e Zentrale Administration Benutzerauthentifizierungsdaten werden nur an einer Stelle gepflegt e Einfache Benutzbarkeit Daten werden konsistent und nicht dop pelt gehalten d h nur ein Passwort f r s mtliche Dienste e Sicherheit Passw rter sind nicht f r Angreifer lesbar Der Vorteil des letzteren ist dass die Daten im hier vorgestellten Kon zept nie unverschl sselt ber Netzwerke bertragen werden und einer bestimmten Verfallsdaue
295. le Netz werke Networks oder Hosts nn Ze mit bestimmten Attributen Internal Address interface up 192 168 5217 A sense een herausfiltern Diese Funktion Internal Netwrork erleichtert das Managen von gro en Netzwerken erheblich da Netzwerke eines bestimmten Typs bersichtlich dargestellt werden k nnen Netzwerke filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Name Falls Sie Netzwerke mit Namen filtern m chten tragen Sie den Begriff in das Eingabemen ein Type Mit diesem Drop down Men filtern Sie Netzwerke eines bestimmten Typs Address Values Falls Sie Netzwerke mit bestimmten Adressen filtern m chten tragen Sie in das Eingabefeld die IP Adresse ein 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anschlie end werden nur die gefilterteten Netzwerke in der Tabelle angezeigt Nach dem n chsten ffnen des Men s wird wieder die voll st ndige Netzwerktabelle dargestellt 140 System benutzen amp beobachten Weitere Funktionen Definition editieren Durch einen Klick auf die Einstellungen in den Spalten Name Value und Comment ffnet sich ein Editierfenster Anschlie end k nnen Sie die Eingaben bearbeiten Definition l schen Durch einen Klick auf das Papierkorb Symb
296. le Netzwerkkarten des Internet Sicherheitssystems sind an einem Hub angeschlossen Hinweis l Falls Sie f r Ihre Verbindung zum Internet DSL verwenden beachten Sie bei der Konfiguration den entsprechenden Leitfaden unter der Internetadresse http www astaro com kb 93 2 2 Sicherheitssystem konfigurieren Die Konfiguration des Sicherheitssystems f hren Sie von Ihrem Ad ministrations PC aus mit einem Internet Browser z B MS Internet Explorer und dem Konfigurationstool WebAdmin durch 1 Browser starten und WebAdmin ffnen Bevor Sie das Konfigurationstool WebAdmin ffnen k nnen m ssen Sie den Browser entsprechend konfigurieren Weitere Informationen erhalten Sie in Kapitel 5 6 1 ab Seite 269 30 Installation Wenn der Browser konfiguriert ist geben Sie die IP Adresse des Internet Sicherheitssystems eth0 wie folgt ein https IP Adresse Beispiel aus Install Schritt 6 https 192 168 2 100 Anschlie end erscheint ein Sicherheitshinweis Dieser Hinweis wird sp ter nicht mehr angezeigt wenn Sie f r Ihre WebAdmin Seite ein Zertifikat generieren Ausf hrliche Informationen zum Zertifikat und wie Sie dieses Zertifikat installieren wird in Kapitel 5 1 10 ab Seite 119 beschrieben Best tigen Sie die Frage auf dem Sicherheitshinweis ob der Vorgang fortgesetzt werden soll mit einem Klick auf die Schalt fl che Ja Beim ersten Start des WebAdmin ffnet sich ein Men mit den Fenstern License Agreement und
297. le Transfer Protocol e H323 e IRC f r DCC e MMS Microsoft Media Streaming e PPTP Point to Point Tunneling Protocol 260 System benutzen amp beobachten e TFTP Trivial File Transport Protocol Helper Module laden Per Default sind alle Helper Module mit der Ausnahme von TFTP geladen Das Laden und Entfernen der Helper Module erfolgt ber das Aus wahlfeld Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Protocol Handling TCP Window Scaling Je des TCP Paket enth lt im Header ein Window Feld Im Validate Packet Length 8 Ss Window wird definiert in Bytes welche Datenmenge ein System das entspre chende Pakete verschickt von der Gegenstelle wiederum empfangen kann Das Window ist eine Art Datenflusskontrolle die verhindern soll dass eine Gegenstelle mit Daten berflutet wird Das TCP Win dow Feld hat eine Weite von 16 Bits und erm glicht eine maximale Window Gr e von 64 kB Bei Netzwerken mit h herer Bandbreite sollte allerdings ein gr eres TCP Window verwendet werden Beim Window Scaling wird eine TCP Variante eingesetzt die einen h heren Skalierfaktor enth lt Dadurch kann das Window bis auf eine Gr e zwischen 64 kB und 1 GB er weitert werden Die Funktion TCP Window Scaling kann nur genutzt werden wenn die Gegenstelle diese Funktion ebenfalls unterst tzt TCP Window Scalng os ii Strict TCP Session Handling ge Spoof Protection
298. liert ist k nnen Sie zur Verbesserung der Rechner Performance den Open Source Software Anti Virus Scanner f r den Proxy HTTP deaktivieren Astaro Engine Bei der Astaro AV Engine handelt es sich um eine technisch aus gereifte L sung Sie erkennt die verschiedenartigsten E Mail und Webbasierten Viren W rmer und andere Malware die nur durch heuristische Analysen entdeckt werden k nnen Sie schalten den Software Anti Virus Scanner durch einen Klick auf die Schaltfl che Enable ein Open Source Engine Die Open Source Engine nutzt ein Verzeichnis mit bereits ent deckten Viren Die Codes in den Datenpaketen werden mit denen der bereits entdeckten Viren verglichen Falls ein Bereich des Codes mit bereits bekannten Viren bereinstimmt werden diese dann durch die geeignete Ma nahme gefiltert Sie schalten den Software Anti Virus Scanner durch einen Klick auf die Schaltfl che Enable ein 78 System benutzen amp beobachten Das Simple Network Manage ment Protocol SNMP dient zur berwachung und zum Ma nagen des lokalen Netzwerks Der Administrator kann mit SNMP schnell den Zustand der Netzwerkger te wie z B die Anzahl und Konfiguration der Netzwerk Interfaces die bertragene Daten menge die laufenden Prozesse und die Auslastung der Festplatten abfragen ber den augenblicklichen Zustand hinaus sind Trends und Zeitreihen interessant Sie geben einen tiefen Einblick in die Funktion eines Netzwerks in der Historie la
299. livery failed returni 3 SMTP 6d 6h 56m B mx domain example Mail delivery failed returni 8 SMTP 6d 8h 56m 8 lt gt B mx domain example Mail delivery failed returni 3 SMTP 6d 8h 59m a lt gt H Imx domain example Mall delivery failed returni EI zum Gd 9h 53m B lt gt B Imx domain example Mail delivery failed returni 8 SMTP 6d 9h 53m lt gt H Imx domain example Mail delivery failed returni Automatic Cleanup EE Status oe Daily Spam Digest Status Die nachfolgend aufgef hrten Begriffe und Stati ben tigen Sie um die E Mails in diesem Men korrekt zu verwalten ID Jede E Mail in diesem Internet Sicherheitssystem erh lt eine ein deutige ID Diese ID ist im Header einer Mail enthalten und identifi ziert au erdem die E Mail in den Log Files Die ID wird angezeigt wenn Sie mit der Maus den Eintrag im Feld Type ber hren Type Der Proxy Content Manager unterteilt die gefilterten E Mails in die Typen POP3 und SMTP Wenn Sie mit der Maus den Eintrag be r hren wird die Mail ID angezeigt Durch einen Klick auf den Eintrag wird ein Fenster mit dem Inhalt der Nachricht ge ffnet Auf diese 347 System benutzen amp beobachten Weise k nnen Sie wichtige Nachrichten gefahrlos lesen Nachrichten mit einer L nge von bis zu 500 Zeilen werden komplett dargestellt Age In dieser Spalte wird das Alter der E Mail angezeigt d h der Zeitraum seit dem die Mail auf dem Internet Sicherheitssystem
300. ll eDirectory NDS8 sollte der Abfrage Typ groupMem bership verwendet werden da sich ein bereits vollst ndig einge richteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis kann wiederum um selbstdefinierte Attribute erwei tert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden F r die Konfiguration des Novell eDirectory Servers ben tigen Sie die Novell ConsoleOne Die Verwaltung des Novell eDirectory Servers wird ausf hrlich in der zugeh rigen Dokumentation beschrieben Sie erhalten die Dokumen tation unter der Internetadresse http www novell com documentation Ig edir87 index html F hren Sie anschlie end die Einstellungen am Internet Sicherheits system durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 112 erkl rt 110 System benutzen amp beobachten OpenLDAP Server konfigurieren Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Unter OpenLDAP erfolgt zur Benutzerauthentifizierung eine einfache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem eingetragenen Benutzer ein eindeutiger CN zugeordnet sein Muss Wichtiger Hinweis Bei de
301. load the Schema Schritt 4 Attribut einem Benutzer User zuweisen 1 Klicken Sie im Verzeichnis ADSI Edit mit der rechten Maustaste auf den entsprechenden Benutzer Beispiel Hans Mustermann im Verzeichnis Trainees Klicken Sie mit der linken Maustaste auf die Schaltfl che Properties Anschlie end ffnet sich das Fenster Properties W hlen Sie im Fenster Properties das Register Attributes aus und f hren Sie die folgenden Einstellungen durch Select which properties to view W hlen Sie Both aus Select a property to view W hlen Sie hier das Attribut aus Beispiel Socks Syntax Dieser Wert wird beim Erstellen des Attributs gesetzt und kann hier nicht mehr ge ndert werden Beispiel It Schritt 2 Boolean Edit Attribut Mit diesem Eingabefeld kann der Wert des Attri buts editiert werden M gliche Werte sind TRUE oder FALSE 109 System benutzen amp beobachten Value s Hier wird der Wert des Attributs angezeigt 4 Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK F hren Sie nun die Einstellungen auf dem Internet Sicherheitssystem durch Die Einstellungen am Konfigurationstool WebAdmin werden ab Seite 112 erkl rt Novell eDirectory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher dass dieser Benutzer nur die Leserechte bekommt Bei Nove
302. lock suspicious and unkown sites Mit dieser Funktion wird ver hindert dass der Browser Internetseiten mit unbekanntem Inhalt ffnet Diese Funktion kann als zus tzliche Sicherung angesehen wer den falls eine durch Spyware kontaminierte Internetseite noch nicht als solche kategorisiert wurde Diese Funktion bewahrt den Benutzer au erdem vor sogenannten Phishing Angriffen da die Phishing Mails in der Regel verd chtige Links enthalten Diese Links werden geblockt wenn Sie bereits als Uncategorized Cobion Sub category 73 Categorization Failed 74 oder Suspicious 75 kategorisiert sind Falls die Phishing Mail trotz dem angekommen ist wird dadurch auch verhindert dass der Be nutzer auf den Link klickt Neben den potentiell kontaminierten URLs kann es auch vorkommen dass regul re Internetseiten f r Online Banking die von den Phishers h ufig gef lscht werden kategorisiert werden Dies kann auch andere URLs betreffen die eigentlich erlaubt sein sollten Um den Zugang auf diese Internetseiten zu gew hren k nnen diese in die Zugriffskon trollliste URL Whitelist eingetragen werden Strip Embedded Objects Mit dieser Funktion werden in angefor derten Internetseiten die eingebetteten Objekte wie ActiveX Flash oder Java entfernt e Sicherheitshinweis Schalten Sie die Funktion Strip Embedded Objects nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen Durch einen Klick auf das Kontrollk stchen wird St
303. ls eine Art Fingerabdruck des Paketinhalts verwendet um den Absender zu pr fen Dieser Hash Wert wird auch als digitale Signatur oder als Message Digest bezeichnet Der Secure Hash SHA 1 Algorithmus erzeugt analog zum MD5 einen 160 bit langen Hash Wert SHA 1 ist aufgrund des l ngeren Schl ssels sicherer als MD5 Der Aufwand einen Hash Wert mittels SHA 1 zu berechnen ist im Vergleich zum MDS5 Algorithmus etwas h her Dies kommt allerdings infolge der heutigen Prozessor Performance nur zum tragen wenn sehr viele IPSec VPN Verbindungen ber ein Security Gateway verschl sselt werden 361 System benutzen amp beobachten Das Encapsulated Security Payload Protokoll ESP bietet zus tz lich zur Verschl sselung auch die M glichkeit der Absender Authenti fizierung und der Inhaltsverifizierung Wenn man ESP im Tunnel Modus verwendet wird das komplette IP Paket Header und Payload verschl sselt Zu diesem verschl sselten Paket wird ein neuer unver schl sselter IP und ESP Header hinzugef gt Der neue IP Header be Inhalter Absender und Empf nger IP Adresse Diese IP Adressen ent sprechen denen des VPN Tunnels F r ESP mit Verschl sselung werden blicherweise die folgenden Ver schl sselungs verwendet e Triple Data Encryption Standard 3DES e Advanced Encryption Standard AES Eine hohe Sicherheit erreicht man durch Verwenden von AES Die effektiven Schl ssell ngen von AES sind wahlweise 128 192 oder 256 Bit
304. lt fl che delete kann der Eintrag wieder gel scht werden Current IP Leasing Table Im Betriebsmodus DHCP Server werden in der Tabelle Current IP Leasing werden die aktuellen IP Adresszuweisungen dargestellt F r ein und dieselbe IP Adresse k nnen mehrere Zuweisungen enthalten sein allerdings ist immer nur der letzte Eintrag g ltig Diese Tabelle wird nur angezeigt wenn Eintr ge vorhanden sind 211 System benutzen amp beobachten 5 3 7 PPTP VPN Access Mit Point to Point Tunneling Protocol PPTP k nnen Sie einzel nen Hosts den Zugang zu Ihrem Netzwerk ber einen verschl sselten Tunnel erm glichen PPTP ist einfach einzurichten und ben tigt auf Microsoft Windows Clients keine zus tzliche Software PPTP ist in Microsoft Windows ab Version 95 enthalten Um PPTP mit dem Internet Sicherheitssystem verwenden zu k nnen muss der Client die MSCHAPv2 Authentifizierung unterst tzen Zu diesem Zweck muss auf MS Windows 95 und 98 Clients ein Update aufge spielt werden Dieses Update finden Sie bei Microsoft unter http support microsoft com support kb articles Q191 5 40 ASP Sie ben tigen dort das VPN Update und eventuell das RAS Update wenn Sie Microsoft Windows 95 verwenden PPTP VPN Access In diesem Fenster schalten Sie den PPTP VPN Zugang durch einen Klick auf die je weilige Schaltfl che Enable Disable ein und aus Status ER Das _ Loggng N Encrypvon Authen caton Ww u WW La
305. lten Sie aus f hrliche Informationen indem Sie mit der Maus das entsprechende Symbol ber hren OI In diesem Fenster werden die Parameter dieser Regel als Low Layer Information dargestellt ww Durch einen Klick auf das Symbol werden Sie mit dem entsprechenden Link im Internet verbunden Auf der Internetseite erhalten Sie weitere Informationen zu der IPS Regel Die Informatio nen werden z B in Projekten wie Common Vulnerabilities and Exposures CVE erbarbeitet und im Internet ver ffentlicht 228 System benutzen amp beobachten IPS Regel setzen Das Regelwerk kann durch eigene IPS Regeln erg nzt werden Die Regeln basieren auf der Syntax des Open Source ID Systems Snort Manuell erstellte IPS Regeln werden immer in IPS Regelgruppe local importiert Weitere informationen erhalten Sie unter der folgenden Internetadresse http www snort org 1 ffnen Sie im Verzeichnis Intrusion Protection das Men Rules Klicken Sie auf die Schaltfl che New Rule Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Intrusion Protection Total 2012 entries 1968 e A New Rule A 7 Filters 7 Rules filtered Description example 1 Selector emp EXTERNAL_NET any gt HOME_NET any Filter asize s00 Add local Rule Hint Local rules will be added to the local group I 7 Group Hits Info BDO z gt P attack responses O Recognition of successful attacks Des
306. lten Sie in Kapitel 5 1 2 ab Seite 56 6 Erste Grundeinstellungen durchf hren ffnen Sie im Verzeichnis System das Men Settings und f h ren Sie die folgende Einstellungen durch Administrator Contact Tragen Sie in das Hierarchiefeld die E Mail Adresse des Administrators ein 33 Installation Weitere Informationen zu diesen Funktionen erhalten Sie in Kapitel 5 1 1 ab Seite 48 ffnen Sie im Verzeichnis Network das Men Hostname Dyn DNS und f hren Sie die folgende Einstellungen durch Hostname Tragen Sie hier den Hostnamen f r Ihr Internet Sicherheitssystem ein Ein Domainname darf aus alphanumerischen Zeichen sowie Punkt und Minus Zeichen bestehen Am Ende muss ein alphabe tischer Bezeichner vorhanden sein z B com de oder org Der Hostname wird in allen Notification E Mails in der Betreff zeile angezeigt Speichern Sie abschlie end die Eingaben durch einen Klick auf die Schaltfl che Save 7 Interne Netzwerkkarte eth0 editieren ffnen Sie im Verzeichnis Network das Men Interfaces und pr fen Sie die Einstellungen der Netzwerkkarte eh Die Netzwerkkarte eth0 zum internen Netzwerk wurde von Ihnen w hrend der Installation der Software definiert Diese Netzwerkkarte wird nach dem ersten Start des Internet Sicher heitssystems im Fenster Current Interface Status angezeigt Crone neartan Biata w Falls Sie bei dieser Geesen Netzwerkkarte Einstel lungen ndern m ch ten z B
307. lter mit den Modulen Virus Protection for Web und Spyware Protection sowie weiteren Schutzmechanismen Das Modul Spyware Protection besteht aus den Funktionen e Block Spyware Infection and Communication e Block suspicious and unknown sites Die zus tzlichen Schutzmechanismen sind e Strip Embedded Objects e Strip Scripts Das Modul Surf Protection kann erst konfiguriert werden wenn der HTTP Proxy eingeschaltet ist Die Module und Schutzmechanismen werden im Abschnitt Die Profiles Tabelle beschrieben Die Informationen und Fehlermeldungen die vom HTTP Proxy zur ck gesendet werden sind in Kapitel 5 10 3 3 auf Seite 462 aufgef hrt 279 System benutzen amp beobachten Hinweis Die Verbindung vom Content Filter zu Cobion erfolgt ber den Port 6000 Wenn Sie z B eine Upstream Firewall einsetzen kommt ber diesen Port in der Regel keine Verbindung zustande In diesem Fall baut das Sicherheitssystem automatisch die Verbindung zu Cobion mittels Port 80 TCP auf Whitelist Domains In der Zugriffskontrollliste kann eine Whitelist mit Dom nen definiert werden die grunds tzlich vom Surf Protec tion ausgeschlossen werden Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben Skip Authentication for Domains Mit der Zugriffskontrollliste kann eine Whitelist mit Dom nen definiert werden die von der NTLM Au thentisierung ausgeschlossen sein
308. ltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster W hlen Sie im Drop down Men Operation Mode den Betriebs modus aus Beachten Sie bei den Betriebsmodi die jeweils notwendige Zu satzkonfiguration Die Modi werden unter der berschrift Die Betriebsmodi Operation Mode beschrieben Wenn Sie den Betriebsmodus Standard oder Transparent ein gestellt haben fahren Sie mit Schritt 5 fort Falls Sie im Drop down Men Operation Mode den Modus User Authentication ausgew hlt haben definieren Sie nun im Fens ter User Authentication die Authentifizierungsmethode Authentication Methods Zur Auswahl stehen nur Authentifi zierungsmethoden die Sie zuvor im Men System User Au thentication konfiguriert haben 273 System benutzen amp beobachten 274 Falls Sie die Methode Local Users eingestellt haben w hlen Sie nun im Auswahlfeld Allowed Users die entsprechenden Benut zer aus Die lokalen Benutzer Users werden im Men Defi nitions Users verwaltet Bestimmen Sie im Drop down Men Log Level den von diesem Proxy generierten Informationsumfang Full Alle Daten werden protokolliert Access Log Nur die behandelten Daten werden protokolliert z B die verwendeten URLs die Benutzernamen und die IP Adressen der Clients None exept Content Filter Es werden keine Daten f r die Funktion Caching protokolliert Die Eintr ge des Content Filter Log werden weiterhin geschrieben Bes
309. m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Wichtiger Hinweis Default Gateway Behalten Sie die Default Einstellung As signed by remote bei M gliche weitere Einstellungen sind Static und None Username Tragen Sie hier den Benutzernamen ein den Sie von Ihrem Provider erhalten haben Password Tragen sie hier das Passwort ein das Sie von Ihrem Provider erhalten haben Uplink Failover on Interface Diese Funktion wird nur ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assigned by remote oder Static ausgew hlt wurde 175 System benutzen amp beobachten Bei einer Schnittstelle zum Internet k nnen Sie mit Hilfe eines zweiten Internetzugangs und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung einrichten Beachten Sie dabei dass das Internet Sicherheitssystem nur eine DSL Verbindung unterst tzt Eine Ausfallsicherung f r den Internetzugang kann z B aus einer Standleitung und einem DSL Zugang bestehen Bei einem Ausfall der prim ren Verbindung erfolgt dann automa tisch der Uplink ber den zweiten Internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetzwerkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erf
310. matisch wiederhergestellt Falls der Betrieb mit der defekten Festplatte fort 445 System benutzen amp beobachten 080 081 446 gesetzt werden soll ist ein Neustart des Sicherheitssystems notwendig HA check no link beat on interface retrying Die berwachung des Firewall Systems im Normal Modus mittels Link Beat ist fehlgeschlagen Der Versuch wird neu gestartet Falls die Funktionen nach mehreren Versuchen nicht gestartet werden kann erh lt der Administrator die Notification E Mail WAR 081 Falls Sie f r das HA System diese berwachungs funktion nicht einsetzen m ssen Si kein weiteren Schritte einleiten Nachdem vom Inter net Sicherheitssystem die Nachricht WAR 081 verschickt wurde erfolgt kein weiterer Versuch mehr die berwachung mittels Link Beat zu starten HA check interface does not support link beat check Die Funktion zur berwachung des Firewall Systems im Normal Modus mittels Link Beat konnte trotz mehrer Versuch nicht gestartet werden Falls es sich hierbei um eine Neuinstallation des HA Systems handelt und Sie die berwachung mittels Link Beat beabsichtigen vergewissern Sie sich bitte dass di Netzwerkkarten vom Internet Sicherheitssystem unterst tzt werden Des Weiteren pr fen Sie bitte auf beiden Fire wall Systemen ob f r die Datentransfer Verbin dung di link beat f hig Netzwerkkart ausg w hlt wu
311. me User name und Passwort Password definiert werden 5 5 3 POP3 Transparent POP3 Proxy Skip sourca destnaton networks Content Filter Virus Protecbon Spam Protection File Extension Filter Expression Filter POP3 ist die Abk rzung f r Post Office Protocol 3 und ist ein Protokoll um E Mails von einem Mail Server zu empfangen Das Gegenst ck zu POP3 ist das Protokoll SMTP SMTP steht f r Simple Mail Transfer Proto col Mit dem Protokoll wer den E Mails ber einen Mail Server versendet In diesem Men konfigurie ren Sie den POP3 Proxy f r eingehende E Mails Der POP3 Proxy arbeitet im Transparentmodus Die POP3 Anfragen auf Port 110 aus 330 System benutzen amp beobachten dem internen Netzwerk werden abgefangen und durch den Proxy ge leitet F r den Client ist dieser Vorgang v llig unsichtbar Es entsteht kein zus tzlicher Administrationsaufwand da am Client des Endan wenders keine Einstellungen ge ndert werden m ssen Hinweis fe Sicherheitsgr nden wird zum Herunterladen der E Mails vom Mail Server die Methode TOP nicht unterst tzt Nachrichten die mit TOP empfangen werden k nnen von POP3 nicht gescannt werden Die Clients sollten so konfiguriert sein dass f r den Empfang von E Mails die Methode RETR verwendet wird POP3 Proxy konfigurieren Beachten Sie dass in den Drop down Men s nur die Netzwerke zur Verf gung stehen die zuvor im Men Def
312. men bei AstarO uauananununununununnnnunananananen 10 Einf hrung in die Technologie ssssssssssnsnnnnnnnnnnn 11 Installation uzuzuu0unununununnnnnnanananananannnnnnnn ann anann 20 Systemvoraussetzungen uusenennonnnnonunnnnnnnanunnannnnn 21 Installationsanleitung uuu2uanananannnnnnanan anna 25 Software installieren nunuauuuananananannnnnnananan ann 25 Sicherheitssystem konfigurieren uzauauananananann 30 WebAdmin Werkzeuge zuauananununununununnnnunananananen 39 e KT EE 39 Das Verzeichnis usnunununnananananananannnnnnnnanananann 40 u SL E 40 Die Statusampel unununununnnnununanananananunnnnnnanananann 40 Das Auswahlfeld uuununununnnnnnunananananannnnnnananananann 41 Die Auswahltabelle ssssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 42 Das Drop down Men nunuauananananananannnnnnnnanananann 43 Das Hierarchiefeld u uasau0nananananannnnnnan ann ann 43 Online Hilfe ee NENNEN REENEN EEN EEN nn en EE EEN 45 Refresh 2 a aan 45 System benutzen amp beobachten nunrunenennenen 46 Grundeinstellungen System zusuanananunununununenn 48 Settings ERR ERRERERE RE RE RE RE RENE ENEE EE ERERERERR REN 48 Licensing uk KREE RE RE RE RENE RENE NEEN EE aap rinira anna 56 Up2Date Service ununununununnununanananananunnnnananananann 60 GEI JI TTT 69 Anti Virus AV Engines ururnennunennennnnunnanennnnnnen 77 Ce LTE 79 Remote Syslog Server ununun
313. men f r den SMB Account ein Password Tragen Sie in das Eingabefeld das Passwort f r den SMB Account ein Speichern Sie die Einstellungen durch einen Klick auf die Schaltfl che Save 415 System benutzen amp beobachten Bei der bertragung mit der Methode SMB CIFS Share werden die Host Share Name I ARM Log Files in einer Username a mit Gzip gepackten ee Ac CH Date bermit Ke SES telt Die Log Files be Host2Net IPSec VPN tunnel An already present Meet tunnel will not work finden sich in einem Verzeichnis das nach Jahr und Monat unterteilt ist Beispiel arm 2004 10 20041017 gz Die ARM Log Files werden generiert sobald die Schnittstelle zum Astaro Report Manager eingeschaltet und im Eingafeld Licensed IP Address eine g ltige IP Adresse eingegeben wurde Nach Konfi guration der Funktion ARM Remote Connection werden die ARM Log Files an den entsprechenden Server geschickt 416 System benutzen amp beobachten 5 10 Local Logs Log Files Im Verzeichnis Local Logs werden die vom System generierten Pro tokolle Logs verwaltet 5 10 1 Settings ER 3 Im Fenster Local Logging S s Di pi f hren Sie die Grundein Local Log File Archives Remote Log Fie Archives stellung f r die Log File Generierung durch Status Durch einen Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt gr n Wenn die Funktion ausgeschaltet i
314. mit der Rechner Performance oder mit dem Verbin dungsaufbau zur Gegenstelle schalten Sie diese Funktion bitte aus Wichtiger Hinweis Compression Mit Hilfe dieser Algorithmen k nnen Sie die IP Pakete komprimieren bevor sie verschl sselt werden 377 System benutzen amp beobachten Dieses System unterst tzt den Deflate Algorithmus 6 Falls Sie f r diese IPSec Policy noch keinen Namen definiert haben tragen Sie nun im Eingabefeld Name einen Namen ein 7 Erzeugen Sie die Policy durch einen Klick auf die Schaltfl che Add Die neue Policy wird anschlie end in der Tabelle IPSec Policies angezeigt 378 System benutzen amp beobachten 5 7 3 Local Keys PETER Im Men Local Keys ver er walten Sie das lokale Sg X 509 Zertifikat f r die Far ne ren S X 509 Authentifizierung Locat tunnel IP oddress vil s j definieren den Local IPSec Identifier und das locale RSA Key Schl ssel Paar f r die RSA Authentifizie rung Passphrase Plosso seloct key size and cick Save to generate the local RSA key A kou size of at least 2048 bits is recommended RSA Key Length Please select Save Local IPSec X 509 Key In diesem Fenster k nnen Sie f r X 509 Zertifikate die Sie zuvor im Men IPSec VPN CA Management erstellt haben die lokalen Schl ssel definieren Das Erstellen der X 509 Zertifikate wird in Ka pitel 5 7 6 ab Seite 389 beschrieben Local Certificate W hlen
315. mleiten Die Einstellungen f r einen Webserver hinter dem Internet Sicher heitssystem werden im Leitfaden Web Server DNAT beschrieben Sie finden den aktuellen Leitfaden unter der Internetadresse http www astaro com kb Hinweis Die Funktionalit t von Source Network Address Translation SNAT entspricht der von DNAT mit dem Unterschied dass statt der Zieladresse Destination Address der IP Pakete die Quelladres se Source Address umgeschrieben wird Dies kann in komplexen Netzwerken n tzlich sein um Antworten auf Verbindungen in andere Netzwerke oder auf andere Hosts umzuleiten Tipp Um eine einfache Anbindung von privaten Netzwerken an das externe Netzwerk Internet zu erreichen sollten Sie anstatt SNAT die Funk tion Masquerading verwenden Im Gegensatz zum dynamischen Masquerading handelt es sich bei SNAT um eine statische Adressumsetzung d h jeder internen IP Adresse wird genau eine extern sichtbare IP Adresse zugewiesen 199 System benutzen amp beobachten Hinweis Um den Port 443 HTTPS umzuleiten m ssen Sie im Men Sys tem WebAdmin Settings den WebAdmin TCP Port auf einen an deren Wert ndern z B 1443 Diese Funktion wird in Kapitel 5 1 9 im Abschnitt General Settings beschrieben Hinweis Da die Adressumsetzung vor der Filterung durch Paketfilterregeln erfolgt m ssen Sie im Men Packet Filter Rules die entsprechen den Regeln setzen Das Setzen der Paketfilterregeln wi
316. n A 0 0 02 1396 aner s Apr 0 00 use abin eron 3 oo 0 3 aao osz 3 apei Mm Aura zen Oestellt m 00 09 S900 NR D Arrch 901 use abin hrrpe ete btr iht 16599 0 0 ei 1236 War 3 Aptos 0 00 _ bin logger t https p locali wwerun D 0 0 0 9 300 2396 s AprOs 0 00 _ Ause abin kegi E eto Mtp weng 25374 0 2 6 7 23056 17409 3 096 00l I _ rariwte inden tpl ee ee ven A500 0 0 2 2 22724 per R 40 09 00 I _ var wte syscali pl vwrun 25894 0 0 0 2 2556 720 R 10 00 00 I AV Dinsps emt wwerun 25623 0 0 1 0 5445 2584 gt s 09 52 0 00 use sbin herps Jerc herpt ss on 0 7 5716 1982 gt s Aprl 6 03 Mse local bin alied L syslog 709 0 9 3 1 10424 8060 gt s Aprl 65 36 use local bin seli pi 70 0 0 0 0 7200 2166 s Aprl 9 00 ver sua sua din et gfe Ceef gat e SS Information Microsoft Internet Enplorer Sr f Interface Information In Et taste muer deser Tabelle werden alle inet asiz 192 169 5 217 Beast 192 160 5 255 Bank 288 288 98 08 AST RUNNING MULTICAST NTU 1500 Betten RX packets 37108 ode sl 0 ti J i mi e ee p eie h anan peaa E konfigurierten externen und eer RX krrengpizauc 6 2 Nb TX bytes l0646106 17 7 Wi e internen Schnittstellen auf io Link emcapiLocal Loopback inet 0812 127 0 0 1 Mask 255 0 0 0 ze UP LOOPBACK RUNNING ir Loan Betier gef h rt FX packets 65045 9 ertors O droppesiO Grertuns O frame 0 TX packers 65045 9 ertors O drapped O overnas 0 carrier 0 oollisions d v
317. n 2 Non Governmental Organizations Nicht staatliche Organisationen z B Vereinigungen Verb nde nicht gewinnorientierte Organisationen und Gewerkschaften 3 Cities Regions Countries Regionale Informationen z B Internetseiten von St dten Re gionen L ndern Stadtkarten 4 Education Enlightenment Bildungseinrichtungen z B Universit ten Hochschulen ffent liche Schulen Kinderg rten Erwachsenenbildung Weiterbildung W rterb cher und Enzyklop dien jeder Art 5 Political Parties Internetseiten ber und von politischen Parteien 6 Religion Internetseiten mit religi sem Inhalt z B Informationen zu den f nf Hauptreligionen und religi se Gemeinschaften die aus diesen Religionen entstanden 7 Sects Internetseiten zu Sekten z B Kulte Psycho Gruppen okkulte Gruppen Criminal_ Activities 8 Illegal Activities Beschreibungen zu illegalen Aktivit ten entsprechend der deutschen Rechtsprechung z B Anleitungen zu Mord oder zum Bau von Bomben Kinderpornografie 9 Computer Crime Anleitungen zu illegalen Manipulationen an elektronischen Ger ten z B Methoden der Passwortverschl sselung und entschl s selung Virenprogrammierung Kreditkartenmissbrauch 10 Hate and Discrimination Internetseiten mit Hasstiraden und diskriminierenden Inhalten z B rechts und linksextreme Gruppen sexistische und rassistische 282 System benutzen amp beobachten Ansichten und Inte
318. n Nk e eebe 194 TI 243 Schnittstellen Aktuelle bersicht 155 Downlink Bandwidth kbits 163 171 177 184 189 Einleitumng 154 Ethernet Netzwerkkarte 159 Hardware bersicht 157 Monitor Interface Usage 162 Notify when downlink usage below 96 164 Notify when downlink usage exceeds O 164 Notify when uplink usage below 96 163 Notify when uplink usage exceeds 163 PPP over Serial Modem elnrtchten 185 PPP over Serial Modem Line DEER 185 PPPoA DSL einrichten 180 PPPoE DSL einrichten 174 PPPoE DSL Verbindung 174 179 Proxy ARP cecnnn gt 160 QoS Status 162 171 177 183 189 Transparent Bridging Mode Uplink Bandwidth kbits 163 171 177 183 189 Uplink Failover on Interface ee 161 175 182 187 Virtual LAN 168 Virtual LAN einrichten 170 Zus tzliche Adresse 166 zus tzliche Adresse ZuUwelsen isee 166 Index Search Suche starten 465 Search deeg goe Sek Dud 465 Secure Shell 52 54 Services Filters Ach ea 145 SErVICES on nnaeenanenennnnnn nennen 141 Setting 48 Shut down 132 Shut down Restart 132 SIP SIP Proxy definieren 341 SMTP Advanced Settings 329 Content Filter 315 Deny RCPT Hacks 310 Domain Groups 307 Domain hinzuf gen und editieren 307 Domain Groups Tabelle 306 DoS Protection
319. n Der Filter wird durch einen Klick auf die Schaltfl che Set ausgef hrt Durch einen Klick auf die Schaltfl che Clear wird der Filter wieder zur ckgesetzt Ab diesem Zeitpunkt werden wieder alle Regelverlet zungen im Packet Filter Live Log angezeigt Durch einen Klick auf das Kontrollk stchen Pause Log k nnen Sie die Aktualisierung anhalten und wieder fortsetzen Beachten Sie dass nur die abgearbeiteten Regeln protokolliert wer den bei denen im Regelsatz unter Packet Filter Rules die Funktion Log aktiviert wurde Hinweis Current System Packet Filter Rules Im Fenster Current System Packet Filter Rules k nnen fortgeschrittene Administratoren in Echt zeit das Ergebnis der Filterregeltabelle sehen und deren Umsetzung im Kernel Des Weiteren werden auch alle systemgenerierten Filter regeln angezeigt Current System NAT Rules Im Fenster Current System NAT Rules werden alle definierten und systemgenerierten NAT Regeln aufgelistet 266 System benutzen amp beobachten Connection Tracking Table Im Fenster Connection Tracking Table wird der Netzwerkdatenverkehr analysiert und eine Liste mit den gegenw rtig erstellten Verbindungen dargestellt 267 System benutzen amp beobachten 5 56 Application Gateways Proxies W hrend der Paketfilter Packet Filter auf Netzwerk Ebene den Datenverkehr filtert wird durch den Einsatz von Proxies Appli cation Gateways die Sicherheit der Firewall zus tzlich auf Appli
320. n amp beobachten mathematisch voneinander abh ngig und stehen in einer einzigartigen Verbindung zueinander Daten die mit einem Schl ssel verschl sselt wurden k nnen nur mit dem anderen Schl ssel wieder entschl sselt werden Der Private Key kann nicht mit vertretbarem Aufwand vom Public Key abgeleitet werden Beide Gegenstellen einer IPSec VPN Verbindung ben tigen bei dieser Authentifizierungsmethode ihren eigenen Public Key und Private Key Das X 509 Zertifikat basiert hnlich wie die Authentifizierung mit RSA Keys auf den Schl sselpaaren Public Key und Private Key Ein X 509 Zertifikat entspricht dem Public Key mit zus tzlichen spezi fischen Informationen Dieses Zertifikat wird wird durch eine Certifi cate Authority CA Ihres Vetrauens signiert W hrend des Key Exchange werden die Zertifikate ausgetauscht und durch das lokal gespeicherten CA Zertifikat berpr ft Weitere Informationen zu Certificate Authority CA erhalten Sie in Kapitel 5 1 10 ab Seite 119 und in Kapitel 5 7 6 ab Seite 389 364 System benutzen amp beobachten 5 7 1 Connections Im Men Connections definieren Sie die lokalen Einstellungen f r einen neuen IPSec Tunnel oder editieren und beobachten die beste henden Verbindungen Global IPSec Settings Global IPSec Settings In diesem Fenster schalten Sie IPSec VPN durch einen Klick auf die Schaltfl che Enable Disable neben Sta tus ein und aus IKE Debugging Diese Funktion st
321. n Funktionen eingeschaltet sein Die folgenden Funktionen befinden sich im Men Packet Filter Advanced e Strict TCP Session Handling e Spoofing Protection Einstellung Strict e Validate IP Packet Length e Log FTP Data Connections e Log Unique DNS Requests Die folgende Funktion befindet sich im Men Packet Filter ICMP e Log ICMP Redirects Zus tzlich muss die folgende Funktion im Men Packet Filter I CMP ausgeschaltet sein e Firewall is Ping Visible Um den ICSA Labs Compliant Mode der Firewall zu starten klicken Sie auf die Schaltfl che Enable 131 System benutzen amp beobachten 5 1 19 Shut down Restart Mit Restart wird das Internet Sicherheitssystem heruntergefahren und wieder gestartet Der Restart kann je nach Hardware und Konfi guration bis zu 5 Minuten dauern Restart 1 ffnen Sie im Verzeichnis System das Men Shut down Restart 2 W hlen Sie im Drop down Men Action die Aktion Restart aus 3 Best tigen Sie Ihre Auswahl durch einen Klick auf die Schalt fl che Start 4 Beantworten Sie die Frage Do you really want to restart durch einen Klick auf die Schaltfl che OK Mit Shut down k nnen Sie das Internet Sicherheitssystem herunter fahren F r Applikationen ohne Bildschirm und oder LCD Display ist beson ders interessant dass nach dem das System heruntergefahren wurde ein akustisches Signal ert nt Endlos Beep mit einer Sekunde Pause Der Vorgang dauert je nach Hardware u
322. n Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge System benutzen amp beobachten Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Falls diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzuf h ren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus F r das Bandbreitenmanagement
323. n NTP Server eingerichtet haben Hinweis Set Time Stellen Sie das Datum und die Uhrzeit ein Beachten Sie bei der Eingabe des aktuellen Datums das Aus gabedatum des License Key Falls das Ausgabedatum des Keys nach dem aktuellen Datum liegt wird die Lizenz deaktiviert Es wird nicht automatisch die Evaluation License 30 Tage Testlizenz aktiviert Wichtiger Hinweis 3 Speichern Sie Ihre Einstellungen durch einen Klick auf die Schaltfl che Save Die Uhrzeit des Systems wird nun aktualisiert Systemzeit mit NTP Server synchronisieren Bevor die Uhrzeit des Internet Sicherheitssystems mit einem externen System synchronisiert werden kann muss dieses als NTP Server definiert werden Der NTP Server wird dabei als Netzwerk bestehend aus einem Rechner definiert Das Definieren von Netzwerken wird ausf hrlich in Kapitel 5 2 ab Seite 134 beschrieben Wenn der NTP Server bereits definiert ist beginnen Sie mit Schritt 6 1 ffnen Sie im Verzeichnis Definitions das Men Networks 2 Vergeben Sie im Eingabefeld Name einen eindeutigen Namen Erlaubte Zeichen sind Das Alphabet die Zahlen O bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich 3 Tragen Sie nun die IP Adresse des NTP Servers ein 51 System benutzen amp beobachten 4 Im Eingabefeld Subnet Mask geben Sie die Netzwerkmaske 255 255 255 255 ein 5 Best tigen Sie nun Ihre Eingaben durch einen Klick auf die Schaltfl che Ad
324. n antwor tet z B der DNS Server Ihres Internet Service Providers Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein 188 System benutzen amp beobachten QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzuf hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Ein gabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung Downlink Bandwidth kbits Diese Einstellung wi
325. nada und die USA beteiligt Inzwischen liegt die Ver sion 2 1 der Common Criteria vor die als International Standard ISO IEC 15408 weltweit zur Beurteilung eines Produkts G ltigkeit hat Sie k nnen das Sicherheitssystem so konfigurieren dass sie der Defi nition der Common Criteria entspricht Die Systemkonfiguration die diesen Anforderungen entspricht wird als Bewertete Konfiguration Evaluated Configuration bezeichnet Bei der Bewertung des Sicher heitssystems wurden allerdings nicht alle Sicherheitsfunktionen oder alle Methoden zur Erreichbarkeit der erforderlichen Stufe ber ck sichtigt Diese Sicherheitsfunktionen und Methoden k nnen von Ihnen trotzdem eingesetzt werden allerdings l uft Ihre Firewall dann nicht mehr in der Bewerteten Konfiguration 129 System benutzen amp beobachten Hinweis Neben den Sicherheitsfunktionen die in diesem Men automatisch f r die Bewertete Konfiguration eingeschaltet werden m ssen auch einige Einstellungen separat manuell durchgef hrt werden Die Richtlinien f r eine vollst ndig konforme Konfiguration gem Com mon Criteria sind im CC Guide beschrieben Der CC Guide ist auf http www astaro com kb verf gbar Die Zusatzdokumentation Guides zur Astaro Security Gateway Soft ware finden Sie ber die Navigation auf der linken Seite im Unterver zeichnis Astaro Manuals and Guides Um den Common Criteria Mode auf dem Sicherheitssystem zu star ten klicken Sie auf die Schaltf
326. nananananananannnnnnananananann 8l Inhaltsverzeichnis Inhalt 5 1 8 5 1 8 1 5 1 8 2 5 1 8 3 5 1 8 4 5 1 8 5 5 1 8 6 5 1 9 5 1 10 5 1 11 5 1 12 5 1 13 5 2 5 2 1 5 2 2 5 2 3 5 2 4 5 3 5 3 1 5 3 2 5 3 2 1 5 3 2 2 5 3 2 3 5 3 2 4 5 3 2 5 5 3 2 6 5 3 3 5 3 4 Seite User Authentication ke NEEN NEEN EEN EE nn 83 Local USerS siei usa iaaa Diara 85 Novell eDirectory sssssssnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 86 e UK 91 SAM NT 2000 XP zeernunnnnnnnnnennunnnnnnennnnnnn nen nun 96 Active Directory NT Domain Membership 98 LDAP Server unusununnnannannunnunnunnnannannunnannunnnnnennnn 102 WebAdmin Settings uauananananunununununnnnunananananen 116 WebAdmin Site Certificate unuunennunnnnenennannan en 119 High Availability unununununnnnanananananannnnnnnnan anna 122 Certificationsi n un las 129 Shut down Restart sek NENNEN NEEN ENNER Ek 132 Netzwerke und Dienste Definitions 134 Networks anna genen 134 Services rennen ehren 141 UI CHEN 146 Time Events ue RN REENEN ERKENNEN REENEN nen 150 Netzwerkeinstellungen Network une KKK ek 152 Hostname DvnDNS EEN RK RER ENER RK ERR ENR ER ann nme 152 Interfaces ua a ein 154 Standard Ethernet Interface nursunennunnnnennnnenen 159 Additional Address on Ethernet Interface 166 Virtual LAN kees NN REENEN ERKENNEN REENEN nen 168 PPPoE DSL Verbindun
327. nbieters oder besuchen Sie das Astaro Bulletin Board unter http www astaro org 38 WebAdmin Werkzeuge 4 WebAdmin Werkzeuge Mit dem Konfigurationstool WebAdmin k nnen Sie alle Einstellungen am Internet Sicherheitssystem durchf hren In diesem Kapitel wer den die Werkzeuge und Hilfsmittel von WebAdmin erl utert Das Konfigurationstool WebAdmin besteht aus f nf Komponenten 1 Info Box 2 Verzeichnis 3 Men 4 Online Hilfe 5 Refresh 4 1 Info Box System gt gt Administrator Contact E Mail Addresses sion Protection Packet Filter In der linken oberen Ecke wird die die Systemzeit und die Zeitzone angezeigt Die hinterlegte Info Box wird ge ffnet wenn Sie mit der Maus die Zeitangabe ber h ren Folgende Informationen werden angezeigt Uptime Dokumentiert die Verf gbarkeit Ihres Internet Sicherheits systems d h den Zeitraum seit dem das System ohne Unter brechung verf gbar ist 39 WebAdmin Werkzeuge User Zeigt an welcher Benutzer von welchem Client aus gerade auf den WebAdmin zugreift Last Login Zeigt an wann und von welchem Client aus das letzte Mal auf den WebAdmin zugegriffen wurde 4 2 Das Verzeichnis Tue Jun 14 2005 15 51 49 ber das Verzeichnis gelangen Sie in S die einzelnen Men s um das Internet Hostname DynDNS H H PR Pi a SE Sicherheitssystem zu administrieren Damit Sie im Handbuch die entspre EEN chende Funktionsbe
328. nd Konfiguration bis zu 5 Minuten Erst nachdem Sie das System heruntergefahren haben zu erkennen an der Power down Ausgabe d rfen Sie es ausschalten Wenn das System vor dem Ausschalten nicht ordnungsgem her untergefahren wurde muss beim n chsten Startvorgang die Integrit t des Filesystems berpr ft werden dies verz gert den Startvorgang Im schlimmsten Fall k nnen sogar Daten verloren gehen Wenn der Startvorgang erfolgreich war ert nt ein akustisches Signal F nf Beeps in Folge 132 System benutzen amp beobachten Shut down 1 ffnen Sie im Verzeichnis System das Men Shut down Restart W hlen Sie im Drop down Men Action die Aktion Shut down aus Best tigen Sie Ihre Auswahl durch einen Klick auf die Schalt fl che Start Beantworten Sie die Frage Do you really want to shut down durch einen Klick auf die Schaltfl che OK 133 System benutzen amp beobachten 5 2 Netzwerke und Dienste Definitions Netzwerke und Dienste werden im Verzeichnis Definitions f r alle weiteren Einstellungen z B Paketfilter VPN und Proxies zentral defi niert Dies hat den Vorteil dass Sie sp ter einfach mit den jeweiligen Bezeichnungen Name arbeiten k nnen F r eine weitere Verein fachung sorgt die M glichkeit Netzwerke und Dienste zu gruppieren Wenn Sie sp ter diesen Gruppen bestimmte Einstellungen zuweisen gelten diese f r alle darin enthaltenen Netzwerke und Dienste Grup pen k nnen auc
329. nen Sie zus tzlich bestimmte Internetseiten deren Inhalt eigentlich keinem der Surf Protection Categories Themen entsprechen f r den Zugriff ausschlie en Die Zugriffskontrollliste wird durch einen Klick auf die Zeile mit dem Eintrag z B O entries ge ffnet Tragen Sie die Internetadressen untereinander in das Eingabefeld ein Kommentare m ssen durch das Zeichen am Anfang jeder Zeile gekennzeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibe halten Custom HTML Content Removal Dies ist eine Zusatzfunktion von Block SP Categories Mit dieser Zugriffskontrollliste k nnen Sie in Echtzeit Internetseiten filtern Online Filtering die bestimmte Be griffe enthalten Texte die einen Begriff aus der Zugriffskontrollliste enthalten werden durch einen HTML Kommentar ersetzt 296 System benutzen amp beobachten Die Zugriffskontrollliste wird durch einen Klick auf das Verzeichnis mit dem Eintrag z B O entries ge ffnet Tragen Sie die Ausdr cke untereinander in das Eingabefeld ein Kommentare m ssen durch das Zeichen am Anfang jeder Zeile gekennzeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibe halten Surf Protection einschalten Profile hinzuf gen 1 Schalten Sie das Modul im Fenster Surf Protection Content
330. nes F r die Sicherheits Abonne ments Virus Protection for E mail und Virus Protection for Web stehen zwei voneinan der unabh ngige Anti Virus Engines zur Verf gung Die OP3 Anti Vinis Engines Astaro AV Engine und die Open Source AV Engine Das Sicherheitssystem un terst tzt zus tzlich einen Hardware Accelerator mit einem eigenst n digen Virenscanner Die Anti Virus AV Engines k nnen f r die Proxies HTTP SMTP POP3 aktiviert werden Die AV Engines werden automatisch eingeschaltet nachdem die entsprechenden Sicherheits Abonnements E mail Secu rity und Web Security auf dem Sicherheitssystem installiert sind Die Sicherheits Abonnements Subscriptions werden in Kapitel 5 1 2 auf Seite 56 beschrieben Tipp Die beiden Software Anti Virus Engines nutzen f r den Scann Prozess unterschiedliche Verfahren Wenn Sie bei den Proxies immer beide Software Anti Virus Engines einzuschalten wird daher eine hohe Sicherheitsstufe erreicht 77 System benutzen amp beobachten Hardware Engine Mit dem Hardware Accelerator wird der Vorgang zum Scannen und Auffinden von Virus Signaturen im e mail und webbasierten Daten verkehr um ein vielfaches beschleunigt Die Karte nutzt daf r eine eigenst ndige Version der leistungsstarken Open Source Software Sie schalten den Hardware Anti Virus Scanner durch einen Klick auf die Schaltfl che Enable ein Tipp Et auf Ihrem System der Hardware Accelerator instal
331. net sein muss N Sicherheitshinweis Bei der Benutzerauthentifizierung mittels Stand alone LDAP Server werden ausschlie lich Klartextpassw rter verwendet Ohne die TLS Verschl sselung TLS encryption ist es somit in ungeswitchten Umgebungen m glich Passw rter die vom Sicherheitssystem gesendet werden mitzulesen 103 System benutzen amp beobachten Hinweis f or die Benutzerauthentifizerung mittels LDAP Server muss im u D sein Men Proxies DNS der DNS Proxy eingeschaltet und konfiguriert Microsoft Active Directory Server einstellen Auf dem Stand alone LDAP Server muss ein Benutzer eingerichtet sein der die Leserechte f r das gesamte Verzeichnis hat N Sicherheitshinweis Stellen Sie sicher bekommt dass dieser Benutzer nur die Leserechte Bei Microsoft Active Directory AD sollte der Abfrage Typ MemberOf verwendet werden da sich ein bereits vollst ndig einge richteter Verzeichnisdienst einfach erweitern l sst Das Verzeichnis Directory kann wiederum um selbstdefinierte Attribute erweitert werden Diese Attribute die f r jeden Benutzer einzeln auf dem Directory Server gesetzt werden m ssen geben durch den Wert oder den Inhalt Auskunft welche Berechtigungen dem Benutzer zugewiesen wurden Lech Cansale Root Active Directory livers and Computers Dat Done pas me am Se mas e DS SARA C pze r Tee zavotes 104 In diesem Konfigurations Bei spiel wi
332. neuen Remote Key ein Wenn Sie den IPSec Remote Key f r eine Standard Verbindung konfigurieren fahren Sie mit Schritt 3 fort Virtual IP optional Mit dieser Funktion k nnen Sie einem Road Warrior eine virtuelle IP Adresse zuweisen Dies ist die ein zige Methode eine virtuelle IP Adresse manuell auszutauschen 383 System benutzen amp beobachten Wenn Sie in das Eingabefeld eine IP Adresse eintragen dann muss diese auch auf dem Road Warrior eingetragen werden Die Funktion Virtual IP muss eingeschaltet werden wenn Sie f r den IPSec Tunnel mit einem Road Warrior die Funktion NAT Traversal verwenden und L2TP Encapsulation ausgeschaltet ist Die hier eingetragene IP Adresse darf sonst nirgends ver wendet werden und darf nicht Teil eines angeschlossenen Sub Netzwerks sein Achtung 3 W hlen Sie im Drop down Men Key Type die IKE Authentifizie rungsart aus Die weiteren Einstellungen richten sich nach dem ausgew hlten Key Type PSK W hrend des Key Exchange wird passend zum verwende ten IKE Main Mode nur IPv4 Address als VPN Identifier der Gegenstelle unterst tzt Tragen Sie in das Eingabefeld Pre shared Key ein Passwort ein Falls Sie mehrere Road Warrior Verbindungen konfigurieren m chten ben tigen Sie f r alle Verbindungen nur einen PSK N Sicherheitshinweis Setzen Sie sichere Passw rter Ihr Vorname r ckw rts buchstabiert ist beispielsweise kein ausreichend sicheres Passwort besser w re z B xfT
333. nformiert sie welche Alan euer from eingehenden E Mails in den letzten 24 Stunden unter Qua rant ne gestellt wurden Die E Mail enth lt eine bersicht der gefilterten Nachrichten i mit s mtlichen Informatio nen zu Ankunftszeit Gr e 4 Absender Thema und die EE Meldungs ID f r den Post E E A MASTE Die gefilterten Ge Nachrichten sind in umge kehrter chronologischer Reihenfolge aufgelistet beginnend mit der Neuesten Sie schalten die Funktion in der Zeile Status durch einen Klick auf die Schaltfl che Enable ein Statusampel zeigt Gr n Domains W hlen Sie hier die Domains aus f r die eine bersicht erstellt werden soll Es k nnen nur Domains ausgew hlt werden die zuvor im Men Proxies SMTP definiert wurden Skip Addresses Falls f r bestimmte E Mail Adressen keine t gliche Spam bersicht erstellt werden soll tragen Sie die entsprechende vollst ndige Adresse in die Kontrollliste ein Die Funktionsweise der Zugriffskontrollliste ist identisch mit dem Hierarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben 353 System benutzen amp beobachten User spam realising Mit dieser Funktion haben die Benutzer durch einen Link in der Daily Spam Digest die M glichkeit Informationen zu den in Quarant ne genommenen Nachrichten selbst anzufordern ohne den Administrator kontaktieren zu m ssen Falls eine zuvor in Quarant ne genommene E Mail nicht mehr verf gbar ist erh lt
334. ng Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die Masquerading Regel W hlen Sie im Drop down Men Rule Type die Funktion Masquerading aus Anschlie end ffnet sich ein erweitertes Eingabefenster W hlen Sie im Drop down Men Network ein Netzwerk aus W hlen Sie im Drop down Men Interface eine Netzwerkkarte aus Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Nach erfolgreicher Definition wird die Masquerading Regel in die Ta belle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung 203 System benutzen amp beobachten Weitere Funktionen Masquerading editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Masquerading l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 3 5 9 Load Balancing Add New NAT Rule Mit Load Balancing k n iR nen Sie auf den Ports an kommende Datenpakete z B SMTP oder HTTP auf verschiedene Server hinter dem Internet Sicherheits system verteilen Rude Type Pre Balanding Target Post Balanang Target Group Beispiel Sie haben in Ihrer DMZ zwei HTTP Ser ver mit den IP Adressen 192 168 66 10 und 192 168 66 20 Mit Load Balancing k nnen Sie nun die auf der externen Netzwerkkarte f r den Dienst HTTP ankommenden Datenpakete
335. ng ist ein Fehler aufgetreten Der Versuch wird ber einen anderen Authentisie rungs Server wiederholt System Up2Date No new System Up2Date Packages available Es sind keine neuen System Up2Date Paket ver f gbar Ihr Internet Sicherheitssystem ist auf dem neusten Stand System Up2Dat succeeded Prefetched new System Up2Date package s Ein oder mehrere neue System Up2Date Pakete wur den erfolgreich auf dem Internet Sicherheits 320 321 322 323 354 System benutzen amp beobachten system ingespielt Weiter Informationen zum neuen Up2Date Paket erhalten Sie in der Notifi cation E Mail Weitere Informationen zu System Up2Date erhalten Sie in Kapitel 5 1 3 ab Seite 60 System Up2Date failed Invalid License Der System Up2Date ist fehlgeschlagen Sie haben kein ntsprechend g ltige Lizenz System Up2Date Started in HA Master mode Auf dem Internet Sicherheitssystem im Normal Mo dus Master des High Avialability Systems wurde der System Up2Date gestartet System Up2Date New System Up2Dates installed Ein oder mehrer System Up2Date Paket wurden erfolgreich auf dem Internet Sicherheitssystem installiert Weitere Informationen rhalten Si in der Notification E Mail System Up2Date Started System Up2Date Installer Die Installation ines oder mehrerer System Up2Date Pakete wurde gestartet Pattern Up2Date su
336. ngabe user domain com e Alle E Mails einer bestimmten Domain sollen nicht gescannt wer den Eingabe domain com Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben File Extension Filter Die Firewall filtert die Anh nge Attachments mit den Erweiterungen aus der Kontrollliste Die verd chtige Mail wird angenommen kommt aber in Quarant ne Sie wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden Expressions Filter Mit dieser Funktion k nnen alle E Mail Texte und angeh ngte Textdateien die durch den POP3 Proxy gehen anhand be stimmter Ausdr cke Expressions gefiltert werden Verd chtige Mails werden blockiert Die Ausdr cke werden in der Kontrollliste in Form von Perl Compatible Regular Expressions definiert Weitere Informationen zu Regular Expressions finden Sie im Inter net indem Sie mit Ihrer Suchmaschine nach Perl regular expressions tutorial suchen Message Style In diesem Ee Drop down Men k nnen CC TE Sie einstellen wie umfang e reich die Meldung f r eine in Quarant ne genommene E Mail erstellt werden soll Wenn alle technischen De tails aufgef hrt werden sollen stellen Sie Verbose ein Mit der Einstellung Normal werden nur die grunds tzlichen Informationen Virus Protection OB
337. nie ein Auf diese Weise k nnen Sie den Namen entsprechend w hlen z B HTTP Zugriff 93 System benutzen amp beobachten 10 11 94 F gen Sie zwei Bedingungen hinzu 1 Bedingung Das Feld NAS Identifier muss einem String laut folgender Tabelle entsprechen Proxytyp NAS Identifier entspricht String HTTP http L2TP over IPSec Els PPTP pptp SOCKS socks SMTP smtp WebAdmin Access webadmin Surf Protection Profilname 2 Bedingung Die Windows Gruppe des zugreifenden Benutzers muss der in Schritt 2 angelegten Benutzergruppe entsprechen Nur wenn vom Benutzer beide Bedingungen erf llt werden wird der Zugriff erlaubt Stellen Sie das Profil so ein dass nur eine verschl sselte Ver bindung erlaubt wird indem Sie im Register Verschl sselung die Funktion Keine Verschl sselung ausschalten Stellen Sie das Profil so ein dass eine unverschl sselte Authenti fizierung CHAP erlaubt wird indem Sie im Register Authentifi zierung die Funktion verschl sselte Authentifizierung CHAP ausschalten Belassen Sie bei allen anderen Profil Einstellungen die vorein gestellten Werte Starten Sie das Konfigurationstool WebAdmin und ffnen im Verzeichnis System das Men User Authentication Schalten Sie die Funktion im Fenster RADIUS Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein Statusampel zeigt Gr n System benutzen amp beobachten Address or Hostname Tragen Sie hi
338. nition wird die Load Balancing Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen weitere Funktionen zur Verf gung 205 System benutzen amp beobachten Weitere Funktionen Load Balancing editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Load Balancing l schen Durch einen Klick auf die Schaltfl che delete wird der Eintrag aus der Tabelle gel scht 5 3 6 DHCP Service a Das Dynamic Host Configu ration Protocol DHCP weist SESCH den angeschlossenen Rechnern Clients aus einem festgeleg ten Bereich von IP Adressen automatisch Adressen zu und spart so bei gr eren Netzwerken viel Konfigurationsarbeit Des Weiteren kann den Clients die Adresse des Default Gateways Routers und der zu st ndigen Nameserver DNS zugewiesen werden Neben der einfacheren Konfiguration der Clients und der M glichkeit mobile Rechner problemlos in unterschiedlichen Netzwerken zu betrei ben lassen sich in einem DHCP Netzwerk Fehler einfacher lokalisie ren da die Konfiguration des Netzwerks geht es um die Adressen prim r von der Konfiguration des DHCP Servers abh ngt Au erdem lassen sich Adressbereiche effektiver nutzen da keineswegs alle Hosts gleichzeitig im Netzwerk aktiv sind Die IP Adressen k nnen so je nach Bedarf nacheinander an verschiedene Hosts vergeben werden Das Men DHCP Service s
339. nktion unterst tzt Wichtiger Hinweis Device IP Weisen Sie jedem Sicherheitssystem innerhalb der HA Ger tegruppe eine IP Adresse aus einem Class C Netzwerk zu Die IPs m ssen in einem Adressbereich liegen und d rfen innerhalb dieser Ger tegruppe nur einmal verwendet werden Beispiel Das Internet Sicherheitssystem 1 erh lt die Device IP 10 0 14 1 und das Sicherheitssystem 2 die Device IP 10 0 14 2 126 System benutzen amp beobachten F r die Datentransfer Verbindung kann nur ein Class C Netz werk Netzwerkmaske 255 255 255 0 verwendet werden Die Bit Masken Darstellung kann hier nicht eingegeben werden Das f r den Datenaustausch definierte Netzwerk darf nirgends sonst verwendet werden Hinweis Serial I nterface optional Zus tzlich zur Datentransfer Ver bindung kann die berwachung des aktiven Systems durch das Hot Standby System ber die serielle Schnittstelle erfolgen ber diese Verbindung erfolgt kein Datenaustausch W hlen Sie im Drop down Men die entsprechende serielle Schnittstelle aus Wenn Sie nun die Eingaben wie nachfolgend beschrieben speichern wird das System im Anschluss heruntergefahren und sofort wieder gestartet Hinweis Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Das System 1 wird nun neu gebootet Falls eine Tastatur ange schlossen ist blinkt auf dem Keyboard die LED Anzeige Num Lock Sobald das System den Hot Standby Modus erreicht
340. nn die Funktion QoS oder Monitor Interface Usage eingeschaltet ist In dieses Eingabemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetver bindung bei einem ADSL Zugang betr gt die Downlink Band breite z B 768 kBit s bei einer 2 Megabit Festverbindung z B 2048 kBit s Notify when uplink usage below Diese Einstellung wird nur angezeigt wenn die Funktion Monitor Interface Usage eingeschaltet ist Stellen Sie mit dem Drop down Men den unteren Grenzwert f r den Uplink ein Notify when uplink usage exceeds Diese Einstellung wird nur angezeigt wenn die Funktion Monitor Interface 163 System benutzen amp beobachten 164 Usage eingeschaltet ist Stellen Sie mit dem Drop down Men den oberen Grenzwert f r den Uplink ein Notify when downlink usage below Diese Einstellung wird nur angezeigt wenn die Funktion Monitor Interface Usage eingeschaltet ist Stellen Sie mit dem Drop down Men den unteren Grenzwert f r den Downlink ein Notify when downlink usage exceeds Diese Einstellung wird nur angezeigt wenn die Funktion Monitor Interface Usage eingeschaltet ist Stellen Sie mit dem Drop down Men den oberen Grenzwert f r den Downlink ein MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP ve
341. nnennunnnnnnennunnnn nen nun 402 PPTP IPSec VPN unusurnennunnanenennunnnnenennunnanen nme 402 Intrusion Protection EEN EEN ENNER Ek 402 EE 402 Glen e 403 HTTP Proxy Usage nuuunnnnnunnunnunnnunnnnn un nun nun nun NEEN 403 Executive Report ununenununnnnununanananannnnnnnnanananann 404 Accounting uuuuuuanananananananununununununnnnunanananananen 405 Advanced TEE 407 Remote Management Remote Management 410 Astaro Command Center ACC z zuasananununun en en 410 Astaro Report Manager ARM uuuuusunennnannannen 411 Inhalt 5 10 5 10 1 5 10 2 5 10 3 5 10 3 1 5 10 3 2 5 10 3 3 5 11 5 11 1 5 11 2 5 11 3 5 12 Glossar I nhaltsverzeichnis Seite Local Logs Log Files ssssssssnnnnnnnnnnnnnnnnnnnnnnnnnnn 417 Settings uzuauananananununununununnnnnnananananananunnnnnnanananann 417 Local Log File Ouer enee ERKENNEN RRE EN 421 Browse uuunnnnnnnnnunnnunnnunnnunnnunnnnnnnnnunnnunnnunnnunnnnnnen 422 Log Files zuauauananunununununununnnnununanananannnnnnnnanananann 426 Notification Codes unununnananananananannnnnnnnanananann 431 HTTP Proxy Meldungen u2u2n nanannnnananananann 462 Online Help User Manual nunuauanananananunununununenn 465 Search unuauauanananananununununununnnnunanananananunnnnnnanananann 465 Glossary uuunununununnnnununanananannnnnnnnanananananan un un un KEREN 465 User Manual zususuununenunununnnnunanananananannnnnnanan
342. nner clamd wird nicht ausgef hrt ein Restart wurde durchgef hrt spam release http daemon not running restarted spam release http daemon wird nicht ausgef hrt ein Restart wurde durchgef hrt Root partition mounted at is filling up please check Die Root Partition im Verzeichnis f llt sich tmpfs partition mounted at opt tmpfs is filling up please check Die tmpfs Partition im Verzeichnis opt tmpfs f llt sich secure application partition mounted at var sec is filling up please check Die Secure Application Partition im Verzeichnis var sec f llt sich logfile partition mounted at var log is filling up please check Die Log File Partition im Verzeichnis var log f llt sich storage application partition mounted at var storage is filling up please check Die Storage Application Partition im Verzeichnis var storage f llt sich 155 161 162 163 164 165 166 System benutzen amp beobachten Up2Date partition mounted at var up2date is filling up please check Die Up2Date Partition im Verzeichnis var up2 date f llt sich tmpfs partition mounted at opt tmpfs is short of inodes please check Die tmpfs Partition im Verzeichnis opt tmpfs wird knapp bitte pr fen secure application partition mounted at var sec is short of inodes please check Die Secure Application Partition im Verzeichnis var sec wird knapp bitte pr
343. notifications Wednesday June 08 2005 notifier 2005 06 08 log gz 1357 di checked entries Date Im Unterverzeichnis wird bei den alten Protokollen der Tag und das Datum angezeigt P Durch einen Klick auf das Ordner Symbol kehren Sie in die bersicht zur ck af Dies ist ein Protokoll von heute Durch einen Klick auf das Sym bol ffnen Sie das Live Log Fenster EI Dies ist ein archiviertes Protokoll Durch einen Klick auf das Symbol wird das Log Fenster ge ffnet 424 System benutzen amp beobachten File Count Name Beim heutigen Protokoll wird in dieser Spalte der Pfad zur Log Datei und die Meldung Live Log angezeigt Bei den archivierten Log Dateien steht in dieser Spalte der Datei namen Filters Mit der Funktion Filters k nnen Sie aus der Tabelle Protokolle Log Files mit bestimmten Attributen herausfiltern Diese Funktion erleich tert das Managen von gro en Netzwerken da Protokolle eines be stimmten Typs bersichtlich dargestellt werden k nnen Protokolle filtern L Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet 2 Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Group Falls Sie Protokolle einer bestimmten Gruppe filtern m chten w hlen Sie diese im Drop down Men aus Month Mit diesem Drop down Men filtern Sie Protokolle aus einem bestimmten Monat Ty
344. nternet einzigartig und wird an Unter nehmen von der Internet Assigned Numbers Authority I ANA ausgestellt Die OID der Astaro AG ist z B 1 3 6 1 4 1 9789 Falls Sie noch keine OlID Nummer haben k nnen Sie diese direkt bei der TIANA unter der Internetadresse www iana org beantragen berlegen Sie im ersten Schritt wie Sie diese OID Nummer am besten Ihrer Netzwerkstruktur anpassen und erweitern Beachten Sie dass f r jedes Benutzerattribut eine eigene OID ben tigt wird F r die Erstellung weiterer Attribute muss die Microsoft Manage ment Console zuvor um das Active Directory Schema erg nzt werden Des Weiteren m ssen Sie gew hrleisten dass Sie dieses Schema bearbeiten bzw erweitern und ver ndern d rfen Schritt 1 Active Directory Schema freigeben 1 Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema Klicken Sie mit der linken Maustaste auf die Schaltfl che Operations Master Anschlie end ffnet sich das Fenster Change Schema Master Markieren Sie das Optionsfeld The Schema may be modified on this Domain Controller Speichern Sie die Eingabe durch einen Klick auf die Schaltfl che OK 107 System benutzen amp beobachten Sie sind nun berechtigt das Active Directory Schema zu bearbeiten Schritt 2 Neues Attribute erstellen 1 Klicken Sie mit der rechten Maustaste unter Active Directory Schema auf das Verzeichnis Attribute Klicken Sie mit de
345. ntrag bei behalten Die Anzahl der Patterns wird anschlie end im Feld angezeigt Wenn die Firewall nun eine E Mail von einer Adresse aus der Kontrollliste empf ngt wird diese mit der Fehlermeldung 5xx und dem Kommen tar Your address envelope or header is blacklisted at this site zur ckgesendet Use RBL Mit der Funktion Realtime Blackhole Lists RBL k nnen externe Datenbanken mit den Ihnen bekannten Spam Hosts abge fragt werden Die E Mails die von einer Domain aus der Datenbank in der Kontrollliste zugesendet wurden werden zur ckgewiesen Aktion Reject Im Internet werden mehrere Dienste dieser Art angeboten Durch diese Funktion kann der Umfang an unerw nschten E Mails stark reduziert werden In der Kontrollliste sind bereits Datenbanken vordefiniert Diese Da tenbanken werden von Astaro nur empfohlen Astaro bernimmt keine Gew hr f r den Inhalt dieser Datenbanken Einen weiteren kommerziellen Dienst finden Sie unter der Internet adresse http www mail abuse com 309 System benutzen amp beobachten Die Internetadressen der Datenbanken werden im Fenster Feature Settings in die Kontrollliste RBL Zones eingetragen Die Funktionsweise der Kontrollliste ist identisch mit dem Hierar chiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben Deny RCPT Hacks Der Proxy akzeptiert keine E Mails die eine Absenderadresse mit den Zeichen oder einem zus tzlichen enth lt Des Weiteren werden auch E M
346. nts oder Server Wichtiger Hinweis Um eine einwandfreie Funktion des SMTP Relay zu gew hrleisten muss ein g ltiger Nameserver DNS aktiviert sein Die Firewall Meldungen Notifications an den Administrator werden auch bei abgeschaltetem SMTP Proxy verschickt Beachten Sie dazu auch die Beschreibung zur Einstellung Route Target 304 System benutzen amp beobachten SMTP Proxy konfigurieren 1 ffnen Sie im Verzeichnis Proxies das Men SMTP 2 Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein 3 F hren Sie im Fenster Global Settings die Grundeinstellungen durch Hostname MX Tragen Sie hier den Hostnamen ein Wenn Sie TLS Verschl sselung verwenden m chten muss dieser Hostname identisch sein mit dem in Ihrer DNS Zone an gegebenen MX Record Mail Exchanger Ansonsten werden andere SMTP Server eventuell die Auslieferung von E Mails mit TLS verweigern Wichtiger Hinweis Postmaster Address Geben Sie hier die E Mail Adresse des Postmasters ein 4 Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che Save 5 W hlen Sie im Fenster Allow Relay from die Netzwerke oder Hosts aus die in der Lagen sein sollen ber den SMTP Proxy E Mails zu versenden N Sicherheitshinweis Die Nachrichten die von diesen Netzwerken aus versendet werden werden von Spam Protection nicht gescant Von den Hosts die nicht im Auswahlfeld Selected enthalten sind k nnen nur E Mail
347. nzugef gt Beim Beenden der Verbindung werden die Paketfilterregeln wieder entfernt Die Funktion Auto Packet Filter ist f r die Verbindungs Typen Standard und Road Warrior verf gbar 369 System benutzen amp beobachten 370 N Sicherheitshinweis Wenn Sie die Security Policy konsequent durchf hren m chten schalten Sie die Funktion Auto Packet Filter aus und setzen stattdessen die entsprechende Paketfilterregel im Men Packet Filter Rules Strict Routing Wenn die Funktion eingeschaltet ist On er folgt das VPN Routing nicht nur mit der Zieladresse sondern in bereinstimmung mit der Quell und der Zieladresse Bei eingeschaltetem Strict Routing ist es m glich von verschie denen Quelladressen zu einem Netzwerk gleichzeitig unver schl sselte und verschl sselte Verbindungen einzustellen Wenn die Funktion Strict Routing ausgeschaltet ist Off k n nen durch Setzen von Source NAT Regeln weitere Netzwerke und Hosts an den IPSec VPN Tunnel angeschlossen werden Die Funktion Strict Routing kann nur beim Verbindungs Typ Standard ein und ausgeschaltet werden Bei allen anderen Ver bindungs Typen ist die Funktion immer eingeschaltet W hlen Sie im Fenster Endpoint Definition die Endpunkte des IPSec Tunnels aus Local Endpoint W hlen Sie im Drop down Men den lokalen Endpunkt aus W hlen Sie hierf r immer die Netzwerkkarte aus die in Richtung des anderen Endpunktes zeigt Remote Endpoint W hlen Sie im Dr
348. odus je ie 1E Switch Web FTP E Mail E Server Server Server System benutzen amp beobachten Hardware und Software Voraussetzungen e Eine Lizenz mit der Option High Availability Die Lizenzdatei License Key muss auf beiden Sicherheitssystemen Normal und Hot Standby Modus eingespielt werden Weitere Informationen zur Lizenzierung erhalten Sie in Kapitel 5 1 2 ab Seite 56 e Zwei Sicherheitssysteme mit identischer Software Version und identischer Hardware e Zwei zus tzliche Ethernet Netzwerkkarten f r die Datentransfer Leitung F r die berwachung mittels Heart Beat Anfragen werden zwei Ethernet Netzwerkkarten ben tigt die diese Funktion unter st tzen e Ein Ethernet Crossover Kabel e Ein serielles Schnittstellenkabel optional e Zwei Switches Wichtiger Hinweis F r die berwachung mittels Heart Beat Anfragen werden zwei Ethernet Netzwerkkarten ben tigt die vom Sicherheitssystem unter st tzten werden Die Hardware Compatibility List HCL befindet sich auf http www astaro com kb Mit Hilfe des Suchbegriffs HCL gelangen Sie schnell auf die entsprechende Seite Wichtiger Hinweis Falls Sie f r das High Availability HA System ein bereits im Ein satz befindliches Sicherheitssystem verwenden achten Sie darauf dass Sie das zweite Sicherheitssystem vor Beginn der Konfiguration auf die selbe Version wie System 1 updaten 123 System benutzen amp beobachten High Availability System install
349. ol wird die Definition aus der Tabelle gel scht 5 2 2 Services Service Definitions Tocal 51 onen Ma Def ES Im Men Services werden p die Dienste Services und Protocol rero ERROR ra 5 die Dienstgruppen Service BE Groups definiert All protocols and services 1 65535 Ss Dienste Services sind 1024 65535 179 BEN ef In 1494 zat Definitionen f r den Daten 1 65835 s53 m a verkehr ber Netzwerke Se z B das Internet Eine 1024565535 wa Dienstedefinition besteht 1024 65535 1024 65535 aus Namen Protokollen und Ports Folgende Protokolle stehen Ihnen zur Verf gung TCP UDP TCP UDP ICMP ESP AH und IP UDP verwendet Ports von 0 bis einschlie lich 65535 und ist ein Proto koll das kein sog ACK Bit ben tigt UDP arbeitet besonders beim Versenden kleinerer Datenmengen schneller als TCP Verlorene Pa kete k nnen ber UDP nicht erkannt und neu angefordert werden da es sich um ein verbindungsloses Protokoll handelt Der Erhalt der Datenpakete wird vom Empf nger nicht quittiert TCP Verbindungen benutzen ebenfalls die Ports von 0 bis 65535 Ver lorene Pakete k nnen ber TCP erkannt und neu angefordert werden Bei TCP werden alle Datenpakete vom Empf nger quittiert verbin dungsorientiertes Protokoll Eine TCP Verbindung wird zu Beginn mit 141 System benutzen amp beobachten dem sog Three Way Handshake Verfahren aufgebaut und nach dem Transfer wieder abgebaut
350. olgt werden die Ping Anfragen weiter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge Wichtiger Hinweis Per Default ist Uplink Failover on Interface ausgeschaltet Off Wenn diese Netzwerkkarte die prim re Verbindung zum Internet sein soll stellen Sie im Drop down Men Primary Interface ein Falls diese Netzwerkkarte die Standby Verbin dung enthalten soll w hlen Sie die Einstellung Backup Inter face aus Uplink Failover check IP Dieses Eingabefeld wird angezeigt wenn bei der Funktion Uplink Failover on Interface die Ein 176 System benutzen amp beobachten stellung Primary Interface ausgew hlt ist Geben Sie hier die IP Adresse eines Hosts ein der auf ICMP Ping Anfragen antwor tet und zudem st ndig erreichbar ist Falls das System von dieser Adresse keine entsprechende Antwort erh lt wird durch die Ausfallsicherung die Backup Schnittstelle aktiviert In diesem Eingabefeld muss f r die Ausfallsicherung immer eine IP Adresse eingetragen sein QoS Status Um auf einer Schnittstelle B
351. omepages 57 Private Homepages Private Webauftritte und Internetseiten von Homepage Servern Suspicious_and_Uncategorized 58 Suspicious and Uncategorized Weapons 59 Weapons Internetseiten auf denen mit Waffen und Zubeh r verschiedener 288 System benutzen amp beobachten Art z B Luftgewehre Explosionsstoffe Munition milit rische Waffen Jagdwaffen Schwerter oder auch mit Messern aus schlie lich Haushalts oder Taschenmesser gehandelt wird Die Hauptkategorien k nnen auch durch Unterkategorien aus einer der anderen Kategorien erg nzt werden Das Editieren der Surf Protection Categories wird im nachfolgenden Abschnitt beschrieben Surf Protection Categories editieren 1 Schalten Sie das Modul im Fenster Content Filter Surf Pro tection durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet ffnen Sie durch einen Klick auf die Schaltfl che Show Hide die Tabelle mit den Kategorien Im Feld Name wird der Name der Kategorie angezeigt Dieser Name wird sp ter in der Profile Tabelle ausgew hlt Im Feld Subcategories werden die Unterkategorien auggelistet Klicken Sie nun auf den Eintrag den Sie editieren m chten Beim Klick auf den Namen Name ffnet sich ein Eingabefens ter Hier k nnen Sie den Namen der Kategorie editieren Wenn Sie auf die Unterkategorien Subcategories klicken wird ein Auswahlfeld ge ffnet
352. on Regel m chten Sie erstellen Schritt 1 W hlen Sie die Regel Nachricht bei Ankunft pr fen aus Klicken Sie anschlie end auf die Schaltfl che Weiter 6 Welche Bedingung en m chten Sie berpr fen Schritt 2 W hlen Sie in diesem Fenster die Bedingung mit bestimmten W rtern in der Nachrichtenkopfzeile aus Klicken Sie im Fenster Regelbeschreibung auf den unter strichenen Textabschnitt und tragen Sie in das Eingabefeld Text suchen den Namen des Headers ein Beispiel X Infected Klicken Sie anschlie end auf die Schaltfl che Weiter 7 Was soll mit dieser Nachricht passieren Schritt 3 Definieren Sie in diesem Fenster was mit der gefilterten E Mail passieren soll Falls z B die gefilterten E Mails in einen be 325 System benutzen amp beobachten 10 326 stimmten Zielordner verschoben werden sollen w hlen Sie die Aktion diese in den Ordner Zielordner verschieben aus Durch einen Klick auf Zielordner im Fenster Regelbeschrei bung ffnet sich ein neues Men Hier k nnen Sie entweder einen vorhanden Ordner ausw hlen oder einen neuen Zielordner f r die gefilterten E Mails erstellen Beispiel Virus Speichern Sie in diesem Men die neuen Einstellungen durch einen Klick auf die Schaltfl che OK Klicken Sie anschlie end auf die Schaltfl che Weiter Ausnahme hinzuf gen Schritt 4 In diesem Men k nnen Sie Ausnahmen definieren und so E Mails z B Nachrichten eines bestimmten Absenders von die
353. on mationen zur Verf gung ARP Table Diese Informationen wer den in einem separaten Fenster dargestellt Durch einen Klick auf die Schaltfl che Show werden diese Fenster ge ffnet Local Network Connections om Ork Partition Stati Micrenalt Internet Kpkoren sa ein Oak Prien Sram Disk Partition In der Ta GE An att Uaes rz belle wird die Partition der a m aa Systemdaten und der jewei ES a mia ian en mae lige Speicherplatz auf der paa imo Co ime o Se Festplatte angezeigt jaer nasi 350007 1500P atere Jaer naas 14045760 ZONE 13974696 2 Jaer mans 350007 8239 223695 dev haas wur 23242 1409 62 408 System benutzen amp beobachten It Microsol Internet Impkorer 92 Process List In der Baum root 67 00 00 o o Su Apr l 0 00 kjournald rest 187 0 0 0 3 18086 908 s Aprl 1 05 abin syslog mg E Jete syalogng H ae 0 0 1 0 aLa 2072 7 i oe aw o nesana en Struktur werden die aktuel 28 9 0 1 0 AM 20r D 00 09 om _ wer bin pezi wr locai bind 754 0 0 1 1 456 J064 s 00 00 0 00 _ we bin peri wse local bin i 7550 0 0 2 1 7156 5416 gt 3 00 00 0 00 _ Awe bin peri Ause local bin d rn EN Prozesse auf dem Inter ame es ass ame E wm Bo Amen Auen t Sicherheit t 7554 0 0 4 3 Age J513 a 00 09 oni ix wr bin peri war local bin EI d we 7555 0 0 1 3 04 MIG 3 00 00 om user bin perl use local bin ne IC er el SSyS em ar 7554 0 0 2 2 7300 5352 s 00 09 0 00 _ Asse bin perl use local bi
354. online ist Mit Dynamic DNS kann z B ein mobiler Nutzer auf sein Firmennetz zuzugreifen selbst wenn die Firma nur ber einen Standard DSL Anschluss mit dynamischer IP Adresse verf gt Neben VPN Anwendungen eignet sich Dynamic DNS auch f r Fernwartung und Fern berwachung Dynamic DNS Server definieren 1 ffnen Sie im Verzeichnis Network das Men Hostname DynDNS 2 Schalten Sie die Funktion in der Spalte Status durch einen Klick auf die Schaltfl che Enable ein Anschlie end wird das Eingabefenster ge ffnet 3 F hren Sie die folgenden Einstellungen durch Hostname Tragen Sie in das Eingabenfeld den Hostnamen ein Username Tragen Sie in das Eingabenfeld den Benutzernamen ein Password Tragen Sie in das Eingabefeld das Passwort ein 4 Speichern Sie Ihre Eingabe durch einen Klick auf die Schaltfl che Save 153 System benutzen amp beobachten 5 3 2 Interfaces Externes Netzwerk FE mes Router RR e E ee Internet Internes Netzwerk I am Firewall A 1 Netzwerkkarte ethO 2 Netzwerkkarte eth1 3 Netzwerkkarte eth2 Web Server E Mail Server werk Internet Diese beiden Seiten Untrusted genannt W hrend der Installation werden die Um ein internes Netzwerk LAN vor einem externen Netzwerk Internet zu sich ern ben tigt eine Firewall mindestens zwei Netz werkkarten In unseren Beispielen ist die Netz werkkarte ethO immer die Schnittstelle zum internen
355. ontent Scanning Features S Default e Information_and_Communication 7 virus Protection for Web IT Block Spyware Infection and Communication IT Block suspicious and unknown sites IT Strip Embedded Objects ActiveX Java Flash IT Strip Scripts Javascript VBScript d File extension blocking 0 entries URL Whitelist 0 entries d URL Blacklist 0 entries du d Custom HTML content removal 0 entries Beispiel Sie haben in der Spalte Surf Protection Categories das Thema Information and Communication ausgew hlt m chten aber den Zugriff auf die Internetseite www astaro org erlauben 295 System benutzen amp beobachten dann legen Sie zus tzlich eine URL Whitelist an indem Sie die Inter netadresse in die Zugriffskontrollliste eintragen AA https 192 168 5 217 index fpl2frameset active MicrosofE Inten ox Die Zugriffskontrollliste wird E E vr essen durch einen Klick auf die Zeile mit dem Eintrag z B O entries ge ffnet Tragen Sie die Internetadressen un tereinander in das Eingabe feld ein z B www astaro org Kommentare m ssen durch das Zeichen am z Anfang jeder Zeile gekenn mei se ll zeichnet werden Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten URL Blacklist Dies ist eine Zusatzfunktion von Block SP Catego ries Mit dieser Zugriffskontrollliste k n
356. ontroll liste ein e Nachrichten f r eine bestimmte E Mail Adresse sollen nicht ge scannt werden Eingabe user domain com e Alle E Mails an eine bestimmte Domain sollen nicht gescannt wer den Eingabe domain com e Alle E Mails an einen bestimmten Benutzer sollen nicht gescannt werden Eingabe user Die Funktionsweise der Kontrollliste ist identisch mit dem Hie rarchiefeld und wird in Kapitel 4 3 5 ab Seite 43 beschrieben 323 System benutzen amp beobachten Die Header Bei einigen Content Filter Funktionen wird der gescannten Nachricht ein Header hinzugef gt Dieser Header soll den Benutzer ber spe zielle Eigenschaften dieser Nachricht informieren Wenn nun bei der entsprechenden Funktion die Aktion Warn SMTP oder Pass POP3 ausgew hlt wird k nnen die Empf nger verd chtige Nachrichten mit ihrer E Mail Software sortieren oder filtern In der nachfolgenden Liste sind alle Header enthalten die der SMTP Proxy an die E Mails hinzuf gen kann X Spam Score Dieser Header wird vom Modul Spam Protection hinzugef gt Er enth lt einen Punktestand der aus einem numeri schen Wert und einer Anzahl von Minus und Pluszeichen besteht Je h her dieser Punktestand ausf llt umso wahrscheinlicher ist es dass es sich bei der Nachricht um eine Spam Mail handelt Wenn Sie beim Modul Spam Protection die Aktion Warn aus w hlen kann der Empf nger die E Mail mit seiner E Mail Software filtern X Spam Flag Wenn der
357. ool Definition ver ndern oder ein anderes definiertes Netzwerk als IPSec Pool festlegen Network PSEC Po z Hinweis Falls Sie f r Ihren IPSec Pool private IP Adressen wie z B das vordefinierte Netzwerk verwenden m ssen Sie Masquerading oder NAT Regeln f r den IPSec Pool erstellen wenn ein Zugriff auf das Internet von den IPSec Hosts aus erw nscht ist 387 System benutzen amp beobachten DHCP Settings Dieses Fenster wird ange zeigt wenn Sie im Fenster L2TP over IPSec Settings bei der Funktion IP Address Assignment die Einstellung DHCP ausgew hlt haben Interface Stellen Sie hier die Netzwerkkarte ein ber die der DHCP Server angeschlossen ist Beachten Sie dabei dass der DHCP Server nicht direkt angeschlossen sein muss der Zugang ist ebenso ber einen Router m glich DHCP Server W hlen Sie hier den DHCP Server aus In diesem Drop down Men werden alle Hosts angezeigt die im Men Defini tions Networks definiert wurden L2TP over IPSec Client Parameters In diesem Fenster k nnen Sie den Hosts w hrend des Chent WINS Servers Verbindungsaufbaus zu J s tzlich bestimmte Name DNS und WINS Server zuweisen 388 System benutzen amp beobachten 5 7 6 CA Management Certificate Authority CA ist die Ausgabestelle von Zertifikaten f r ffentliche Schl ssel Im Men CA Management k nnen Sie Ihre eigene X 509 Certificate Authority
358. op down Men den ent fernten Endpunkt aus Bei den Verbindungs Typen Road Warrior oder MS Windows L2TP over IPSec hat der entfernte Endpunkt immer eine dynamische IP Adresse Im Fenster Subnet Definition optional k nnen Sie f r beide Endpunkte optional ein Sub Netzwerk ausw hlen Local Subnet W hlen Sie hier das lokale Sub Netzwerk aus System benutzen amp beobachten Remote Subnet W hlen Sie hier das entfernte Sub Netzwerk aus Bei einer Road Warrior Verbindung kann nur das lokale Sub Netzwerk eingestellt werden Diese M glichkeit entf llt wenn Sie f r die Road Warrior Verbindung in Schritt 7 die Funktion L2TP Encapsulation einschalten Virtual IP Address Pool Diese Funktion wird nur angezeigt wenn Sie in Schritt 3 den Verbindungs Typ Road Warrior CA eingestellt haben Der Road Warrior kann sich dann nur ein w hlen wenn die virtuelle IP Adresse aus dem Adress Bereich stammt Hinweis f sem Verbindungs Typ MS Windows L2TP IPSec wird das e Fenster nicht angzeigt Der IPSec VPN Zugang wird durch den Paketfilter Packet Filter geregelt 7 W hlen Sie nun im Fenster Authentication of Remote Station s den passenden Key aus Die IPSec Remote Keys werden im Men IPSec VPN Remote Key definiert Die Einstellungen in diesem Fenster h ngen vom Verbindungs Typ ab 7 1 Standard Key W hlen Sie im Drop down Men den Remote Key aus 7 2 Road Warrior L2TP Encapsulation In diesem Drop down Men k nnen Sie
359. or im Men Definitions Services definiert werden 4 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save 5 Falls f r den Parent Proxy eine Authentifizierung notwendig ist klicken Sie auf die Schaltfl che Enable 276 System benutzen amp beobachten Username Tragen Sie in das Eingabefeld den Benutzernamen ein Password Tragen Sie in das Eingabefeld das Passwort ein 6 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Advanced gt Caching Mit dieser Funktion EE werden h ufig verwendete Internetseiten im HTTP Proxy Cache zwischenge speichert Per Default ist diese Funktion eingeschaltet Statusampel zeigt Gr n Mit einem Klick auf die Schaltfl che Disable schalten Sie die Funktion aus Allowed Target Services TCP Port Cear HTTP Proxy Cache Block CONNECT Method on HTTP Port Jegliche HTTP Verbin dungsanfrage durch den HTTP Proxy wird geblockt Nur die HTTP Methoden GET und PUT werden durch den Proxy geschickt Dies hat auch zur Folge dass keine HTTPS Verbindungen aufgebaut werden k nnen Jede Client Request wird durch die Angabe der Methode eingeleitet Methoden bestimmen die Aktion der Anforderung Die aktuelle HTTP Spezifikation sieht acht Methoden vor OPTIONS GET HEAD POST PUT DELETE TRACE und CONNECT In diesem Abschitt werden nur die Methoden GET und PUT erkl rt Die Methode GET dient zur Anforderung eines Dokumen
360. organg ab indem Sie auf ein Men im Verzeichnis klicken Achtung Generieren Sie nach jeder nderung im System eine neue Backup Datei Wenn Sie eine Backup Datei einspielen und etwa zwischenzeitlich das Passwort oder die IP Adresse des Sicher heitssystems ge ndert haben kann es passieren dass Sie keinen Zutritt mehr zum System erhalten 73 System benutzen amp beobachten Advanced Encryption Die Backup Datei enth lt alle Konfigurations Einstel lungen sowie die darin enthaltenen Zertifikate und Keys Mit der Funktion Encryption kann die Datei mit DES oder 3DES verschl s selt werden Die Backup Datei kann ab der Software Version 6 203 auch auto Wichtiger Hinweis matisch ber einen an das Sicherheitssystem angeschlossenen USB Speicher Stick installiert werden Mit der Funktion Encryption ver schl sselte Backup Dateien k nnen nicht ber den USB Speicher installiert werden E Mail Backup File verschl sseln 1 2 74 ffnen Sie im Verzeichnis System das Men Backup Scrollen Sie zum Fenster Advanced Schalten Sie die Funktion Encryption durch einen Klick auf die Schaltfl che Enable ein Die Funktion Encryption ist eingeschaltet wenn die Status ampel Gr n zeigt Tragen Sie in das Eingabefeld Passphrase das Passwort ein N Sicherheitshinweis Bei einem Passwort mit bis zu sieben Zeichen wird die Backup Datei mit DES verschl sselt ab acht Zeichen mit 3DES Tragen Sie das Passwort zu
361. orking en day ed 18 tiles get finished ex Download Historical ARM Logs Diese Funktion steht zur Verf gung sobald das erste Historical Log File generiert wurde Durch einen Klick auf die Schaltfl che Start wird ein Dialog ge ffnet mit dem das ARM Log File Datei arm_logs tar auf einen lokalen Rech ner heruntergeladen werden kann 413 System benutzen amp beobachten ARM Remote Connection In diesem Fenster konfigurieren Sie den ARM Log Files Transfer Die neuen Einstellungen haben keine Auswirkungen auf bereits be stehende Log Files Status Durch einen Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt gr n Anschlie end ffnet sich ein erweitertes Eingabefenster N Sicherheitshinweis Beide Methoden f r den Datentransfer sind unverschl sselt Wenn die Log Files an einen Server au erhalb des privaten Netzwerks gesendet werden sollte dies nur durch einen Host to Net IPSec VPN Tunnel erfolgen Eine bestehende Net to Net Verbindung kann nicht verwendet werden Method F r den Datentransfer stehen die Methoden Syslog und SMB CI FS Share zur Verf gung F r beide Methoden m ssen Sie auf dem Sicherheitssystem zuerst einen ARM Server definieren an den die ARM Log Files gesendet werden Der Server bzw Host wird im Men Definitions Networks hinzugef gt Anschlie end k nnen Sie die folgenden Einstellungen durchf hren e Die Methode Syslog wir
362. p down Men s eingestellt Die Einstellungen werden erst angezeigt wenn die Funktion Mon itor Interface Usage eingeschaltet On ist QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzu f hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus System benutzen amp beobachten Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS oder Monitor Interface Usage eingeschaltet ist In dieses Eingabemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorgeschalteten Schnittstelle oder Router Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung bei einem ADSL Zugang betr gt die Uplink Bandbreite z B 128 kBit s bei einer 2 Megabit Fest verbindung z B 2048 kBit s Downlink Bandwidth kbits Diese Einstellung wird nur ange zeigt we
363. pe Mit diesem Drop down Men filtern Sie Protokolle eines bestimmten Typs 3 Um den Filter zu starten klicken Sie auf die Schaltfl che Apply Filters Anscchlie end werden nur die gefilterteten Protokolle in der Tabelle angezeigt Nach Verlassen des Men s werden wieder alle Protokolle dargestellt 425 System benutzen amp beobachten 5 10 3 1 Log Files In diesem Kapitel sind alle verf gbaren Protokolle Logs aufgef hrt Im Men Browse werden diese Log Dateien erst angezeigt wenn vom System entsprechende Prozesse protokolliert wurden Die nach folgende Log Datei Accounting data wird z B erst angezeigt nach dem die Funktion Accounting im Men Network Accounting ein geschaltet wurde Accounting data In diesen Log Dateien sind alle vom System archi vierten Accounting Protokolle verf gbar Im Men Reporting Accounting k nnen die Protokolle betrachtet werden Admin notifications In den Notification Log Dateien werden alle Notification E Mails die durch das Internet Sicherheitssystem abge schickt wurden protokolliert Auf diese Weise kann der Administrator auch kritische Systemvorg nge beobachten wenn ihn keine Notifica tion E Mails erreicht haben Die Fehler Warnungs und Informations Codes sind in Kapitel 5 10 3 2 ab Seite 431 aufgef hrt Boot messages In diesen Log Dateien werden die Boot Meldungen protokolliert Configuration daemon In diesen Log Dateien werden die Aktivi t ten des Configur
364. pel zeigt Gr n Wenn nun ein Benutzer oder ein Rechner mit einem zugewiesenen Profile auf eine unerlaubte Internetseite zugreift wird der Zugang nicht nur verhindert sondern er erh lt auch eine entsprechende Meldung 303 System benutzen amp beobachten 5 5 2 SMTP Stobat Settings 4 I Status Bi Dess Hostname MX Fs Mit dem SMTP Proxy sch t zen Sie den internen Mail Server vor Angriffen Ein 3 und ausgehende E Mails wer E den auf sch dliche Inhalte E berpr ft Sie k nnen in die sem Men auch Spam Pro tection Parameter eingeben um unerw nschte E Mails zu filtern Postmaster Address Bostmastegeenonty ner boer relay from Selected Tasi 3 Development 9 Internal_Commenication Profiles and domain group assignment In diesem Men konfigurieren aa Sie den SMTP Proxy f r E Mails Der SMTP Proxy em pf ngt alle E Mails auf dem Gateway und versendet Sie im zweiten Prozess wieder Damit werden keine Protokollbefehle weitergeleitet sondern nur die Daten selbst Der SMTP Proxy setzt das SMTP Protokoll auf dem TCP IP Port 25 um Dante Use Dany SPF ag Der SMTP Proxy kann auch im Transparent Modus betrieben wer den Der gro e Vorteil von diesem Modus liegt in der erh hten Sicher heit bei der Nutzung bestimmter Dienste ohne dass dabei die Flexi bilit t verloren geht Des Weiteren entsteht kein zus tzlicher Ad ministrationsaufwand f r Clie
365. r Bericht kann ausgedruckt werden indem Sie auf die Schaltfl che Print this Report klicken View current Report Memory usage Dally Graph Mesory usage Daily 404 System benutzen amp beobachten 5 8 13 Accounting Generate Accounting Reports Mit der Funktion Account es ing werden auf den Netz Queried Networks werkkarten alle IP Pakete erfasst und ihre Gr e ein mal am Tag aufsummiiert Zus tzlich wird zu Beginn eines Monats die Datensumme des vergangenen Monats berechnet Das Ergebnis wird in einem Protokoll ausgegeben Die Summe dient z B als Basis f r den Betrag den Ihnen Ihr Internet Service Provider in Rechnung stellt wenn Sie Ihre Verbindung nach bertragenem Datenvolumen bezahlen Das Accounting wird im Men Network Accounting eingeschaltet und konfiguriert Die Konfiguration dieser Funktion wird im Kapitel 5 3 8 ab Seite 220 beschrieben Browse Accounting Reports In diesem Fenster werden die vorhan denen Accounting Protokolle angezeigt Mit dem Drop down Men Select Report w hlen Sie den Monat aus Das Protokoll wird an schlie end im darrunterliegenden Fenster angezeigt Im Men Local Logs Browse k nnen die Protokolle auf Ihren loka len Rechner heruntergeladen oder gel scht werden Report for current Month In diesem Fenster wird das Accounting Protokoll des aktuellen Monats angezeigt Accounting definieren 1 ffnen Sie im
366. r Best tigung nochmals in das Ein gabefeld Confirmation ein Speichern Sie die Einstellungen durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten Alle Backup Dateien die nun von Ihnen manuell oder vom System automatisch generiert werden sind mit dem definierten Passwort verschl sselt Eine mit Encryption verschl sselte Backup Datei kann nur wieder auf dem System eingespielt werden wenn das Passwort der ver schl sselten Datei und das aktuelle Passwort auf dem Sicherheits system identisch sind Falls Sie das Passwort ndern sollten Sie daher zur Sicherheit eine neue Backup Datei generieren Wichtiger Hinweis Send Backups by E Mail Damit Sie nicht st ndig daran denken m ssen die Einstellungen Ihres Internet Sicherheitssystems manuell auf einem Datentr ger zu sichern k nnen Sie hier die Backup Datei automatisch erzeugen lassen Im Anschluss wird die Datei an die angegebene E Mail Adresse geschickt Eine E Mail Backup Datei ist ca 100 KB gro E Mail Backup File generieren 1 ffnen Sie im Verzeichnis System das Men Backup 2 Schalten Sie im Fenster Advanced die Funktion Send Backups by E Mail durch einen Klick auf die Schaltfl che Enable ein Die Funktion Backups by E Mails ist eingeschaltet wenn die Statusampel Gr n zeigt Falls die Funktion Encryption eingeschaltet ist wird die Backup Datei mit DES oder 3DES verschl sselt und kann sp ter nur mit dem richtigen Passwo
367. r Datenpakete aus Die Einstellung Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt Action W hlen Sie im Drop down Men die Aktion aus die der Paketfilter ergreift wenn ein Datenpaket den Einstellungen Source Service und Destination entspricht In Verbindung mit der Aktion wird hier auch die Priorit t f r die Funktion Quality of Service Qos eingestellt System benutzen amp beobachten Wichtiger Hinweis Damit die Priorit ten high priority und low priority wirksam werden m ssen Sie im Men Network Interfaces die ent sprechende Schnittstelle f r die Funktion QoS aktivieren und die Werte Uplink Bandwidth kbits und Downlink Bandwidth kbits definieren Allow Alle Pakete die diese Bedingung erf llen werden durchgelassen Allow high priority Alle Pakete die diese Bedingung erf l len werden durchgelassen Zus tzlich erh lt dieser Datenver kehr bei ausgelastetem Uplink eine h here Priorit t Allow low priority Alle Pakete die diese Bedingung erf l len werden durchgelassen Zus tzlich erh lt dieser Datenver kehr bei ausgelastetem Uplink eine niedrigere Priorit t Drop Alle Pakete die diese Bedingung erf llen werden blockiert Reject Alle Pakete die diese Bedingung erf llen werden ab gewiesen Der Absender erh lt eine entsprechende ICMP Nach richt Log Die Regelverletzung wird im Packet Filter Live Log p
368. r Installation der Software werden alle bestehenden Daten auf e dem Rechner gel scht Da es verschiedene Stand alone LDAP Server gibt die auf dem Open Source Projekt OpenLDAP basieren entnehmen Sie die Informa tionen zur Installation und Konfiguration dieser Verzeichnisse der ent sprechenden Dokumentation Falls Sie den Stand alone LDAP Server SLAPD der OpenLDAP Foun dation verwenden erhalten Sie die aktuelle Dokumentation unter der Internetadresse http www openldap org 111 System benutzen amp beobachten LDAP auf Internet Sicherheitssystem einstellen EE Auf dem Stand alone Status CS Disable LDAP Type SS LDAP Server muss ein Be EI Less H nutzer eingerichtet sein Address a Di S der die Leserechte f r das TCP Port E SEN gesamte Verzeichnis hat Se Um die n tigen Einstel Password Snn P lungen auf dem Internet Sicherheitssystem durch LDAP Authentication by Attribute oe Enable zuf hren ben tigen Sie den Distinguished Name DN dieses Benutzers sowie den LDAP Type und die IP Adresse des Stand alone LDAP Servers 112 Sicherheitshinweis Stellen Sie sicher dass der Benutzer nur die Leserechte f r den Stand alone LDAP Server bekommt ffnen Sie im Verzeichnis System das Men User Authen tication Schalten Sie die Funktion im Fenster LDAP Server Settings durch einen Klick auf die Schaltfl che Enable bei Status ein LDAP Type
369. r Stelle in die Tabelle eingetragen Statusampel zeigt Rot Durch einen Klick auf die Statusampel wird die IPSec Verbindung aktiviert Nachdem Sie einen VPN Tunnel erstellt haben m ssen Sie noch die entsprechenden Paketfilterregeln setzen die es den jeweiligen Partei 372 System benutzen amp beobachten en erlauben miteinander zu kommunizieren Das Setzen von Paketfilterregeln wird in Kapitel 5 4 ab Seite 223 beschrieben Beispiel Wenn Sie eine Net to Net VPN Verbindung zwischen Netzwerk 1 und Netzwerk 2 erstellt haben und die komplette Kommunikation zwi schen diesen beiden Netzwerken erlauben m chten m ssen Sie die folgenden zwei Regeln setzen 1 2 ffnen Sie im Verzeichnis Packet Filter das Men Rules Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 1 Source Netzwerk1 Service Any Destination Netzwerk2 Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition Setzen Sie im Fenster Add Rules die folgende Regel f r das Netzwerk 2 Source Netzwerk2 Service Any Destination Netzwerk1 Action Allow Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition Anschlie end ist die komplette Kommunikation zwischen den beiden VPN Gegenstellen m glich 373 System benutzen amp beobachten 5 7 2 Policies IPSec Policies l w Im Men Policies definie 3DE8 ESP 3085 none esit de
370. r ange zeigt wenn im Drop down Men Default Gateway die Einstel lung Assign by DHCP oder Static ausgew hlt wurde Falls es sich bei dieser Netzwerkkarte um eine Schnittstelle zum Internet z B 2 Megabit Festverbindung handelt k nnen Sie mit Hilfe eines zweiten Internetzugangs z B DSL Verbindung und einer zus tzlichen Netzwerkkarte eine Ausfallsicherung ein richten Bei einem Ausfall der prim ren Verbindung Primary Interface erfolgt dann der Uplink automatisch ber den Ersatz internetzugang Zur berpr fung der Verbindung werden ber die prim re Netzwerkkarte alle f nf Sekunden vier Ping Anfragen an die Uplink Failover check IP gesendet Erst wenn alle vier Ping Anfragen nicht beantwortet werden wird die Ersatznetz werkkarte geladen W hrenddem die Internetverbindung ber die Ersatznetzwerk karte Backup Interface erfolgt werden die Ping Anfragen wei ter ber die prim re Netzwerkkarte Primary Interface ver schickt Sobald das Sicherheitssystem wieder entsprechende Antwortpakete empf ngt erfolgt die Internetverbindung wieder ber die prim re Netzwerkkarte Wichtiger Hinweis F r die Funktion Uplink Failover on Interface m ssen auf der Prim r und auf der Ersatznetzwerkkarte zwei unterschiedliche Netzwerke definiert werden Sie ben tigen daher neben der zu s tzlichen Netzwerkkarte f r die Ersatzschnittstelle zwei sepa rate Internetzug nge 161 System benutzen amp beobachten 162 Per D
371. r in nerhalb des gesch tzten Netz werks oder der DMZ zu platzie m E er bi E e E 65 227 28 232 88 Anfrage 1 ren und f r einen bestimmten E C M Dienst nach au en hin verf g bar zu machen men 7 SC SE oo Beispiel Ein Benutzer wie in E Web EE der linken Grafik dargestellt Server Firewall mit der IP Adresse 5 4 3 2 192 168 2 99 80 Port 1111 schickt eine Anfrage an den Web Server in der DMZ Er kennt nur die externe IP Adresse 65 227 28 232 Port 88 Durch DNAT ndert nun die Firewall die Zieladresse der Anfrage in 192 168 2 99 Port 80 und schickt diese an den Web Server Der Web Server schickt anschlie end die Antwort mit seiner internen IP Adresse 192 168 2 99 Port 80 und der IP Adresse des Benutzers ab Die Firewall erkennt das Paket anhand der Benutzeradresse und ndert nun die Quelladresse von der internen in die externe IP Adresse 65 227 28 232 Port 88 Ein weiterer wichtiger Schutzmechanismus ist die VPN Technologie Die Gesch ftswelt stellt heute Anforderungen an die IT Infrastruktur zu denen Echtzeit Kommunikation und enge Zusammenarbeit mit Gesch ftspartnern Consultants und Zweigstellen geh ren Die For derung nach Echtzeitf higkeit f hrt immer fter zur Sch pfung so genannter Extranets die mit dem Netzwerk des Unternehmens entweder 16 Einf hrung in die Technologie e ber dedizierte Standleitungen oder e unverschl sselt ber das Int
372. r kommunizieren Niemand anderes kann Informationen ber diese Verbindung bertragen lesen oder ver ndern Eine VPN Verbindung kann entweder zwei Hosts einen Host und ein Netzwerk LAN oder zwei Netzwerke gesichert miteinander verbin den Wenn ein VPN Endpunkt nur aus einem Host besteht so reicht der VPN Tunnel bis zu diesem Rechner und wird dort ver und ent schl sselt Bei einem Netzwerk ist ein Security Gateway vorhanden welches die VPN Verbindung verwaltet und die Daten ver und entschl sselt Der Datenverkehr zwischen dem Security Gateway und dem Netzwerk ist nicht verschl sselt Der Datenaustausch zwischen zwei Gegenstellen ber das Public Wide Area Network WAN erfolgt ber ffentliche Router Switches und andere Netzwerkkomponenten und wird allgemein als unsicher angesehen Es besteht theoretisch an jedem dieser Punkte die M glichkeit gesendete Nachrichten im Klartext mitzulesen Mit Hilfe von IPSec VPN wird zwischen den beiden Endpunkten ein virtu eller verschl sselter IP Security IPSec Tunnel durch das WAN erzeugt 355 System benutzen amp beobachten Ein IPSec Tunnel besteht aus einem Paar richtungsgebundener Security Associations SA einem f r jede Richtung der Kommuni kation Ein IPSec SA besteht aus drei Komponenten e dem Security Parameter Index SPI e der IP Adresse des Empf ngers e einem Security Protocol Authentication Header AH oder Encapsulated Security Payload ESP Die SA erm
373. r linken Maustaste auf die Schaltfl che New Definieren Sie im Fenster Create New Attribute das neue Attribut Common Name Tragen Sie in das Eingabefeld den CN ein LDAP Display Name Vergeben Sie f r das neue Attribut einen eindeutigen Namen Am Besten denselben Namen den Sie f r diesen Dienst Service auch auf dem Internet Sicherheitssystem verwendet haben Beispiel Socks Unique X500 Object ID Tragen Sie in das Eingabefeld die OID Nummer ein Syntax W hlen Sie Boolean aus Minimum Lassen Sie dieses Eingabefeld leer Maximum Lassen Sie dieses Eingabefeld leer Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK Schritt 3 Attribut einer Klasse Class zuweisen 1 108 Klicken Sie mit der linken Maustaste unter Active Directory Schema auf das Verzeichnis Classes Klicken Sie mit der rechten Maustaste auf das Verzeichnis Users Anschlie end ffnet sich das Fenster User Properties System benutzen amp beobachten Klicken Sie auf das Register Attributes und f hren Sie die fol genden Einstellungen durch Optional W hlen Sie im Auswahlfeld das Attribut aus und ber nehmen Sie dieses durch einen Klick auf die Schaltfl che Add Beispiel Socks Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf Active Directory Schema Klicken Sie mit der linken Maustaste auf die Schaltfl che Re
374. r separat der Auslieferungsstatus angezeigt Zur ckgestellt oder andauernder Fehler Im Drop down Men am unteren Ende der Tabelle befinden sich meh rere Funktionen um einzelne E Mails zu bearbeiten Die E Mails m s sen zuvor durch einen Klick auf das entsprechende Optionsfeld ausgew hlt werden 349 System benutzen amp beobachten Folgenden Funktionen stehen zur Verf gung Delete Alle ausgew hlten E Mails werden gel scht Force delivery Alle ausgew hlten E Mails werden an die Empf nger adressen weitergeleitet auch wenn es sich um eine Nachricht mit dem Status quarantined handelt Bei einer E Mail mit dem Status deferred oder permanent error wird ein neuer Versuch gestartet die Nachricht zuzustellen Falls durch diese E Mail nochmals ein Fehler verursacht wird erh lt sie wieder den alten Status Download as zip file Die ausgew hlten E Mails werden in eine zip Datei gepackt und anschlie end auf dem ausgew hlten lokalen Host gespeichert Global Actions Um den belegten Festplattenspeicher Ihres Sicherheitssystems m g lichst gering zu halten k nnen Sie hier alle E Mails eines bestimmten Typs l schen E Mails die w hrend des L schvorgangs vom Internet Sicherheitssystem versendet oder weitergeleitet werden sind davon nicht betroffen W hlen Sie im Drop down Men Please select den Typ aus und starten Sie die Aktion durch einen Klick auf die Schaltfl che Start Wenn Sie die Tabelle SMTP POP3
375. r unterliegen Dies macht einen Brute Force Angriff auf die verschl sselten Daten nahezu unm glich 99 System benutzen amp beobachten Active Directory NT Domain Membership einstellen 1 100 ffnen Sie im Verzeichnis System das Men User Authenti cation Schalten Sie die Funktion im Fenster Active Directory NT Domain Membership NT 2000 XP Server Settings durch einem Klick auf die Schaltfl che Enable bei Status ein T E 5 Wenn Sie NTLM Domain FE BERNER SE Membership hier sp ter ER Mer zes wieder ausschalten wird Join credentiats These are not savod on te system das Sicherheitssystem NA nicht sofort bei der Do main abgemeldet dies muss auf dem Domain Controller durchgef hrt werden Domain Member Status Nach einer erfolgreichen Anmeldung wird hier die Meldung Joined domain Domain Name ange zeigt Domain Tragen Sie hier den Namen Ihrer MS Windows NT 2000 Domain ein Erlaubte Zeichen sind Das Alphabet das Minus Zeichen und Unterstrich _ Hinweis Dies ist keine Internet Domain wie etwa Firma de sondern ein einfacher Bezeichner z B Intranet NetBIOS Hostname Tragen Sie hier den NetBIOS Hostname ein der in der Domain f r das Sicherheitssystem verwendet werden soll Sie k nnen sich einen beliebigen Namen ausdenken Dieser hat keinerlei Signifikanz Jedoch sollten Sie um Konflikte zu vermeiden einen Namen verwenden der in der Domain noch nicht verwen
376. ragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Netzwerkmaske ein Wenn Sie die Netz werkmaske durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Default Gateway Bei einem statischen Default Gateway w h len Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus Proxy ARP Wenn diese Funktion aktiviert ist wird das Internet Sicherheitssystem auf der entsprechenden Netzwerkkarte das ARP Protokoll f r alle ihm bekannten Netzwerke setzen Dies be deutet dass das System stellvertretend f r alle anderen direkt angeschlossenen Netzwerke Pakete aus dem angeschlossenen Netzwerk annehmen und weiterleiten wird Diese Funktion wird in einigen Spezialf llen ben tigt um z B System benutzen amp beobachten ein Netzwerk ber das Sicherheitssystem weiterzureichen falls es nicht m glich ist korrekte Routen f r dieses Netzwerk zu set zen Dies kann der Fall sein wenn Sie keinen Zugriff auf den Router Ihres Internet Providers haben Per Default ist Proxy ARP ausgeschaltet Off Sie schalten die Funktion ein indem Sie im Drop down Men On ausw hlen Uplink Failover on Interface Diese Funktion wird nu
377. rbeitet Die 21 einkommende Verbindung wird nicht mehr ange nommen Per Default ist die Funktion DoS Protection eingeschaltet Outgoing TLS Eingehende Verbindungen sind immer TLS verschl s selt Mit deser Funktion werden auch die ausgehenden Verbindungen automatisch stark verschl sselt Voraussetzung ist dass der externe Host diese Funktion unterst tzt TLS wird auf der Firewall nur zur Verschl sselung eingesetzt nicht zur Authentifizierung SMTP ist nor malerweise unverschl sselt und kann von Dritten leicht mitgelesen werden Die Funktion sollte aus diesem Grund m glichst eingeschaltet werden 329 System benutzen amp beobachten Wichtiger Hinweis Einige Mail Server z B Lotus Domino haben teilweise Fehler in ihrer TLS Konfiguration Diese Mail Server k ndigen beim Verbin dungsaufbau TLS an obwohl sie durch eine unvollst ndige Konfigura tion nicht in der Lage sind eine TLS Sitzung aufzubauen Wenn TLS eingeschaltet ist k nnen keine E Mails an diese Server verschickt werden Bitte kontaktieren Sie in solch einem Fall die Administratoren dieser Mailserver Use Smarthost Wenn Sie zum Versenden von E Mails einen Up stream Smarthost verwenden m chten schalten Sie diese Funktion ein und tragen den Hostnamen oder die IP Adresse in das Eingabefeld ein Der Proxy stellt in diesem Fall die E Mails nicht selbst zu sondern schickt alle an den Smarthost F r den Smarthost k nnen optional noch Benutzerna
378. rce IP Port dieser Anfrage durch die IP Adresse der Firewall ersetzt wird Zus tzlich kann auch der Zielport ausgetauscht werden 338 System benutzen amp beobachten Generic Proxy konfigurieren 1 2 ffnen Sie im Verzeichnis Proxies das Men Generic Schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster F hren Sie die nachfolgenden Einstellungen durch Die Funktionsweise der Auswahlfelder wird in Kapitel 4 3 2 ab Seite 41 beschrieben Network W hlen Sie das Netzwerk aus zu dem die Weiterlei tung erfolgen soll Service W hlen Sie den Dienst aus der weitergeleitet werden soll Interface W hlen Sie die Schnittstelle f r den eingehenden Da tenverkehr aus Target Server W hlen Sie den Server aus zu dem der Daten verkehr weitergeleitet werden soll Der Host wird im Men Definitions Networks definiert Die Definition eines Hosts wird in Kapitel 5 2 1 ab Seite 134 be schrieben Target Port W hlen Sie den Zielport aus F gen Sie die neue Regel durch einen Klick auf die Schaltfl che Add generic proxy hinzu Die neue Regel wird nun in die Tabelle bernommen und ist sofort aktiv Statusampel zeigt gr n 339 System benutzen amp beobachten 5 6 6 SIP SIP Proxy Das Session Initiation Status H D SEN Protocol SIP ist ein Sig Debug mode nalisierungsprotokoll zum Outgeing Interface Preste select
379. rch einen Klick auf die Funktion in der Kopfzeile der Regelsatz Tabelle werden alle Regeln entsprechend sortiert Wenn Sie z B die Tabelle nach den Absendernetzwerken 250 System benutzen amp beobachten sortieren m chten klicken Sie auf Source Um die Tabelle wieder nach der Reihenfolge des Matching anzuzeigen klicken Sie auf die Spalte mit den Positionsnummern Filters Mit der Funktion Filters k nnen Sie aus der Tabelle Paketfilterregeln Packet Filter Rules mit bestimmten Attributen herausfiltern Diese Funktion erleichtert das Managen von gro en Netzwerken mit einem umfangreichen Regelwerk da Regeln eines bestimmten Typs ber sichtlich dargestellt werden k nnen Regeln filtern 1 Klicken Sie auf die Schaltfl che Filters Anschlie end wird das Eingabefenster ge ffnet Tragen Sie in den nachfolgend aufgef hrten Feldern die Attribute f r den Filter ein Es m ssen nicht alle Attribute definiert werden Group Falls Sie Regeln einer bestimmten Gruppe filtern m ch ten w hlen Sie diese im Drop down Men aus State Mit diesem Drop down Men filtern Sie Regeln mit einem bestimmten Status Source Mit diesem Drop down Men filtern Sie Regeln mit einer bestimmten Quelladresse Service Falls Sie Regeln mit einem bestimmten Dienst filtern m chten w hlen Sie diesen im Drop down Men aus Action Mit diesem Drop down Men filtern Sie Regeln mit einer bestimmten Aktion Destination Port Mit diesem
380. rd ausf hrlich in Kapitel 5 4 ab Seite 223 beschrieben NAT Regel setzen 1 200 ffnen Sie im Verzeichnis Network das Men NAT Masquer ading Vergeben Sie im Eingabefeld Name einen eindeutigen Namen f r die NAT Regel W hlen Sie im Drop down Men Rule Type die Funktion DNAT SNAT aus Anschlie end ffnet sich ein erweitertes Eingabefenster Definieren Sie im Fenster Packets to match welche Pakete zu einer neuen Adresse umgeleitet bzw in einen anderen Dienst bersetzt werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem Fenster mindestens ein Parameter ausgew hlt werden Die Einstellung No match hat zur Folge dass zwischen den Parametern in dieser Auswahl nicht unterschieden wird Source Address W hlen Sie die original Quelladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden System benutzen amp beobachten Destination Address W hlen Sie die original Zieladresse aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service W hlen Sie den original Dienst aus Dieser Dienst be steht aus Quell und Zielport der Pakete oder einem Protokoll z B TCP Hinweis Ein Dienst Service kann nur umgeleitet werden wenn auch die kommunizierenden Adressen umgeleitet werden Des Wei teren kann ein Dienst nur in einen Dienst mit gleichem Protokoll bersetzt werden Definieren Sie mit den folgenden Drop down Men s wohin die Pakete
381. rd die kleine Domain example com dargestellt Im Verzeichnis Trainees be findet sich der Benutzer Hans Mustermann DN cn hans mustermann ou trainees dc example dc com LogonName mustermann example com System benutzen amp beobachten Dieser Benutzer k nnte sich mit seinem LogonName und seinem Pass wort z B am SOCKS Proxy anmelden Das Internet Sicherheitssys tem berpr ft in diesem Fall den DN und das Passwort von Hans Mustermann Falls es dann zum LogonName mustermann example com einen eindeutigen DN gibt und das eingegebene Passwort g ltig ist kann der Benutzer den Dienst SOCKS verwenden Falls Sie den Abfrage Typ MemberOf verwenden m chten f hren Sie am Stand alone LDAP Server Microsoft Active Directory folgende Einstellungen durch Schritt 1 Erstellen einer Security Group L Klicken Sie in der Microsoft Management Console mit der rechten Maustaste auf die Domain Beispiel Domain example com 2 Klicken Sie mit der linken Maustaste auf die Schaltfl che New und anschlie end auf Group Anschlie end ffnet sich das Fenster New Object Group 3 Definieren Sie im Eingabefeld Group name einen eindeutigen Namen f r die Gruppe Beispiel socks_ users f r den SOCKS Proxy 1 W hlen Sie bei Group type die Option Security aus 2 Speichern Sie die Eingaben durch einen Klick auf die Schaltfl che OK Sie haben nun die neue Security Group mit dem Namen socks_ users erstellt 105 System
382. rd nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Downlink verf gbare Bandbreite in vollen Kilobits ein Bei einer Schnittstelle zum Internet ist es die Bandbreite der Internetverbindung MTU Size Die obere Grenze f r die Gr e der Datenpakete wird MTU bezeichnet MTU steht f r Maximum Transfer Unit Bei Verbindungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Protokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut 189 System benutzen amp beobachten verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Im Eingabefeld MTU Size muss beim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ein Wert f r die maximale bertragungsrate in Bytes definiert werden Beim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ist per Default bereits ein MTU Wert definiert 1460 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen
383. rde Die Installation und die Funktionsweise des HA 082 083 084 085 086 System benutzen amp beobachten Systems wird in Kapitel 5 1 11 ab Seite 122 erkl rt HA check Error with rsync for System Up2Date Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung HA check Error with rsync for Pattern Up2Date Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung HA check Error with rsync for Intrusion Protection Pattern Up2Date Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung HA check Version conflict between master and slave machine detected Beachten Si bei der Installation des High Availability Systems die Hinweise in Kapitel 5 1 11 ab Seite 122 Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung HA check No Slave contact please check your HA system Das System 1 Normal Modus erh lt vom System 2 Hot Stand by Modus keine R ckmeldung mehr Bitte pr fen Sie das HA System 447 System benutzen amp beobachten 103 156 157 158 159 448 Too much swap usage Version Conflict Master version lower than slave version Rebooting system Beachten Si bei der Installation des High Availabilit
384. rden alle behandelt Level 3 Alle E Mails mit Fehlern werden behandelt 316 System benutzen amp beobachten File Extension Filter Mit dieser Funktion filtert die Firewall die Anh nge Attachments mit den Erweiterungen aus der Kontrollliste Extensions Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absender adresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht Diese Aktion sollten Sie nur verwenden wenn Sie absolut sicher sind e Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden e Warn Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Header hinzugef gt der es erm glicht diese auf dem Mail Server oder im E Mail Programm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben Extensions Tragen Sie in die Kontrollliste alle Dateierweiterungen ein z B exe die von der
385. rden gesammelt und an Sie abgesendet sobald die Sammelperiod abgeschlossen ist Wenn weitere Ereignisse auf treten wird dies Period ausgedehnt Falls diese Pakete in Zukunft abgefangen werden sol len stellen Si im WebAdmin bei der ntspr chenden Intrusion Protection Regel di Aktion arop in Beachten Si dabei dass dann auch 443 System benutzen amp beobachten 852 853 999 444 ventuell regul rer Datenverkehr abgefangen wer den kann Weitere Informationen erhalten Si in der Notification E Mail Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat das Datenpaket automatisch abgefangen Bei dieser Intrusion Protection Regel kann im Web Admin zwischen den Aktionen Alert only nur alarmieren und Drop abfangen umgeschaltet werden Weiter Informationen rhalten Si in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat das Datenpaket automatisch abgefangen Der Ereignispuffer wurde aktiviert Weitere Intru sion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sammelperiode ab geschlossen ist Wenn weitere Ereignisse auftre ten wird diese Periode ausgedehnt Bei dieser
386. rden zwei weitere Eingabemen s angezeigt Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save System benutzen amp beobachten 5 F hren Sie im Fenster Advanced die erweiterten Einstellungen durch Local listening port Standardm ig ist hier der UDP Port 5060 eingestellt Der Transparent Mode wird von dieser Einstellung nicht beeinflusst Wenn dieser Modus eingeschaltet ist wird daher immer nur Datenverkehr an den UDP Port 5060 zum eingestellten Local Listening Port umgeleitet RTP port range Jeder aktive SIP Anruf ben tigt f r den Trans port der Audiodaten zwei RTP Ports Stellen Sie diesen Port Bereich gem Ihren Anforderungen ein Beachten Sie dabei dass der lokale SIP Client von dieser Einstellung nicht beinflusst wird Standardm ig ist der Port Bereich 16384 32766 einge stellt RTP lifetime seconds Definieren Sie hier nach wieviel Se kunden ein RTP Datenstrom als inaktiv eingestuft und abge brochen werden soll Standardm ig sind 300 Sekunden eingestellt Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Der SIP Proxy ist nun betriebsbereit F hren Sie nun die Einstellungen auf den SIP Ger ten durch Die n tigen Einstellungen entnehmen Sie bitte den zugeh rigen Betriebsanleitungen Hinweis Bitte beachten Sie dass SIP over TCP nicht unterst tzt wird Des Weiteren muss auf den angeschlossenen SIP Ger ten die Funktion STUN Simple Traversal of UDP
387. reifen kann Per Default sind bereits die Dienste mit Ports enthalten zu denen eine Verbin dung als sicher gilt TCP Port Tragen Sie in das Eingabefeld den TCP IP Port ein Per Default ist hier bereits der TCP IP Port 8080 eingetragen Clear HTTP Proxy Cache H ufig aufgerufene Seiten werden nicht mehr ber das Internet neu geladen sondern nach der ersten ber tragung nur noch aus dem HTTP Proxy Cache abgerufen Mit dieser Aktion wird der Inhalt des Caches durch einen Klick auf die Schaltfl che Start gel scht 278 System benutzen amp beobachten 9 8 1 1 Content Filter Surf Protection Content Filter Surf Protection Mit der Funktion Surf Pro Status LR Oisabie D e tection Profiles werden Whitelist domains TI A g m Profile erstellt um den Zu no data in tabie Skip outhenocaton for domains E a griff von einem Netzwerk no data in tabe oder nur von einzelnen Be nutzern auf bestimmte In ternetseiten abh ngig von s N Virus Protection for Web H wiem ge der Kategorie der URL zu o Extremist Sites F Block suspicious and unknown sites e H D EE seenen ennen verhindern Die Kategorien re a este endet 3 p uaia taea basieren auf der URL Da d URL Blacklist 0 erkries Tee eered eseg tenbank von Cobion Se curity Technologies und k nnen in der Tabelle Surf Protection Categories editiert werden Jedes Surf Protection Profile enth lt einen Content Fi
388. reifer auf sogenannte SYN Flood Attacken die nicht darauf abzielen die Bandbreite auszulasten sondern die Systemressourcen des Servers selbst zu blockieren Dazu verschicken sie sogenannte SYN Pakete an den TCP Port des Dienstes bei einem Web Server also auf Port 80 Durch die Funktion SYN TCP Flood Protection wird die Anzahl der SYN Pakete die in das lokale Netzwerk gesendet werden begrenzt Per Default ist die Funktion ausgeschaltet Statusampel zeigt Rot 234 System benutzen amp beobachten SYN TCP Flood Protection 1 ffnen Sie im Verzeichnis Intrusion Protection das Men DoS Flood Protection Schalten Sie die Funktion durch einem Klick auf die Schaltfl che Enable bei Status ein Anschlie end ffnet sich ein erweitertes Eingabefenster W hlen Sie im Drop down Men Mode den Modus aus Both source and destination addresses In diesem Modus werden SYN TCP Pakete zur ckgewiesen die sowohl die Quell IP adresse als auch die Ziel IP Adresse behandeln zuerst wer den die SYN Pakete f r die Quelladresse gefilter Wenn dann noch zu viele Anfragen vorhanden sind werden zus tzlich die SYN Pakete f r die Zieladresse gefiltert Destination address only In diesem Modus werden nur die SYN TCP Pakete zur ckgewiesen die speziell die Ziel IP Adres se behandeln Source address only In diesem Modus werden nur die SYN TCP Pakete zur ckgewiesen die speziell die Quell IP Adresse behandeln Logging SYN
389. ress Tragen Sie in dieses Eingabefeld die IP Adresse des Domain Controllers ein BDC Name Wenn Sie einen Backup Domain Controller verwen den tragen Sie in dieses Eingabefeld den Namen ein Falls Sie keinen BDC verwenden tragen Sie hier den Namen des PDC ein BDC Address Tragen Sie in dieses Eingabefeld die IP Adresse des Backup Domain Controllers ein Falls Sie keinen BDC ver wenden tragen Sie hier die IP Adresse des PDC ein NT4 Domain Tragen Sie hier den Namen Ihrer MS Windows NT 2000 Domain ein Erlaubte Zeichen sind Das Alphabet das Minus Zeichen und Unterstrich _ Hinweis Dies ist keine Internet Domain wie etwa Firma de sondern ein einfacher Bezeichner z B Intranet Falls Sie das Microsoft Domain Konzept nicht benutzen sondern nur einen einfachen Server haben tragen Sie hier den NETBios Namen des Servers ein Dies entspricht dem Eintrag im Eingabefeld PDC Name 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save N Sicherheitshinweis F r das Shared Secret werden nur Passw rter bestehend aus alphanumerischen sowie Minus und Punkt Zeichen un terst tzt Sonderzeichen z B _ sind nicht m glich 97 System benutzen amp beobachten N Sicherheitshinweis Wenn Sie SAM Authentifizierung verwenden sollten Sie den Guest Account Ihrer Windows Domain deaktivieren da sonst alle Benutzer Passwort Kombinationen als g ltig angesehen werden 5 1 8 5 Active Directory
390. rip Embedded Objects ein und ausgeschaltet Strip Scripts Mit dieser Funktion werden aus dem eingehenden HTTP Datenverkehr Script Inhalte wie Java und VBScript entfernt 294 System benutzen amp beobachten N Sicherheitshinweis Schalten Sie die Funktion Strip Scripts nur ein wenn f r Ihr Netzwerk hohe Sicherheitsanforderungen bestehen Durch einen Klick auf das Kontrollk stchen wird der Strip Scripts ein und ausgeschaltet File extension blocking Mit dieser Funktion werden Dateien mit den Erweiterungen aus der Kontrollliste blockiert Die Zugriffskontrollliste wird durch einen Klick auf die Zeile mit dem Eintrag z B O entries ge ffnet Tragen Sie die Erweiterungen un tereinander in das Eingabefeld ein Achten Sie hierbei darauf dass nur der String exe in der Zeile steht und nicht noch zus tzlich der Punkt vor der Erweiterung richtig exe falsch exe Kommentare m ssen durch das Zeichen am Anfang jeder Zeile gekennzeichnet werden Mit der Schaltfl che Save werden die nderungen ge speichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten URL Whitelist Dies ist eine Zusatzfunktion von Block SP Catego ries Mit dieser Zugriffskontrollliste k nnen Sie den Zugriff auf be stimmte Internetseiten erlauben deren Inhalt eigentlich den Surf Protection Categories Themen entsprechen Profiles Total 1 entries Add blank Profile 7 Name Block SP Categories C
391. rk Mit DMZ verbundene Netzwerk Netzwerk karte f r HA System D Die dritte und weitere Netzwerkkarten sind optional 2 Netzwerkkarte f r High Availability HA 24 Installation 3 2 Installationsanleitung Ab hier werden Sie schrittweise durch die Installation gef hrt Bei der Installation der Software werden alle bestehenden Daten auf Achtung der Festplatte gel scht Vorbereitung Bitte legen Sie vor der Installation folgende Unterlagen bereit Internet Sicherheitssystem CD ROM den License Key f r das Sicherheitssystem die ausgef llte Adresstabelle mit den IP Adressen und Netz werkmasken sowie die IP Adresse des Default Gateway 3 2 1 Software installieren Den ersten Teil der Installation f hren Sie im Installationsmen durch Zuerst erfolgt ein Hardware Check Anschlie end geben Sie ber den Dialog die Daten ein und danach wird die Software auf Ihrem PC eingespielt 1 PC von der CD ROM booten W hlen Sie den passenden Installationsmodus f r Ihren Rechner aus Es stehen drei vorkompilierte Kernel Varianten zur Auswahl Default Kernel f r Systeme mit einer CPU SMP Kernel f r Systeme mit mehreren Prozessoren Classic Kernel f r Systeme mit einer CPU wobei die Unter st tzung f r APIC Advanced Programmable Interrupt Controller 25 Installation und ACPI Advanced Configuration and Power Interface ausge schaltet ist Da bei lteren Hardware Komponenten o
392. rnetseiten die die Unterdr ckung von Minori t ten propagieren 11 Hacking Informationen zu Hacks und Cracks z B Lizenzschl ssel Listen und illegale Lizenzschl ssel Generatoren Drugs 12 Illegal Drugs Informationen zu illegalen Drogen z B LSD Heroine Kokain XTC Haschisch Amphetamine sowie Hilfsmittel zum Drogen gebrauch 13 Alcohol Internetseiten mit verharmlosenden Inhalten zum Alkoholkonsum z B Wein Bier Lik r und Brauereien sowie die Internetseiten von H ndlern alkoholischer Getr nke 14 Tobacco Internetseiten ber Tabak und Rauchen z B Zigarren Ziga retten Pfeifen sowie die Internetseiten von Tabakwarenh ndlern 15 Self Help Addiction Internetseiten von Selbsthilfegruppen Eheberatungen und Sucht beratungsstellen Entertainment_Culture 16 Cinema Television Kinos und sonstige Film und Fernsehangebote z B Programm informationen und Video on Demand 17 Amusement Theme Parks Freizeitveranstalter z B ffentliche Schwimmb der Zoos Mes sen und Vergn gungsparks 18 Art Museums Internetseiten zu kulturellen Veranstaltungen und Museen z B Theater Museen Ausstellungen und deren ffnungszeiten 283 System benutzen amp beobachten 19 Music Internetseiten zu Musikanbietern z B Radiostationen MP3 Real Audio Microsoft Media Internetseiten zu Music Bands Platten firmen und Musikanbietern 20 Literature Books Literatur und B cher
393. rogramm des Emp f ngers zu sortieren oder zu filtern Wie in Microsoft Outlook 2000 die Regeln erstellt werden wird auf Seite 325 beschrieben 318 System benutzen amp beobachten Expression Filter Es besteht auch die M glichkeit dass neue Viren der Firewall noch nicht bekannt sind Diese Viren k nnen aber auch aufgrund einer bekannten Zeichenkette z B der I love you Virus erkannt werden Die Zeichenketten werden in die Kontrollliste eingegeben Wenn nun eine E Mail diese Zeichenkette enth lt wird sie blockiert Neben einfachen Zeichenketten k nnen auch Ausdr cke in Form von Perl Compatible Regular Expressions definiert werden Action In diesem Drop down Men legen Sie fest wie eine von der Firewall gefilterte E Mail behandelt wird Folgende Aktionen sind m glich e Reject Die E Mail wird mit der Fehlermeldung 5xx und einem Kommentar zur ckgesendet Aufgrund dieses Kommentars wird der Host der diese E Mail versendet hat wiederum eine Bounce Nachricht an die Absender adresse schicken e Blackhole Die E Mail wird angenommen und sofort gel scht e Quarantine Die E Mail wird angenommen kommt aber in Qua rant ne Die E Mail wird im Men Proxy Content Manager mit dem Status Quarantine angezeigt In diesem Men stehen Ihnen weitere Funktionen zur Verf gung um die E Mail z B sicher zu lesen oder zu versenden e Warn Die E Mail wird vom Filter behandelt aber durchgelassen Der E Mail wird aber ein Head
394. roto kolliert Die Aktion wird durch einen Klick auf das Kontrollk st chen eingeschaltet Bei Filterverletzungen die dauernd stattfinden sicherheitstech nisch nicht relevant sind und nur die bersichtlichkeit des Packet Filter Live Log beeintr chtigen z B Netbios Broad casts von MS Windows Rechnern ist es empfehlenswert die Funktion Log nicht zu aktivieren Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die Regel hinzuf gen 247 System benutzen amp beobachten 4 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Definition Nach erfolgreicher Definition wird die neue Paketfilterregel immer deaktiviert in die Regelsatztabelle eingetragen Status ampel zeigt Rot Group Source Service Action Destination Comment p 1 none LRSL POP3 gt Any Ze E Mail POP 3 5 Aktivieren Sie die Paketfilterregel durch einen Klick auf die Statusampel Anschlie end stehen Ihnen in der Regelsatztabelle zur Bearbeitung der Paketfilterregeln weitere Funktionen zur Verf gung Neue Regeln werden per Default deaktiviert in die Regelsatztabelle eingef gt Die Paketfilterregel wird erst wirksam wenn sie von Ihnen aktiviert wird Sehen Sie dazu Regel aktivieren deaktivieren Hinweis Die Regelsatztabelle Jede Paketfilterregel wird in der Tabelle duch eine separate Zeile dar gestellt Die verschiedenen Einstellungen werden entweder durch al phanumerische Zeichen
395. rt wieder eingespielt werden Wichtiger Hinweis 3 Definieren Sie mit dem Drop down Men Interval den Zeitab stand nach dem automatisch eine neue Backup Datei erstellt werden soll 75 System benutzen amp beobachten Die m glichen Zeitintervalle sind T glich daily einmal pro Woche weekly und einmal pro Monat monthly Tragen Sie in das Eingabefeld E Mail Addresses die Adresse ein an die die automatisch erstellten Backup Dateien in regel m igen Abst nden gesendet werden soll Durch einen Klick auf die Schaltfl che Add neben dem Eingabe feld E Mail to bernehmen Sie die neue Adresse in das Hierar chiefeld Wenn Sie weitere E Mail Adressen hinzuf gen m chten wieder holen Sie den Schritt 5 Falls die erste Backup Datei sofort generiert und abgeschickt werden soll klicken Sie auf die Schaltfl che Start neben Send Backup now Pr fen Sie die neu generierten Dateien auf Lesbarkeit indem Sie die jeweilige Backup Datei importieren und auf die Schaltfl che Start klicken Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information Brechen Sie anschlie end den Einspielvorgang ab indem Sie auf ein Men im Verzeichnis klicken E Mail Adressen bearbeiten Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 5 ab Seite 43 beschrieben 76 System benutzen amp beobachten 5 1 5 Anti Virus AV Engi
396. rte einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein Beispiel External f r eine Verbindung zum Internet 4 W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet e die Netzwerkkarte mit der Sys ID ethl aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ Standard Ethernet interface aus Beachten Sie dass einer Netzwerkkarte nicht gleichzeitig der Typ Standard Ethernet Interface und PPP over Ethernet 159 System benutzen amp beobachten 160 PPPoE DSL Connection oder PPPTP over Ethernet PPPoA DSL Connection zugewiesen werden kann F hren Sie nun die spezifischen Einstellungen f r den Schnitt stellen Typ durch Address Falls Sie eine statische IP Adresse eintragen m chten w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Wichtiger Hinweis Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren m chten beachten Sie bei der Eingabe des Netzwerks die Beschreibung zu dieser Funktion Netmask Falls Sie eine statische Netzwerkmaske eint
397. rwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Pro tokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Beim Schnittstellen Typ Standard Ethernet Interface kann ein Wert im Bereich 300 bis 10000 eingestellt werden Wichtiger Hinweis Ein MTU Wert der gr er als 1500 Byte ist muss vom Netz werktreiber und von der Netzwerkkarte z B Gigabit Schnitt stelle unterst tzt werden Beim Schnittstellen Typ Standard Ethernet Interface ist be reits ein MTU Wert vordefiniert 1500 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add System benutzen amp beobachten Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot 8 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neu
398. s Anfrage von einem Host Wenn Sie die Anfrage mit einem Signing CA signieren wird der Host CSR zu einem g ltigen Host Zertifikat 389 System benutzen amp beobachten Host Certificate Das Zertifikat beinhaltet den Public Key des Hosts sowie Informationen durch die der Host identifiziert wird z B die IP Adresse oder den Benutzer Das Zertifikat ist au erdem durch eine CA signiert die sicherstellt dass der Key auch tats chlich zu den angegebenen Informationen passt Dieses g ltige Zertifikat wird zur Authentifizierung eines Remote IPSec Hosts Benutzers verwendet Mit Hilfe des Drop down Men s in der Fu zeile der Tabellen k nnen Sie die Zertifikate in verschiede nen Dateiformaten auf Ihren lokalen Client herun terladen oder Zertifikate auf dem System l schen NO CERTS or CSRS nstaled PEM Ein ASCIl codiertes Format Das Zertifikat bzw die Anfrage und der Private Key werden in separaten Dateien gespeichert DER Ein bin rcodiertes Format Das Zertifikat bzw die Anfrage und der Private Key werden in separaten Dateien gespeichert PKCS 12 Ein Container File Diese Datei kann das Zertifikat den Private Key und den Authentication CA beinhalten Delete Die ausgew hlten Zertifikate werden aus der Tabelle gel scht Issue CERT from CSR Mit dieser Funktion wird aus dem CSR das Zertifikat generiert 390 System benutzen amp beobachten Client Host Zertifikat erstellen Schritt 1 Das Signing CA
399. s Die IPSec VPN Funktion dieses Internet Sicherheitssystems un terst tzt mehrere Verschl sselungs Algorithmen F r die Authentifizierung kann wieder der MD5 oder der SHA 1 Algo rithmus verwendet werden Schl sselverwaltung Key Management Die sichere Erzeugung Verwaltung und Verteilung der Schl ssel ist ausschlaggebend f r die erfolgreiche Nutzung einer VPN Verbindung IPSec unterst tzt die manuelle Manual Keying sowie die automa tische Schl sselverteilung Internet Key Exchange F r die manuelle Schl sselverteilung Manual Keying m ssen beide Seiten des VPN Tunnels von Hand konfiguriert werden Im Detail bedeutet dies dass f r jede der beiden Security Associations SA immer zwei je VPN Tunnel ein Security Parameter Index SPI ausgew hlt je ein Schl ssel f r die Verschl sselung und die Authentifizierung generiert werden muss und diese Schl ssel auf beiden Seiten installiert werden m ssen Diese Schl ssel sollten sp ter in regelm igen Abst nden gegen neue ersetzt werden 362 System benutzen amp beobachten Die manuelle Schl sselverteilung ist sehr aufwendig Des Weiteren birgt dieses Verfahren einige Sicherheitsrisiken da gew hrleistet sein muss dass Unbefugte keinen Zugang zu den Schl sseln haben Bei neuen Installationen wird Manual Keying heute nur noch selten verwendet Mit Hilfe des Internet Key Exchange IKE Protokolls f hrt IPSec die Schl sselverwaltung selbst ndig durch Di
400. s ab PX bytes 646501897 616 6 Nb TX bytesi646581097 616 6 Si s ARP Table Diese Tabelle stellt den ARP Cache des Systems dar Dies sind alle dem System bekannten Zuordnungen von IP Adressen zu Hardware Adressen MAC Local Network Connec tions In der Tabelle wer Active Internet comnections servers and established er ee TS den alle aktuellen Netzwerk DZ It DS Limes d ee E verbindung von Ihrem Sys D LI AS K f f KREE aen isy tem angezeigt Verbin ked D O 0 0 0 0 22 D umy ZO o DAU one dungen durch das System ZZ Im ET SE f A 8 LEI vu werden nicht angezeigt ur 2024 192 1 ESTABLISED a I 409 System benutzen amp beobachten 5 9 Remote Management Remote Management Im Verzeichnis Remote Management befinden sich die Schnittstel len zu weiteren Programmen und Tools durch die das Sicherheits system und die privaten Netzwerke remote verwaltet werden k nnen 5 9 1 Astaro Command Center ACC In diesem Men wird der E Device Agent f r das zen SET ae trale Management Sys tem Astaro Command Center eingeschaltet Das Astaro Command Center erm glicht die zentrale Beobachtung und Verwaltung der im Einsatz befindlichen Astaro Security Gateway Sicherheitssysteme ab Version 6 1 In der Gesamt bersicht wird f r jede der angebundenen Sicherheitssysteme der genaue Status die aktuelle Version der aktuelle Stand des Updates die derzeitige Sys
401. s an die Domains versendet werden die in der Tabelle Domain Groups definiert wurden 6 Klicken Sie in der Zeile Transparent Mode auf die Schaltfl che Enable wenn der Proxy in diesem Modus betrieben werden soll 305 System benutzen amp beobachten Anschlie end zeigt die Statusampel gr n Das Auswahlfeld Skip source destination networks wird nur im Transparent Modus angezeigt Hier haben Sie die M glichkeit bestimmte Netzwerke oder Hosts f r den Proxy auszuschlie en Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben Die Grundeinstellungen sind nun durchgef hrt Aus den eingestellten Netzwerken k nnen nun ber den Proxy E Mails versendet werden Die Domain Groups Tabelle In dieser Tabelle k nnen mehrere Domains z B mydomain com mydomain de etc in einer Gruppe zusammengefasst werden F r jede Domain bzw Sub Domain wird in der Tabelle eine Zeile hinzu gef gt Die Zusammenfassung erfolgt ber den Group Namen Das nachfolgende Bild zeigt vier Domain Groups Domain Groups Total 5 entries 7 Group T e sio S Development project agency org Subdomains are NOT included Internal Communication intranet project agency com Subdomains are included Marketing project agency de Subdomains are NOT included Marketing project agency com Subdomains are NOT included Reseller software com Subdomains are NOT included Die Funktionen von links nach rechts sind
402. schen Default Gateway w h len Sie im Drop down Men Static aus und tragen in das Ein gabefeld die Adresse ein Wenn Sie die Adresse durch einen DHCP Server zuweisen lassen m chten w hlen Sie im Drop down Men Assign by DHCP aus Falls Sie kein Default Gate way definieren m chten w hlen Sie im Drop down Men None aus VLAN Tag Tragen Sie in das Eingabefeld den Tag f r das virtu elle Netzwerk ein QoS Status Um auf einer Schnittstelle Bandbreitenmanage ment mit der Funktion Quality of Service QoS durchzu f hren muss zuvor die Schnittstelle freigegeben und konfiguriert werden Um die Schnittstelle f r die Funktion Quality of Service QoS freizugeben w hlen Sie im Drop down Men On aus Wichtiger Hinweis F r das Bandbreitenmanagement Quality of Service QoS m ssen Sie die Werte Uplink Bandwidth kbits und Down link Bandwidth kbits definieren Die beiden Werte dienen als Rechengrundlage f r das Bandbreitenmanagement Falsche Angaben f hren zu einem ungenauen Management der Daten str me Die Funktion Quality of Service QoS wird in Kapitel 5 5 1 beschrieben Uplink Bandwidth kbits Diese Einstellung wird nur ange zeigt wenn die Funktion QoS eingeschaltet ist In dieses Einga bemen tragen Sie die f r den Uplink verf gbare Bandbreite in vollen Kilobits ein Diese ergibt sich aus den Werten der vorge schalteten Schnittstelle oder Router Downlink Bandwidth kbits Diese Einstellung wird nur ange
403. schen Komponenten Die Informationen und Fehlermeldungen die vom HTTP Proxy zur ck gesendet werden sind in Kapitel 5 10 3 3 auf Seite 462 aufgef hrt 290 System benutzen amp beobachten Die Funktionen Das nachfolgende Bild zeigt ein Surf Protection Profile Profiles Total 1 entries Add blank Profile Fall Block SP Categories Content Scanning Features Default e Information_and_Communication 4 virus Protection for Web VW Block Spyware Infection and Communication IT Block suspicious and unknown sites IV Strip Embedded Objects ActiveX Java Flash IV Strip Scripts Javascript VBScript d File extension blocking 0 entries URL Whitelist 1 entries d URL Blacklist 0 entries d Custom HTML content removal 0 entries Die Funktionen von links nach rechts sind Profile l schen 8 Durch einen Klick auf das Papierkorb Symbol wird das Profil aus der Tabelle gel scht Name Dies ist der Name des Surf Protection Profile Der Name wird ben tigt um das Profil einem bestimmten Netzwerk Network oder einem Benutzer User zuzuweisen Das Editierfenster wird durch einen Klick auf das Feld mit dem Eintrag z B Default ge ffnet Mit der Schaltfl che Save wird die nderung gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Eintrag beibehalten Block SP Categories In diesem Feld w hlen Sie die Themen der Internetseiten aus die f r dieses Profil gesperrt sein sollen Das Au
404. schnitt wird als Beispiel detailliert das Einrichten von Microsofts IAS RADIUS Server f r MS Windows NT und 2000 be schrieben Falls Sie einen anderen RADIUS Server verwenden be n tigen Sie die folgenden Informationen um den Betrieb mit der Benutzerauthentifizierung des Internet Sicherheitssystems zu erm g lichen 91 System benutzen amp beobachten Die Authentifizierungsanfrage enth lt drei gesetzte Felder e Benutzername e Passwort in Klartext PAP e Proxyart String http smtp oder socks im Feld NAS I dentifier Der RADIUS Server muss anhand dieser Informationen entscheiden ob der Zugriff auf den Proxy bewilligt wird und eine entsprechende Antwort zur ckliefern Microsofts IAS RADI US Server einstellen IAS wird mit allen Microsoft Windows 2000 Server Versionen aus geliefert ist aber standardm ig meist nicht installiert F r Microsoft Windows NT4 ist IAS Bestandteil von NT4 Option Pack und ist ohne Aufpreis erh ltlich Die MS Windows NT4 IAS Version hat weniger Features als die 2000er Version jedoch reicht diese f r die gebr uch lichen Authentifizierungs Einstellungen dieses Sicherheitssystems vollkommen aus 1 Installieren Sie den IAS Dienst falls er nicht bereits installiert ist 2 Legen Sie f r jeden Proxy der verwendet werden soll eine Benutzergruppe an Tipp E Sie die Gruppe entsprechend des zugeordneten Proxydienstes Die Gruppe f r den HTTP Proxy k nnte z B HTTP Proxybenutzer la
405. schreibung schnell e erver gl Remote M finden entspricht das Kapitel 5 System benutzen amp beobachten der Verzeichnisstruktur des WebAdmin 4 3 Men F r jede Funktion des Internet Sicherheitssystems ist im Konfigura tionstool WebAdmin ein separates Men enthalten Diese Men s ent halten hilfreiche Werkzeuge die in diesem Kapitel erkl rt werden 4 3 1 Die Statusampel Einige Funktionen des Inter net Sicherheitssystems sind E nach der Installation per De Imertonstokunen Elan fault Einstellung ausgeschal tet da diese zuerst konfigu riert werden m ssen LE Forwarding Name Servers IT Ae i Funktion wird durch die Sta Der aktuelle Status einer WebAdmin Werkzeuge tusampel angezeigt e rot Funktion ist ausgeschaltet e gr n Funktion ist eingeschaltet Die Werkzeuge zur Konfiguration dieser Funktionen und Dienste wer den erst ge ffnet wenn die Statusampel Gr n zeigt 4 3 2 Das Auswahlfeld Selected EEE Mit dem Auswahlfeld wer TE n den den Funktionen und i _10_2 Netword intemal Address Diensten die daf r befugten Internal Broadcast Netzwerke Allowed Net works und Benutzer Al lowed Users zugeordnet Netzwerk oder Benutzer zuordnen 1 W hlen Sie im Feld Available das Netzwerk bzw den Benutzer aus indem Sie den entsprechenden Namen mit der Maus mar kieren Sie k nnen mehrere Namen auf einmal ausw hlen indem Sie die CTRL Tast
406. ser Regel ausschlie en Klicken Sie anschlie end auf die Schaltfl che Weiter Geben Sie einen Namen f r die Regel ein Schritt 5 Tragen Sie in das Eingabefeld einen eindeutigen Namen f r diese Regel ein Mit den darunter liegenden Optionsfeldern k nnen Sie diese Regel aktivieren und auch auf E Mails anwenden die sich bereits im Ordner Posteingang befinden Im Fenster Regelbe schreibung k nnen Sie Ihre Einstellungen ndern Klicken Sie anschlie end auf die Schaltfl che Fertig stellen Regeln in dieser Reihenfolge anwenden Schritt 6 Im Regel Assistenten k nnen Sie die Regeln durch einen Klick auf das Optionsfeld aktivieren und deaktivieren sowie nder ungen durchf hren Um den Regel Assistenten zu schlie en klicken Sie auf die Schaltfl che OK System benutzen amp beobachten SMTP Authentication BE Mit SMTP Authentication k nnen sich Mail Clients wie z B MS Outlook Out look Express oder Nets cape Messenger am SMTP Proxy authentifizieren Dies ist f r dyna mische IP Endpunkte sehr n tzlich Mit der Funktion Require TLS Connection k nnen Sie bestimmen ob eine entsprechend verschl s selte Verbindung ben tigt wird F r eingehende Verbindungen ist TLS immer eingeschaltet und der Proxy nutzt automatische die starke Verschl sselung wenn der externe Host diese Funktion unterst tzt SMTP ist normalerweise unverschl sselt und kann von Dritten leicht mitgelesen werden Die Funktion sollte aus diesem
407. sers angelegt werden Es k nnen aber auch externe Benutzer Datenbanken abge fragt werden Unterst tzt werden die Authentifizierungsmethoden RADIUS SAM Windows NT Windows 2000 XP Server Microsoft Active Directory die Domain Anbindungs Methode von NTML und OpenLDAP Dies kann von Vorteil sein wenn bereits eine Benutzer datenbank auf einem solchen Server vorhanden ist und die Benutzer somit nicht noch einmal auf dem Internet Sicherheitssystem einge tragen werden m ssen Wichtiger Hinweis Bitte beachten Sie dass verschiedene Authentifizierungsmethoden e nicht zur selben Zeit unterst tzt werden k nnen In MS Windows basierten Netzwerken verwaltet der Domain Con troller DC f r eine Client Gruppe den Zugang auf die zur Verf gung stehenden Ressourcen z B Applikationen Drucker etc Der Be nutzer muss sich nur in der Domain anmelden um den Zugang zu diesen Ressourcen zu erhalten Die aktuellen Betriebssysteme eines Domain Controllers sind Microsoft Windows 2000 Server und 2003 Server und enthalten den Microsoft eigenen Verzeichnisdienst Active Directory AD Ein Verzeichnisdienst stellt in einem Netzwerk zentralisiert Informa tionen zu Ger ten Devices Diensten Services und den zugriffsbe rechtigten Benutzern authorized Users zur Verf gung F r die Win dows Nutzer verteilt der Verzeichnisdienst Account Informationen Rechte Profile und die Policy Bei Verwendung einer Authentifizie rungsmethode mit Active Directory
408. server DNS oder den Ihres Internet Service Providers eintragen Andernfalls verwendet Ihr Internet Sicherheitssystem automa tisch die Root Nameserver Die Konfiguration des DNS Proxy wird in Kapitel 5 6 4 ab Seite 336 beschrieben Weitere Netzwerke anschlie en Falls noch weitere interne Netzwerke vorhanden sind verbinden Sie diese mit den Netzwerkkarten des Internet Sicherheits systems 13 14 15 Installation HTTP Proxy konfigurieren Falls Rechner im internen Netzwerk unter Verwendung des Proxies auf das Internet zugreifen sollen ffnen Sie im Verzeich nis Proxies das Men HTTP und schalten Sie den Proxy durch einen Klick auf die Schaltfl che Enable ein Damit die Rechner im internen Netzwerk anschlie end unter Ver wendung des HTTP Proxy auf das Internet zugreifen k nnen m ssen die Browser eventuell konfiguriert werden z B wenn der Proxy f r den Betriebsmodus Standard konfiguriert wurde Die Konfiguration des HTTP Proxy wird in Kapitel 5 6 1 ab Seite 269 beschrieben Die Paketfilterregeln setzen ffnen Sie im Verzeichnis Packet Filter das Men Rules und setzen Sie die Paketfilterregeln Neue Regeln werden inaktiv an letzter Stelle angef gt und m ssen dann einsortiert werden Die Regeln werden von oben nach unten abgearbeitet wobei die Verarbeitung durch die erste zutreffende Regel beendet wird Durch einen Klick auf die Statusampel wird die Regel aktiv Statusampel zeigt Gr n Beachten
409. sieren in der Werk zeugleiste Ihres Browsers Sie werden sonst aus der Session geworfen und m ssen sich im Konfigu rationstool WebAdmin neu anmelden 45 System benutzen amp beobachten 5 System benutzen amp beobachten WebAdmin ist das web basierte Konfigurationstool das Sie bereits von der In stallation her kennen In diesem Kapitel werden ausf hrlich die Bedienung des Sicherheitssystems und seine Funktionen beschrie ben Die verschiedenen Einstellungen werden an hand von Step by step Anleitungen erl utert Dabei wird allerdings nicht auf die Funktionsweise der Werkzeuge eingegangen Die Werk zeuge werden in Kapitel 4 beschrieben Das Ziel des Administrators sollte sein so wenig wie m glich und so viel wie n tig durch das Sicherheitssystem zu lassen Dies gilt sowohl f r eingehende als auch f r ausgehende Verbindungen Tipp Planen Sie zuerst Ihr Netzwerk und berlegen Sie sich genau welchen Rechnern welche Dienste Services zugeordnet werden sollen Dies vereinfacht Ihnen die Konfiguration und erspart Ihnen viel Zeit die Sie sonst f r die nachtr gliche Definition von Netzwerken oder Diensten ben tigen Gehen Sie bei der Konfiguration des Internet Sicherheitssystems und Ihres Netzwerks folgenderma en vor 1 2 46 Richten Sie alle erforderlichen Netzwerke und Hosts ein Definieren Sie die ben tigten Dienste auf dem Internet Sicher heitssystem F hren
410. sionen der beiden Systeme bereinstimmen 65 System benutzen amp beobachten Pattern Up2 Date Durch die Funktion Pattern Sr ea pattem Up2date werden die Anti Virus Engines das Spam Protection und das Intrusion Protection System IPS mit neuen Pat terns bzw IPS Angriffssigna turen aktualisiert Sie haben die M glichkeit die Sicherheits Abon nements manuell oder automatisch in bestimmten Zeitintervallen auf dem neusten Stand zu halten Die Tabelle Latest Pattern Up2Dates informiert Sie welche Pat tern Up2Date Pakete zuletzt installiert wurden Die Virus Protection Patterns f r die Astaro AV Engine und f r die Open Source Engine die Spam Protection Patterns und die Intrusion Protection Angriffssigna turen werden separat aufgelistet Es werden nur die Pattern Up2Dates f r die installierten Security Subscriptions angezeigt Die Sicherheits Abonnements Subscriptions werden in Kapitel 5 1 2 auf Seite 56 beschrieben Pattern Up2Date manuell 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 Klicken Sie im Fenster Pattern Up2Date auf die Schaltfl che Start bei Update now Das System pr ft nun ob auf dem Update Server neue Pattern Up2Date Pakete vorhanden sind l dt diese herunter und installiert sie auf dem Internet Sicherheitssystem Der gesamte Up2Date Vorgang wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich beendet wenn im Fenster die Meldun
411. soll kurz auf einige Formen und ihre Ab leger eingegangen werden Netzwerkschicht Firewalls Paketfilter Packet Filter Wie der Name schon sagt werden hier IP Pakete bestehend aus Adressinformation einigen Flags und den Nutzdaten gefiltert Mit einer solchen Firewall k nnen Sie basierend auf verschiedenen Vari ablen Zugang gew hren oder ablehnen Diese Variablen sind u a e die Ursprungsadresse e die Zieladresse e das Protokoll z B TCP UDP ICMP e die Port Nummer Dieser Ansatz bietet gro e Vorteile Seine Geschwindigkeit bei der Be arbeitung der Pakete und er ist betriebssystem und applikations neutral In der fortgeschrittenen und komplexeren Entwicklungsform umfasst der Leistungsumfang von Paketfiltern die Interpretation der Pakete auf h herer Kommunikationsebene In diesem Fall werden Pakete auch auf Transportebene TCP UDP interpretiert und Statusinfor mationen f r jede aktuelle Verbindung werden bewertet und festge halten Dieses Vorgehen wird als Stateful I nspection bezeichnet Der Paketfilter merkt sich den Zustand jeder einzelnen Verbindung und l sst nur Pakete passieren die dem aktuellen Verbindungszu stand entsprechen Besonders interessant ist diese Tatsache f r Ver bindungsaufbauten vom gesch tzten in das ungesch tzte Netzwerk Baut ein System im gesch tzten Netzwerk eine Verbindung auf so l sst der Stateful I nspection Packet Filter z B Antwortpakete des 13 Einf hrung in die
412. ssen sich oft Engp sse in ihrer Entstehung beobachten und beheben bevor sie zum Problem werden Im Fenster SNMP Access stellen Sie die Berechtigungen f r den Zugriff auf den SNMP Dienst ein Die Benutzer aus den eingestellten Netzwerken k nnen dann mit Read only Berechtigung Abfragen an den SNMP Server auf dem Internet Sicherheitssystem ausf hren N Sicherheitshinweis Der SNMP Datenverkehr Protokoll Version 2 zwischen dem In ternet Sicherheitssystem und dem Netzwerk ist unverschl sselt Zugang auf SNMP Server erlauben 1 Schalten Sie die Funktion SNMP Access durch einen Klick auf die Schaltfl che Enable ein 2 W hlen Sie im Auswahlfeld Allowed Networks die Netzwerke aus von denen auf den SNMP Server zugegriffen werden darf 3 Tragen Sie in das Eingabefeld den Community String ein 4 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save 79 System benutzen amp beobachten Im Fenster SNMP Traps re k nnen Sie einen Trap en See Server definieren an den f r die Systemadmini stration relevante Benachrichtigungen als SNMP Traps abgeschickt werden Zur Erkennung dieser Traps wird eine spezielle SNMP ber wachungs Software ben tigt Host iP Addre weg 9 192 160 2 150 pubte Die Benachrichtigungen die als SNMP Trap abgeschickt werden ent halten die Objekt ID OID der Astaro AG Die OID f r Benach richtigungsereignisse 1500 die Einstufung der Benachrichtig
413. st werden vom Internet Sicher Wichtiger Hinweis heitssystem keine Log Files generiert Local Log File Archives Mit dieser Funktion werden die generierten Log Files lokal auf dem Internet Sicherheitssystem archiviert Die Ein stellungen f r das lokale Log File Archiv werden im Fenster Local Log File Archive durchgef hrt Per Default ist die Funktion nach dem Einschalten der Logging Funk tion ebenfalls eingeschaltet Remote Log File Archives Mit dieser Funktion k nnen die generier ten Log Files remote auf einem Host oder Server archiviert werden Die Einstellungen zur Automatisierung der Log File Archivierung auf einem separaten Server werden im Fenster Remote Log File Archive durchgef hrt 417 System benutzen amp beobachten Local Log File Archive Fer J In diesem Fenster k nnen Sie eo we die Auslastung der lokalen Log Delete Log Fies im J File Partition beobachten Das een 7 5 Diagramm zeigt den derzeit be do ths mann ooo legten Speicherplatz in MB so TE pama wie die prozentuale Auslastung dE Ewe dieser Partition an ist a E Im unteren Fenster stellen Sie do ths CO lies mit Hilfe der Drop down Men s ein wie das System reagieren soll sobald ein bestimmter Anteil der Partition von den Log Files belegt ist Hierbei k nnen drei Stufen mit jeweils unterschiedlichen Aktionen belegt werden Delete Log Files span of time Stellen Sie in diesem Drop down Men die Zeitspanne in Tagen
414. st nun eingestellt Im Fenster Never block Net works k nnen Sie Netzwerke oder Hosts vom Blockierschutz aus nehmen 118 System benutzen amp beobachten 5 1 10 WebAdmin Site Certificate Ein wichtiger Bestandteil des Sicherheitssystems sind die Verschl s selungsverfahren Diese kryptographischen Verfahren werden bei der bertragung vertraulicher Daten ber Virtual Private Networks Kapitel 5 7 ab Seite 355 bei der Benutzerauthentifizierung beim Up2Date Service sowie zur sicheren Administration des Internet Sicherheitssystems angewendet Zertifikate und Certificate Authorities CA sind ein wesentlicher Be standteil moderner kryptografischer Anwendungen und schlie en die Sicherheitsl cken die bei anderen Algorithmen alleine noch offen bleiben Eine sehr elegante Art verschl sselt zu kommunizieren sind die Public Key Algorithmen Sie setzen jedoch voraus dass die ffentlichen Schl ssel aller Partner bekannt sind Hier kommt eine vertrauensw rdige dritte Stelle ins Spiel die f r die Echtheit ffentlicher Schl ssel sorgt Zu diesem Zweck stellt sie Zertifikate aus Diese Stelle wird daher auch Cerficate Authority CA genannt Ein Zertifikat ist ein Datensatz oder ein Text in einem standardisierten Format mit den wichtigsten Daten des Besitzers seinem Namen und seinem ffentlichen Schl ssel unterschrieben mit dem privaten Schl ssel der CA Das Format der Zertifikate ist im xX 509 Standard festgelegt In einem Zert
415. stand erlaubt die Bridge Anfragen an die MAC Zieladresse FF FF FF FF FF FF Dies kann eventuell von mutma lichen Angreifern genutzt werden um Informationen ber die Netzwerkarten im entsprechenden Netzwerksegment oder sogar auf dem Sicherheitssystem selbst zu sammeln Falls derartige Anfragen die Bridge passieren sollte diese Funktion daher ausgeschaltet werden Im voreingestellten Zustand ist die Funktion Allow ARP Broadcasts eingeschaltet Statusampel zeigt gr n Das Modul entfernt nach einer bestimmten Zeitspanne inaktive MAC Adressen aus der Bridging Tabelle Garbage Collection Intervall seconds In diesem Eingabefeld stellen Sie ein in welchem Zeitintervall die Bridging Tabelle nach in aktiven MAC Adressen durchsucht wird Adressen mit entsprechender Zeit berschreitung werden gel scht Die Funktion ist auf 4 Sekunden voreingestellt Ageing timeout In diesem Eingabefeld stellen Sie ein nach welcher Zeitspanne eine inaktive Adresse gel scht wird Die Funktion ist auf 300 Sekunden voreingestellt 193 System benutzen amp beobachten 5 3 4 Routing Jeder an ein Netzwerk angeschlossene Rechner verwendet eine Routing Tabelle Mittels dieser Routing Tabelle stellt der Rechner fest ob er ein Datenpaket direkt an den Zielrechner im gleichen Netzwerk oder an einen Router versenden muss Static Routes Static routes Total 1 enre New ere zz F r die direkt angeschlos senen Netzwerke tr gt das Internet Sicher
416. statische Route weiterzuleiten Bevor Sie den SMTP Proxy ausschalten sollten Sie daher die sta tischen Routen l schen oder die ge nderte Route eintragen Wichtiger Hinweis Sender Blacklist Mit dieser Funktion k nnen E Mails mit be stimmten Absenderadressen z B von bekannten Spam Hosts ge meee era ae o blockt werden Beide Absen Enter one pattern per line possible patterns are E deradressen auf dem Um rblack head hunter com head hunter com Orhend hunter com schlag sowie die From und Reply To Header der einge henden E Mails werden mit der Kontrollliste verglichen Tragen Sie die Adressen wie nachfolgend beschrieben in die Kontrollliste ein Die Kon Es trollliste wird durch einen Klick auf die Meldung z B O entries ge ffnet 308 System benutzen amp beobachten e E Mails einer bestimmten Adresse sollen geblockt werden Eingabe user domain com e Alle E Mails einer bestimmten Domain sollen geblockt werden Eingabe domain com e Alle E Mails eines bestimmten Benutzers sollen blockiert werden egal von welcher Domain diese abgesendet werden Eingabe user Kommentare m ssen durch das Zeichen am Anfang jeder Zeile ge kennzeichnet werden Adressen die mit diesem Zeichen beginnen werden von der Funktion Sender Blacklist nicht ber cksichtigt Mit der Schaltfl che Save werden die nderungen gespeichert Durch einen Klick auf die Schaltfl che Cancel wird der alte Ei
417. stens eine Zahl mindestens ein nicht alphanumerisches Zeichen innerhalb der ASII Tabelle Zeile 32 bis 126 Die Restriktionen f r die Passw rter sind nur f r neu Installierte Si cherheitssysteme ab Version 6 105 g ltig oder treten in Kraft falls ab der Version 6 105 die Aktion Passwort Reset oder Factory Reset durchgef hrt wurde 55 System benutzen amp beobachten 5 1 2 Licensing Die Lizenzierung des Inter net Sicherheitssystems er folgt im Registrierungsportal von MyAstaro die Adresse lautet http my astaro com ber MyAstaro k nnen Sie eine 30 Tage Testversion he runterladen und diese sp ter in eine Unternehmensversion umwandeln Der Preis f r die Unternehmensversion richtet sich nach der Gr e des zu sch tzenden Netzwerks des Support Umfangs und der zus tz lich zur Basislizenz abonnierten Funktions und Sicherheitspakete Die Basislizenz und die drei Funktions und Sicherheitspakete enthal ten die folgenden Module e Basislizenz Firewall VPN Gateway und Intrusion Protection e Maintenance Up2Date Service und Technical Support e Secure E Mail Subscription Spam Protection Virus Protection for E Mail e Secure Web Subscription Surf Protection URL Filtering Virus Protection for Web Zur Lizenzierung einer Unternehmensversion ben tigen Sie zuerst den Activation Key Mit diesem Activation Key aktivieren Sie anschlie end im Registrierungsportal von MyAstaro den License Key Nur dieser
418. stination Comment 8 none 0 O Internal Network 9 POP3 p Any E Mail POP 3 245 System benutzen amp beobachten 246 F hren Sie die folgenden Einstellungen durch Position Bestimmen Sie in welche Zeile der Tabelle die Paket filterregel eingef gt werden soll Die Reihenfolge der Paketfilter regeln kann auch sp ter ge ndert werden Per Default wird die Regel an das Ende To Bottom der Regeltabelle eingef gt Group Zur einfacheren Administration des Regelwerks k nnen die Paketfilterregeln einer Gruppe zugeteilt werden Die Zugeh rigkeit zu einer Gruppe hat keinen Einfluss auf die Abarbeitung der Regel im Regelwerk Bei der ersten Regel kann in diesem Drop down Men noch keine Gruppe ausgew hlt werden Neue Gruppen werden in der Regel satztabelle definiert Source W hlen Sie im Drop down Men die Quelladresse der Datenpakete aus Die Einstellung Any trifft auf alle IP Adressen zu egal ob es sich um offiziell zugeteilte oder private IP Adressen gem RFC1918 handelt Service W hlen Sie im Drop down Men den Dienst aus Im Drop down Men sind sowohl die vordefinierten als auch die von Ihnen selbst festgelegten Dienste enthalten Mit Hilfe dieser Dienste l sst sich der zu bearbeitende Datenverkehr pr zise defi nieren Die Einstellung Any steht hier stellvertretend f r alle Kombinationen aus Protokollen und Quell bzw Zielport Destination W hlen Sie im Drop down Men die Zieladresse de
419. store a Backup Die Backup Datei kann im Bedarfsfall auf zwei Arten auf dem Sicher heitssystem installiert werden manuell ber das Fenster Restore a Backup oder ab der Software Version 6 203 automatisch w hrend des Systemneustarts ber einen an das Sicherheitssystem ange schlossenen USB Speicher Stick W hrend eines Neustarts wird vom System gepr ft ob an einer USB Schnittstelle Universal Serial Bus ein entsprechendes Speicherme dium angeschlossen ist und ob sich darauf Dateien mit der Erwei terung abf astaro backup file befinden Falls eine Backup Datei vor handen ist wird diese automatisch auf dem Sicherheitssystem instal liert Anschlie end wird das Sicherheitssystem neu gestartet Falls der USB Speicher als Lese und Schreibmedium genutzt werden kann werden auf diesem zur Auswertung des Wiederherstellungs prozesses relevante Informationen gespeichert Solange der USB Speicher an das Sicherheitssystem angeschlossen bleibt verhindert eine vom System generierte Lock Datei dass die Backup Datei nicht immer wieder neu installiert wird Falls Sie beab sichtigen die bereits eingespielte Backup Datei neu zu installieren 70 System benutzen amp beobachten muss zuvor die Lock Datei gel scht werden Dies erfolgt indem Sie das Sicherheitssystem ohne den USB Speicher neu starten Eine mit der Funktion Encryption verschl sselte Backup Datei kann nicht ber den USB Stick installiert werden Die Funktion Encryption wird a
420. summe aller erfolgreich aufgebauten Anrufe 5 8 11 HTTP Proxy Usage In diesem Men wird der Zugriff auf den HTTP Proxy protokolliert Wenn Sie im HTTP Proxy User Authentication ein geschaltet haben werden im Protokoll Einzelheiten zum Benutzernamen an gezeigt Es gibt drei Protokoll Typen Erlaubte Seiten u Diese Protokolle enthalten Internet seiten die durchgelassen wurden e Blockierte Seiten CP Diese Protokolle enthalten Internetseiten die vom Content Filter blockiert wurden e Bilockierte Categories Diese Protokolle enthalten Internet seiten die von Surf Protection Categories blockiert wurden 403 System benutzen amp beobachten 5 8 12 Executive Report Im Men Executive Report wird aus den einzelnen Berichten im Verzeichnis Reporting ein Gesamtbericht zusammengestellt Daily Executive Report by E Mail a U 0 0 20 Einmal pro Tag wird ein E Mail Addresses aktualisierter Gesamtbericht an die im Hierarchiefeld eingetragenen E Mail Adressen geschickt Die Funktion wird automa tisch aktiviert sobald im Feld eine Adresse eingetragen ist Neue E Mail Adressen werden vom Eingabefeld durch einen Klick auf die Schaltfl che Add in das Hierarchiefeld bernommen Die Funktionsweise des Hierarchiefeldes wird in Kapitel 4 3 5 ab Seite 43 beschrieben Current Report Durch einen Klick auf die GJ Schaltfl che Show ffnen Sie ein Fenster mit dem ak a tuellen Gesamtbericht De
421. swahlfenster wird durch einen Klick auf den Eintrag z B 0 entries ge ffnet Das Modul Surf Protection enth lt 18 definierte Surf Protection Categories Diese 18 Kategorien werden in der gleichnamigen Tabel le verwaltet und editiert Die Verwaltung der Surf Protection Categories wird ab Seite 289 beschrieben Virus Protection for Web Mit dieser Funktion werden die einge henden Daten auf potentiell gef hrliche Inhalte wie z B Viren 291 System benutzen amp beobachten untersucht Durch einen Klick auf das Kontrollk stchen wird Virus Protection for Web ein und ausgeschaltet Block Spyware Infection and Communication Diese Funktion entdeckt und blockiert Spyware die vom Server zum Client geladen wird Dadurch wird verhindert dass der Computer mit neuer Spyware infiziert wird Zus tzlich kann diese Funktion den Datenverkehr zwi schen der bereits auf einem Client installierten Spyware und dem Internet erkennen und unterbinden Die Spyware ist somit nicht mehr in der Lage die von ihr gesammelten Informationen an den Empf nger weiterzuleiten Bei Spyware handelt es sich um Anwendungen die Informationen ber einen Benutzer und seine Surfgewohnheiten sammeln und diese ber das Internet versenden ohne dass der Benutzer dar ber infor miert geschweige den sein Einverst ndnis eingeholt wird Der Begriff Spyware umfasst ebenfalls so genannte Adware Malware oder andere Anwendungen dieser Art die das System eines Benut
422. system Anbieters in Verbindung System Up2Date Wrong MD5sum for local System Up2Date Package Die MD5 Pr fsumme des lokalen System Up2Date Pakets ist falsch Bitt laden Si in neues Up2Date Paket herunter Die Up2Dates k nnen unter http download astaro com asl up2date he runtergeladen werden Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Wrong MD5sum for down loaded Up2Date Package Die MD5 Pr fsumme des eingespielten System Up2 Date Pakets ist falsch Bitt spielen Si in neues Up2Date Paket in Wenn sich das Problem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2Date failed Could not connect to Authentication server Trying another on Die Verbindung zum Authentisierungs Server kann nicht aufgebaut werden 453 System benutzen amp beobachten 309 320 322 323 324 325 333 454 System Up2Date failed No Authentication server available Die Authentisierung ist fehlgeschlagen Kein Authentisierungs Server verf gbar System Up2Date failed Invalid start parameters Der System Up2Date Prozess wurde mit den fal schen Parametern gestartet Wenn sich das Pro blem wiederholt setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung System Up2date Next Up2Date installat
423. t Die Einstellungen werden in der Spalte Parameters angezeigt 167 System benutzen amp beobachten 5 3 2 3 Virtual LAN Add Interface Mit Virtual LAN kann ein S Netzwerk auf Ethernet Ebe ne Layer 2 in mehrere virtuelle Netzwerksegmente aufgeteilt werden Dies kann z B aus Sicherheitsgr nden von Vorteil sein wenn be stimmte Rechner Clients in einem Netzwerk nicht mitei nander kommunizieren d r fen In gr eren Netzwerken kann es wiederum praktisch sein wenn weiter entfernte Rechner Clients im selben Netzwerksegment liegen k nnen Siehe Beispielkonfiguration auf der n chsten Seite Auf einem VLAN f higen Switch k nnen die Ports in verschiedene Gruppen getrennt werden Bei einem Switch mit 20 Ports kann z B das VLAN Gruppe 1 die Ports 1 bis 10 und das VLAN Gruppe 2 die Ports 11 bis 20 erhalten Der Rechner an Port 1 kann nun nicht mehr mit dem Rechner an Port 11 kommunizieren Der Switch wurde demnach in zwei kleinere Switches aufgeteilt F r die Verbindung zwischen dem Internet Sicherheitssystem und den Virtual LANs ben tigen Sie eine Netzwerkkarte mit tag f higem Trei ber Ein Tag ist ein kleiner 4 Byte Header der an den Ethernet Header angef gt wird Dieser angeh ngte Header enth lt die VLAN Nummer mit 12 Bit Es sind also 4095 verschiedene virtuelle LANs m glich Diese VLAN Nummer wird im Konfigurationstool als VLAN Tag bezeichnet Die tagged Pakete dienen nur zur
424. t NAT die Adresse des Absenders in eine g ltige IP Adresse um die ihm etwa der Provider zugeteilt hat bevor es ins Internet weiter gereicht wird Kommt von der entfernten Station eine Antwort auf dieses Paket zur ck wandelt NAT die Empf ngeradresse wieder in die urspr ngliche IP Adresse der lokalen Station um und stellt das Paket ordnungsgem zu Theoretisch kann NAT interne Netzwerke LANs mit beliebig vielen Clients verwalten Durch Destination Network Address Translation DNAT wird die Zieladresse Destination Address der IP Pakete umgeschrieben Dies ist besonders interessant wenn Sie ein privates Netzwerk hinter Ihrem Internet Sicherheitssystem betreiben und Netzwerkdienste im Internet verf gbar machen wollen Wichtiger Hinweis DNAT kann nicht in Verbindung mit PPTP VPN Access verwendet e werden 198 System benutzen amp beobachten Beispiel Ihr internes Netzwerk hat den Addressraum 192 168 0 0 255 255 255 0 Sie m chten nun Ihren Webserver der auf dem Server mit der IP Addresse 192 168 0 20 auf Port 80 l uft f r Clients aus dem Internet erreichbar machen Die Clients k nnen dessen Adresse nicht direkt ansprechen da der Adressbereich 192 168 im Internet nicht geroutet wird Es ist jedoch m glich vom Internet aus die externe Addresse Ihres Internet Sicherheitssystems anzusprechen Mit DNAT k nnen Sie z B den Port 80 auf der externen Schnittstelle des Internet Sicherheitssys tems auf den Webserver u
425. t Nach dem die Schnittstelle geladen wurde ist das System 24 Stunden am Tag in das externe Netzwerk Internet eingew hlt Stellen Sie daher sicher dass die Abrechnung bei ihrem Provider nach dem Tarif dsl flat erfolgt Sie finden den aktuellen Leitfaden unter der Internetadresse http www astaro com kb PPP over Ethernet PPPoE DSL einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New Das Fenster Add Interface wird ge ffnet 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein 174 System benutzen amp beobachten 4 W hlen Sie im Drop down Men Hardware die Netzwerkkarte aus Tipp W hlen Sie als Schnittstelle zum externen Netzwerk Internet die Netzwerkkarte mit der Sys ID ethl aus Eine Netzwerkkarte auf der bereits die prim re Netzwerkkarten Adresse eingerichtet wurde kann hier nicht mehr ausgew hlt werden 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ PPP over Ethernet PPPoE DSL Connection aus F r diese Einstellungen ben tigen Sie die Zugangsdaten f r die DSL Verbindung Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein Falls Sie f r diese Netzwerkkarte die Ausfallsicherung Uplink Failover on Interace konfigurieren
426. t SHA2 256bit und SHA2 512bit Der zu verwendende Algorithmus wird von der Gegenstelle der IPSec Verbindung bestimmt System benutzen amp beobachten Die Algorithmen SHA2 256bit und SHA2 512bit ben tigen Wichtiger Hinweis einen hohen Anteil der Systemresourcen SA Lifetime secs Hier definieren Sie die Dauer der IPSec Verbindung in Sekunden Nach der Installation sind standard m ig 3600 Sekunden 1h eingestellt Generell ist eine Zeitspanne zwischen 60 und 28800 Sekunden m glich PFS Die IPSec Schl ssel f r die IPSec Verbindung werden auf der Basis von Zufallsdaten generiert Mit Perfect Forwarding Secrecy PFS wird sichergestellt dass diese Zufallsdaten nicht bereits zur Erstellung eines anderen Schl ssels z B f r die IKE Verbindung verwendet wurden Falls ein lterer Schl ssel gefun den oder berechnet wird k nnen daher keinerlei R ckschl sse auf den neuen Schl ssel gezogen werden Die IPSec VPN Funktion dieses Internet Sicherheitssystems un terst tzt Group 1 MODP768 Group 2 MODP 1024 Group 5 MODP 1536 Group X MODP 2048 Group X MODP 3072 und Group X MODP 4096 Wenn Sie PFS ausschalten m chten w hlen Sie No PFS aus Per Default ist bei dieser Funktion bereits Group 5 MODP 1536 eingestellt PFS ben tigt durch den Diffie Hellmann Schl sselaustausch zus tzliche Rechenleistung PFS ist au erdem nicht immer 100 ig kompatibel unter den verschiedenen Herstellern Bei Problemen
427. t auf Angriffe schnell durch entsprechende Abwehrma nahmen zu rea gieren Der Astaro Report Manager ist ein eigenst ndige Produkt und muss separat erworben werden Licensed IP Address 12 wes 20 Historical ARM log files Generate historical ARM logs ARM Remote connection Im Men ARM schalten Sie die Schnittstelle zum Astaro Report Manager ARM ein und f hren die Einstellungen zur Erstellung der lokalen Log Files durch Neben den Einstellungen f r die bermittlung der ARM Log Files an den Astaro Report Manager k nnen Sie die ARM Log Files f r das historische Log File Archiv generieren und auf einen lokalen Rechner herunterladen In diesem Kapitel werden die Funktionen und Einstellungen beschrie ben die im Men ARM enthalten sind Je nach bestehender Netz werktopologie und der daf r geplanten Astaro Report Manager Netz werkarchitektur m ssen f r die Integration des Remote Management Tools weitere Einstellungen durchgef hrt werden all System benutzen amp beobachten Die m glichen Astaro Report Manager Netzwerkarchitekturen sind e Lokale ARM Architektur Locale ARM Architecture e Zentralisierte ARM Architektur Centralized ARM Architecture e Gro angelegte ARM Architektur Large Scale ARM Architecture Der Aufbau und die Installation dieser ARM Netzwerkarchitekturen werden im ARM ASG V6 Integration Guide beschrieben gt Die Installation der Software und die n tigen Einstellungen
428. t kurze Zeit um die neue Schnittstelle zu laden Laden Sie das Men neu indem Sie auf die Schaltl che Refresh klicken System benutzen amp beobachten Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 5 3 2 5 PPTPoE PPPoA DSL Verbindung Name Diesen Schnittstellen Typ be Hardware n tigen Sie falls Sie eine Type Address DSL Verbindung zum Inter Default Gateway net mit dem Protokoll PPP Modem IP Address over ATM aufbauen m ch NIC IP Address NIC Netmask ten Zur konfiguration ben tigen Sie auf dem Internet 155 wor Uplnk Falover on Sicherheitssystem eine Ether net Netzwerkkarte und ein Interface externes ADSL Modem mit Internes Netzwerk Address eth0 192 168 2 100 Bsp Modem IP Address PPTPoE ethi Firewall Address eth1 NIC IP Address Ethernet Anschluss Die Ver bindung zum Internet erfolgt ber zwei Teilstrecken Zwischen dem Internet Sicherheitssystem und dem ADSL Modem erfolgt die Verbindung mit dem Protokoll PPTP over Ethernet Die Verbindung vom ADSL Modem zum Internet Service Provider ISP erfolgt mit dem ADSL Einwahlprotokoll PPP over ATM siehe Grafik F r die Konfiguration ben tigen Sie die DSL Zu
429. t unter seinem Namen auch in verschiedenen anderen Men s wieder 143 System benutzen amp beobachten Dienstgruppe definieren 1 2 ffnen Sie im Verzeichnis Definitions das Men Services Klicken Sie auf die Schaltfl che New Definition Anschlie end wird das Eingabefenster ge ffnet F hren Sie die folgenden Einstellungen durch Name Tragen Sie in das Eingabefeld einen eindeutigen Namen f r die Dienstgruppe Service Group ein Diesen Namen verwenden Sie sp ter z B um Paketfilterregeln zu setzen Erlaubte Zeichen sind Das Alphabet die Zahlen 0 bis 9 Minus und Leerzeichen sowie Unterstrich Maximal 39 Zeichen sind m glich Type W hlen Sie im Drop down Men Service Group aus Initial Members W hlen Sie im Auswahlfeld die Dienste aus indem Sie auf der Tastatur die Strg Taste gedr ckt halten und mit der Maus die Namen markieren Speichern Sie die Dienstgruppe Service Group durch einen Klick auf die Schaltfl che Add Definition Nach erfolgreicher Definition wird die neue Dienstgruppe Service Group in die Tabelle eingetragen Sie finden diese Dienstgruppe jetzt unter seinem Namen auch in verschiedenen anderen Men s wieder 144 System benutzen amp beobachten Filters Service Definitions Total 51 ont Naw Dafn e Mit der Funktion Filters k nnen Sie aus der Tabelle Dienste Services mit be Por T Ges stimmten Attributen he AR BE and servwes Any matches any service ge Ge rausfilt
430. t werden Weitere Funktionen Zeitintervall l schen Durch einen Klick auf das Papierkorb Symbol wird die Definition aus der Tabelle gel scht 151 System benutzen amp beobachten 5 9 Netzwerkeinstellungen Network Im Verzeichnis Network konfigurieren Sie die Netzwerkkarten und virtuellen Schnittstellen Interfaces und f hren netzwerkspezi fische Einstellungen durch 5 3 1 Hostname DynDNS Firewall Hostname Hostname Tragen Sie in das Eingabenfeld den Host namen f r das Internet Sicherheitssystem ein Beispiel FIREWALL meinedomain com Ein Hostname bzw Domainname darf aus alphanumerischen Zeichen sowie Punkt und Minus Zeichen bestehen Am Ende muss ein alpha betischer Bezeichner vorhanden sein z B com de oder org Der Hostname wird in allen Notification E Mails in der Betreffzeile angezeigt Speichern Sie anschlie end Ihre Eingabe durch einen Klick auf die Schaltfl che Save Hinweis f i allen Notification E Mails an den Administrator wird in der lt Betreffzeile der Hostname angezeigt 152 System benutzen amp beobachten Dynamic DNS Mit Dynamic DNS wird ein Ger t oder eine VPN Ge genstelle ber einen DNS aufl sbaren Namen ange sprochen Zu diesem Na men wird auf einem ffentlichen DNS Server im Internet bei jedem Verbindungsaufbau die jeweils g ltige IP Adresse hinterlegt Unter diesem Namen kann ein Host immer erreicht werden nat rlich nur sofern er
431. te durch die Firewall abgefangen wurden F r die Ausgabefelder Current Packet Filter Rules und Current NAT Rules werden die aktuell g ltigen Regeln direkt aus dem Betriebssystem Kernel entnommen und dargestellt Durch einen Klick auf die Schaltfl che Show ffnen Sie ein Fenster in dem die Regelverletzungen in der Reihenfolge ihres Auftre tens in Echtzeit tabella risch aufgelistet werden Anhand der Hintergrund farbe k nnen Sie sehen welche Aktion f r die jeweilige Regelverletzung ausgef hrt wurde e Rot Das Paket wurde blockiert Drop Pakete die aufgrund der Funktionen Spoof Protection Validate Packet Length und SYN Rate Limiter blockiert wurden werden ebenfalls rot hinterlegt angezeigt e Gelb Das Paket wurde zur ckgewiesen Reject e Gr n Das Paket wurde durchgelassen Allow 265 System benutzen amp beobachten e Grau Das Paket wurde durch eine Funktion aus dem Modul Flood Protection blockiert Drop Die Funktionen befinden sich im Men DoS Flood Protection und werden in Kapitel 5 4 4 ab Seite 234 beschrieben Live Log Filter setzen zur cksetzen Mit Hilfe der Eingabefelder IP Address Netmask und Port sowie dem Drop down Men Protocoll k nnen Sie das Packet Filter Live Log so einstellen dass in der Tabelle nur Regelverletzungen mit bestimmten Attributen angezeigt werden Der Filter wirkt sich auf die Regelverletzungen aus die nach dem Einschalten der Funktion pro tokolliert werde
432. tellt zwei Betriebsmodi bereit Im Modus DHCP Relay wird der Service von einem separaten DHCP Server angeboten und das Sicherheitssystem fungiert als Relais Im Modus DHCP Server wird der Adressbereich f r das angeschlossene Netz werk vom Sicherheitssystem bereitgestellt 206 System benutzen amp beobachten Die Konfiguration des Modus DHCP Relay wird im Anschluss be schrieben F r den Betrieb im Modus DHCP Server werden die Grund einstellungen und erweiterten Funktionen ab Seite 208 erkl rt DHCP Relay konfigurieren Bevor die Einstellungen f r den Modus DHCP Relay durchgef hrt wer den k nnen muss der separate DHCP Server im Men Definitions Networks definiert werden Operation Mode Status DHCP Server OHCP Server interfaces 1 ffnen Sie im Verzeichnis Network das Men DHCP Service 2 W hlen Sie im Drop down Men Operation Mode den Modus DHCP Relay aus Das Fenster DHCP Relay wird ge ffnet 3 Schalten Sie die Funktion in der Zeile Status durch einem Klick auf die Schaltfl che Enable ein Anschlie end ffnet sich ein erweitertes Eingabefenster 4 W hlen Sie im Drop down Men DHCP Server den Server aus 5 W hlen Sie im Auswahlfeld Interfaces die Schnittstellen aus ber die den Clients die IP Adressen zugewiesen werden sollen Die Einstellungen werden anschlie end ohne weitere Best tigung bernommen 207 System benutzen amp beobachten
433. temauslastung und die jeweils kritischen Sicherheitsereignisse ber sichtlich dargestellt Der Administrator ist so in der Lage auf St rungen und kritische Ereignisse schnell zu reagieren Anbindung an das Astaro Command Center vorbereiten F r die Anbindung des Sicherheitssystems an das Astaro Command Center muss der ACC Server zuvor im Men Definitions Networks definiert werden W hlen Sie anschlie end im Drop down Men ACC Server diesen Server aus Die Kommunikation zwischen dem Sicher heitssystem Astaro Security Gateway und dem Astaro Command Center erfolgt ber den Port 4433 Der Zugriff auf die Bedienober fl che des zentralen Management Systems erfolgt allerdings ber das HTTPS Protokoll auf Port 443 Nachdem Sie den ACC Server ausgew hlt haben wird ein Fingerprint 410 System benutzen amp beobachten zur zertifizierten Nutzung des installierten Astaro Command Center angezeigt Wenn dieser Fingerprint richtig ist klicken Sie auf die Schaltfl che Start 5 9 2 Astaro Report Manager ARM Astaro Report Manager Mit dem Astaro Report Za Manager werden die auf den Sicherheitssystemem generierten Log Files ge sammelt und ausgewer SE tet Da die Daten auf dem Method E z Astaro Report Manager zentral zusammengef hrt werden u a auch von Sicherheitsl sungen anderer Hersteller ist der Administrator in der Lage die Meldungen anhand der bersichtlichen Darstellung zu vergleichen genau zu untersuchen und somi
434. ter Datei ausw hlen das Up2Date Paket aus das Sie importieren m chten und klicken auf die Schalt fl che ffnen Verwenden Sie zum Importieren der Up2Date Pakete unter Microsoft Windows keinen UNC Pfad W hlen Sie die Pakete mit Hilfe des Auswahlfeldes Durchsuchen aus Wichtiger Hinweis 4 Klicken Sie im Fenster System Up2Date bei I mport from File auf die Schaltfl che Start Neu eingespielte Up2Date Pakete werden anschlie end in der Tabelle Unapplied Up2Dates mit der Versionsnummer und dem Dateinamen angezeigt Weitere Informationen erhalten Sie mit Hilfe der Info Schaltfl che 63 System benutzen amp beobachten Die in der Tabelle aufgelisteten Up2Date Pakete sind noch nicht installiert Beim HA System werden die neuen Up2Date Pakete in der Tabelle Unapplied Up2Dates Master angezeigt 5 Wiederholen Sie nun die Schritte 2 bis 4 bis Sie alle Up2Date Pakete importiert haben System Up2Date installieren ohne HA System 1 ffnen Sie im Verzeichnis System das Men Up2Date Service 2 W hlen Sie in der Tabelle Unapplied Up2Dates das Up2Date Paket aus Hinweis Falls die Tabelle mehr als ein System Up2Date Paket enth lt starten Sie die Installation mit der aktuellsten Version Die l teren Versionen werden dann automatisch installiert 3 Klicken Sie nun in der Spalte Actions auf Install Die Installation der Up2Date Pakete wird im Log Fenster in Echtzeit dargestellt Der Vorgang wurde erfolgreich
435. timmen Sie im Drop down Men Anonymity welche Infor mationen aus dem Netzwerk in den HTTP Request Headers ver sendet werden Standard Nur die hier aufgef hrten Header Typen werden blo ckiert Accept Encoding From Referrer Server WWW Authen ticate und Link None Die vom Client versendeten Header werden nicht ge ndert Paranoid Alle Header mit Ausnahme der nachfolgend aufge z hlten Typen werden blockiert Zus tzlich wird der Header User Agent ge ndert so dass keine Client Versionsinformation das Netzwerk verl t Allow Authorization Cache Control Content Encoding Content Length Content Type Date Expires Host If Modified Since Last Modified Location Pragma Accept Accept Language Content Language Mime Version Retry After Title Connection Proxy Connection und User Agent System benutzen amp beobachten Bei der Verwendung von Standard oder Paranoid werden Cookies vom Proxy blockiert Falls Sie Cookies ben tigen sollten Sie die Einstellung None verwenden Hinweis 7 W hlen Sie im Auswahlfeld Allowed Networks die f r diesen Proxy zugelassenen Netzwerke aus Wenn Sie in Schritt 3 den Transparent Mode eingestellt haben wird hier zus tzlich das Auswahlfeld Skip Source Destination Networks angezeigt Hier haben Sie die M glichkeit bestimmte Netzwerksegmente oder Hosts aus den erlaubten Netzwerken auszuklammern In den Auswahlmen s k nnen Netzwerke und Hosts ausgew hlt werden di
436. tokolliert Die Funktionen Schalten Sie durch einen Klick auf die Schaltfl che Enable ein Notification Levels Falls das Intrusion Protec Status LS Dess mi TEEN tion System IPS eine Packets High oovorty oniy E e SE E IPS Angriffssignatur erkennt Packets High severity only S Setz 2 oder einen Intrusion Vorfall re verhindert wird vom Sys tem per E Mail eine ent sprechende Warnung an den Administrator abgeschickt Die E Mail Adresse des Administrators wird im Men System Settings ein gestellt Detected Packets Stellen Sie in diesem Drop down Men ein ab welcher Gefahrenstufe der Alarmierungsregel eine Warnung abge schickt wird Intrusion Detection e All levels Bei jeder Gefahrenstufe e High and medium severity Bei hoher und mittlerer Gefahren stufe e High serverity only Nur bei hoher Gefahrenstufe e None Es wird keine Warnung versendet Blocked Packets Stellen Sie in desem Drop down Men ein ab welcher Gefahrenstufe der Blockierungsregel eine Warnung abge schickt wird Intrusion Prevention 224 System benutzen amp beobachten e All levels Bei jeder Gefahrenstufe e High and medium severity Bei hoher und mittlerer Gefahren stufe e High serverity only Nur bei hoher Gefahrenstufe e None Es wird keine Warnung versendet Notify on anomaly events Wenn die Funktion Anomaly Detection eingeschaltet ist werden bei au ergew hnlichen Ereign
437. tragung nur noch aus dem Cache des Proxies abgerufen Hinweis WebAdmin kann nicht ber den eigenen Proxy aufgerufen werden Die IP Adresse des Sicherheitssystems muss daher im Browser von der Verwendung des Proxyservers ausgeschlossen werden Microsoft Explorer Proxy f r WebAdmin umgehen 1 2 3 4 ffnen Sie das Men Extras Internetoptionen W hlen Sie die Registerkarte Verbindungen ffnen Sie das Men LAN Einstellungen Erweitert Tragen Sie in das Eingabefeld unter Ausnahmen die IP Adresse Ihrer Firewall ein Um die Eingaben zu speichern klicken Sie auf die Schaltfl che OK 269 System benutzen amp beobachten Mozilla Firefox Proxy f r WebAdmin umgehen 1 ffnen Sie das Men Extras Einstellungen Allgemein 2 Klicken Sie auf die Schaltfl che Verbindungseinstellungen 3 Klicken Sie auf das Kontrollk stchen Manuelle Proxy Konfi guration Anschlie end wird das Eingabemen f r die Konfiguration des Proxy aktiviert 4 Tragen Sie in das Eingabefeld Kein Proxy f r die IP Adresse Ihrer Firewall ein 5 Um die Eingaben zu speichern klicken Sie auf die Schaltfl che OK Netscape Communicator Proxy f r WebAdmin umgehen 1 ffnen Sie das Men Bearbeiten Einstellungen Erweitert Proxies 2 Klicken Sie bei Manuelle Proxies Konfiguration auf die Schalt fl che Anschauen 3 Tragen Sie in das Eingabefeld Kein Proxy f r die IP Adresse Ihrer Firewall ein 4 Um die E
438. ts system durch Novell eDirectory auf Sicherheitssystem einstellen Auf dem Novell eDirectory Server muss ein Benutzer eingerichtet sein der die Leserechte f r das ge samte Verzeichnis hat Um die n tigen Einstel tb AE lungen auf dem Internet SO bind user Sicherheitssystem durch ipri zuf hren ben tigen Sie EES 4 den Distinguished Name DN dieses Benutzers und die IP Adresse des Stand alone LDAP Servers N Sicherheitshinweis Stellen Sie sicher dass der Benutzer nur die Leserechte f r den Stand alone LDAP Server bekommt 1 ffnen Sie im Verzeichnis System das Men eDirectory 2 Schalten Sie die Funktion im Fenster Novell eDirectory durch einen Klick auf die Schaltfl che Enable bei Status ein Server Tragen Sie in das Eingabefeld die IP Adresse des Stand alone LDAP Servers ein Port Tragen Sie in das Eingabefeld den TCP Port ein Der Standard Port 636 ist bereits eingetragen Context Definieren Sie in der Kontrollliste die Gruppe des Be nutzers aus dem Verzeichnisdienst der hier authentisiert werden soll z B bei Verwendung der LDAP Schreibweise durch den 87 System benutzen amp beobachten gesamten Distinguished Name DN des Benutzers Beispiel DN cn administrator o our_organisation Hinweis Novell Directory Service Gruppen k nnen entweder durch Com mon Name CN der Gruppe oder durch den gesamten Distin guished Name DN in der LDAP Schreibwe
439. ts oder einer anderen Quelle Eine Quelle wird dabei durch den Request URL iden tifiziert Man unterscheidet zwei Typen Conditional GET und partial GET Beim Conditional GET Typ ist die Anforderung von Daten an Bedingungen gekn pft Die genauen Bedingungen sind dabei im 277 System benutzen amp beobachten Header Feld Conditional hinterlegt Oft gebrauchte Bedingungen sind z B If Modified Since If Unmodified Since oder If Match Mit Hilfe dieser Bedingung l sst sich die Netzbelastung deutlich verringern da nur noch die wirklich ben tigten Daten bertragen werden In der Praxis nutzen z B Proxyserver diese Funktion um die mehrfache bertragung von Daten die sich bereits im Cache befinden zu ver hindern Das gleiche Ziel verfolgt die partielle GET Methode Sie ver wendet das Range Header Feld das nur Teile der Daten bertr gt die der Client jedoch noch verarbeiten kann Diese Technik wird f r die Wiederaufnahme eines unterbrochenen Datentransfers verwendet Die Methode PUT erlaubt die Modifikation bestehender Quellen be ziehungsweise Erzeugung neuer Daten auf dem Server Im Unter schied zur POST Methode identifiziert der URL in der PUT Request die mit der Anforderung gesendeten Daten selbst und nicht die Quelle Mit einem Klick auf die Schaltfl che Enable schalten Sie die Funktion ein Statusampel zeigt Gr n Allowed Target Services W hlen Sie im Auswahlfeld die Dienste Services aus auf die der HTTP Proxy zug
440. tuft Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge stuft Der Ereignispuffer wurde aktiviert Weitere Intrusion Protection Ereigniss werden gesammelt und an Sie abgesendet sobald die Sam melperiode abgeschlossen ist Wenn weitere Er eignisse auftreten wird dies Period ausg dehnt Weitere Informationen erhalten Sie in der Notification E Mail Intrusion Protection Alert Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge stuft und hat das Datenpaket automatisch abge fangen Bei dieser Intrusion Protection Regel kann im WebAdmin zwischen den Aktionen Alert WI only nur alarmieren und Drop abfangen um geschaltet werden Weiter Informationen erhal ten Sie in der Notification E Mail Intrusion Protection Alert Event buffering activated Es wurde ein Paket entdeckt das evtl Teil eines Intrusion Versuchs sein kann Die Regel hat diesen Angriff als h chste Priorit t einge stuft und hat das Datenpaket automatisch abge fangen Der Ereignispuffer wurde aktiviert Wei tere Intrusion Protection Ereigniss werd
441. turbasierten Intrusion Detection Regel werks Das System analysiert den gesamten Datenverkehr und blo ckiert u a Attacken automatisch bevor diese das lokale Netzwerk erreichen Die bereits vorhandene Basis an Regeln bzw IPS Angriffssignaturen wird durch die Funktion Pattern Up2Date aktualisiert Neue IPS An griffssignaturen werden automatisch als IPS Regel in das IPS Regel werk importiert 5 4 1 Settings Global Settings In diesem Fenster f hren es Sie die Grundeinstellungen 3 f r das Modul Intrusion Protection System IPS durch Status Durch einen Klick auf die Schaltfl che Enable schalten Sie das Modul ein Local Networks W hlen Sie im Auswahlfeld die Netzwerke aus die vom Intrusion Protection System IPS berwacht werden sollen Falls kein Netzwerk ausgew hlt ist wird der gesamte Datenverkehr berwacht Anomaly Detection Die Funktion Anomaly De tection analysiert den Da tenverkehr statistisch und heuristisch Sie berwacht den gesamten Datenverkehr Im Netzwerk und speichert dabei die gebr uchlichsten 223 Status Di System benutzen amp beobachten Dienste sowie die verf gbaren Hosts Wenn ein ungew hnlicher Datenverkehr Dienst oder Host entdeckt wird schickt das Modul eine entsprechende Warnung ab Es wird ebenfalls eine Warnung verschickt wenn Datenpakete auftauchen die auf einen Angriff hinweisen Alle Vorf lle werden im Intrusion Protection log pro
442. twork Accounting ordnungsgem funktionieren Zugriffsrechte auf Dateien werden ebenso berwacht wie der Anteil einzelner Prozesse am Verbrauch der Systemresourcen wodurch eine 429 System benutzen amp beobachten eventuelle berlastung des Systems bereits im Vorfeld verhindert wird Dar ber hinaus erh lt der Systemverwalter rechtzeitig Hinweise auf sich abzeichnende Ressourcen Engp sse wenn z B der verf g bare Festplattenspeicher knapp werden sollte Erforderliche Ma nah men zur Systemerweiterung bzw Entlastung k nnen so rechtzeitig geplant werden SIP proxy In diesen Log Dateien werden die Aktivit ten des SIP Proxy protokolliert SMTP proxy In diesen Log Dateien werden die Aktivit ten des SMTP Proxy protokolliert Alle eingehenden E Mails werden darin auf gef hrt Zus tzlich werden alle Unregelm igkeiten z B zugewie sene Bounce Stati Ausf lle oder blockierte E Mails protokolliert SOCKS proxy In diesen Log Dateien werden die Aktivit ten des SOCKS Proxy protokolliert SSH daemon In diesen Log Dateien werden Informationen zu Ein logg Prozessen in die Remote Shell protokolliert System log messages In diesen generischen Log Dateien werden verschiedene Informationen zu Daemon Prozessen auf dem Internet Sicherheitssystem protokolliert In diesen Log Dateien werden unter anderem der Zugriff auf den SNMP Dienst und die Aktivit ten der Funktion Dynamic DNS protokolliert Up2Date messages In diesen
443. tzwerk angeschlossen werden Die System benutzen amp beobachten Schnittstelle mit der Sys ID eth2 wird hier z B f r die Daten transfer Leitung verwendet Um die Zuordnung der Sys ID zu ermitteln ffnen Sie im Kon figurationstool WebAdmin das Men Network Interfaces In der Tabelle Hardware Device Overview sind alle auf dem Sicherheitssystem installierten Netzwerkkarten aufgelistet Falls es sich bei den Netzwerkkarten um Hardware verschiedener Hersteller und oder Typs handelt k nnen Sie hier die Zuordnung der Sys ID ablesen und auf der Hardware entsprechend kenn zeichnen Wenn es sich um gleiche Netzwerkkarten handelt ge hen Sie folgenderma en vor W hrend der Installation der Software wurde bereits die interne Netzwerkkarte eth0 konfiguriert Um nun bei den anderen Netzwerkkarten die Sys ID zuzuordnen richten Sie mit Aus nahme der Schnittstelle f r die Datentransfer Leitung z B die Sys ID eth2 alle Netzwerkkarten als Standard Ethernet Netzwerkkarten ein Die Netzwerkkarte f r die Datentransfer Leitung darf im Men Network Interfaces nicht konfiguriert werden Diese Schnitt stelle wird sp ter im Men System High Availability einge richtet F r die berwachung mittels Heart Beat Anfrage reser vieren Sie eine Netzwerkkarte die diese Funktion unterst tzt Wichtiger Hinweis Verbinden Sie nun nacheinander Ihren Client mit den Netzwerk karten des Sicherheitssystems und f hren den Ping Befehl aus
444. uf Seite 74 beschrieben Wichtiger Hinweis Im nachfolgenden Abschnitt wird beschrieben wie die Backup Datei manuell ber das Fenster Restore a Backup installiert wird Backup manuell installieren 1 ffnen Sie im Verzeichnis System das Men Backup 2 Klicken Sie im Fenster Restore a Backup neben dem Eingabe feld Upload Backup File auf die Schaltfl che Durchsuchen 3 W hlen Sie im Fenster Datei ausw hlen die Backup Datei aus die Sie importieren m chten und klicken auf die Schaltfl che ffnen Hinweis eeng Sie zum Einspielen des Backups unter Microsoft Windows keinen UNC Pfad W hlen Sie die Backup Datei mit Hilfe des Auswahlmen s Suchen in aus 4 Best tigen Sie die Eingabe durch einen Klick auf die Schaltfl che Start Die Sicherungsdatei wird anschlie end auf das System geladen und berpr ft Wenn die Pr fsummen stimmen erhalten Sie nun die Backup Information 5 berpr fen Sie die Backup Information 6 bernehmen Sie die Backup Datei in das aktive System durch einen Klick auf die Schaltfl che Start 71 System benutzen amp beobachten Wenn die Meldung Backup has been restored successfully er scheint wurde der Vorgang erfolgreich abgeschlossen Create a Backup In diesem Fenster k nnen Sie von der Konfiguration auf dem Sicher heitssystem eine Backup Datei erstellen und archivieren Backup manuell generieren 1 ffnen Sie im Verzeichnis System das Men Backup 2 Geben
445. uf die Schaltl che Refresh klicken Weitere Informationen zur Funktion Refresh erhalten Sie in Kapitel 4 5 auf Seite 45 Die neue Schnittstelle ist geladen wenn die Meldung Up erscheint Die Einstellungen werden in der Spalte Parameters angezeigt 5 9 2 6 PPP over Serial Modem Line Diesen Schnittstellen Typ be n tigen Sie falls Sie eine Ver bindung zum Internet mit einem PPP Modem ber die Username Bes serielle Schnittstelle aufbauen SE m chten Zur konfiguration ben tigen Sie auf dem Inter net Sicherheitssystem eine serielle Schnittstelle und ein externes PPP Modem F r die Konfiguration ben tigen Sie die DSL Zugangsdaten inklusive Passwort Die Daten erhalten Sie von Ihrem Provider PPP over Serial Modem einrichten 1 ffnen Sie im Verzeichnis Network das Men Interfaces 2 Klicken Sie auf die Schaltfl che New um das Men Add Inter face zu ffnen 185 System benutzen amp beobachten 3 Tragen Sie in das Eingabefeld Name den Namen der Schnitt stelle ein 4 W hlen Sie im Drop down Men Hardware die serielle Schnitt stelle aus 5 W hlen Sie im Drop down Men Type den Schnittstellen Typ PPP over serial modem line aus Address Behalten Sie die Default Einstellung Assigned by remote bei wenn Sie keine feste IP Adresse haben Bei einer festen IP Adresse w hlen Sie im Drop down Men Static aus und tragen in das Eingabefeld die Adresse ein
446. umgeleitet werden sollen Damit eine g ltige DNAT SNAT Regel definiert werden kann muss in diesem Fenster mindestens ein Parameter ausgew hlt werden Wenn Sie die original Adresse auf ein gesamtes Netz werk umleiten werden die darin enthaltenen IP Adressen der Reihe nach ausgew hlt Change Source to SNAT W hlen Sie die neue Quelladresse f r die IP Pakete aus Es kann nur eine Schnittstelle ausgew hlt werden Service Source Dieses Drop down Men wird angezeigt wenn Sie bei Change source to eine Adresse ausgew hlt haben Es k nnen hier nur Dienste Services mit einem Quellport aus gew hlt werden Change Destination to DNAT W hlen Sie die neue Zieladres se f r die IP Pakete aus Es kann ein Host oder ein gesamtes Netzwerk ausgew hlt werden Service Destination Dieses Drop down Men wird angezeigt wenn Sie bei Change Destination to eine Adresse ausw hlen 201 System benutzen amp beobachten 6 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Nach erfolgreicher Definition wird die neue DNAT SNAT Regel in die Tabelle NAT Rules bernommen Anschlie end stehen Ihnen in der NAT Tabelle weitere Funktionen zur Verf gung Weitere Funktionen Eintr ge editieren Durch einen Klick auf die Schaltfl che edit wird die Regel in das Fenster Edit NAT Rule geladen Anschlie end k nnen Sie die Eingaben bearbeiten Eintr ge l schen Durch einen Klick auf die Schaltfl che delete wird
447. ung DEBUG 0 INFO 1 WARN 2 CRIT 3 und der entsprechende Fehler Code 000 bis 999 werden angeh ngt Beispiel Die Notification INFO 354 Intrusion Protection Pat tern Up2Date succeeded hat in diesem Fall die OID 1 3 6 1 4 1 9789 1500 1 354 und bekommt den folgenden String zugewiesen lt HOST gt INFO 354 F r den Platzhalter lt tosT gt wird der Hostname des Sicherheitssystems angezeigt Trap Server zuweisen 1 Schalten Sie die Funktion SNMP Traps durch einen Klick auf die Schaltfl che Enable ein Die Statusampel zeigt Gr n und ein erweitertes Eingabefenster wird ge ffnet 2 Klicken Sie in der Tabelle SNMP Tap Assignment auf die Schaltfl che New Assignment 3 Klicken Sie in der Spalte Host IP Address auf die neue Zeile Anschlie end ffnet sich ein Editierfenster 4 Tragen Sie in das Eingabefeld die IP Adresse des Servers ein und speichern Sie die Eingabe durch einen Klick auf die Schaltfl che Save 80 System benutzen amp beobachten 5 Klicken Sie in der Spalte Community String auf den Eintrag public und tragen Sie in das Eingabefeld den Community String ein Die neue Zuweisung wird anschlie end sofort bernommen 5 1 7 Remote Syslog Server METEN Mit dieser Funktion k n nen Sie die Protokolle Logs des Internet Si cherheitssystems an ver schiedene Hosts weiter leiten Dies ist besonders dann sinnvoll wenn Sie die Log Dateien verschiedener Systeme auf einzelne Hosts zusam
448. ung wurde durchgef hrt Es wurde festgestellt dass die Versionen der beiden Si cherheitssysteme nicht bereinstimmen Ein Sys tem Up2Date Versuch wird gestartet Beachten Si bei der Installation des High Availability Systems die Hinweise in Kapitel 5 1 11 ab Seite 122 HA check opt tmpfs config backup md5 old does not exist Eine HA berpr fung wurde durchgef hrt Es wurde festgestellt dass die zuvor dgenannnt Datei nicht vorhanden ist HA check opt tmpfs config backup md5 new does not exist Eine HA berpr fung wurde durchgef hrt Es wurde festgestellt dass die zuvor dgenannnt Datei nicht vorhanden ist HA check opt tmpfs config backup tar does not exist Eine HA berpr fung wurde durchgef hrt Es wurde festgestellt dass die zuvor dgenannnt Datei nicht vorhanden ist HA check etc wfe conf does not exist Eine HA berpr fung wurde durchgef hrt Es wurde festgestellt dass das zuvor genannt Verzeich nis nicht vorhanden ist 433 System benutzen amp beobachten 085 086 087 105 106 107 108 434 HA check opt tmpfs config backup tar 3des or etc ha des keyfile does not exist Eine HA berpr fung wurde durchgef hrt Es wurde festgestellt dass eine der zuvor genannnten Da teien nicht vorhanden ist HA check synced config backupfile md5Ssum does not match signature Eine HA b
449. ungen die das Protokoll TCP IP verwenden werden die Daten in Pakete aufgeteilt F r diese Pakete wird eine maximale Gr e bestimmt Wenn nun diese obere Grenze zu hoch ist kann es passieren dass Datenpakete mit Informationen die das Pro tokoll PPP over Ethernet betreffen nicht richtig weitergeleitet und erkannt werden Diese Datenpakete werden dann erneut verschickt Allerdings kann die Performance auch eingeschr nkt werden wenn die obere Grenze zu niedrig definiert wird Im Eingabefeld MTU Size muss beim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ein Wert f r die maximale bertragungsrate in Bytes definiert werden Beim Schnittstellen Typ PPP over Ethernet PPPoA DSL Connection ist per Default bereits ein MTU Wert definiert 1460 Byte Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Das System pr ft nun die IP Adresse und die Netzwerkmaske auf semantische G ltigkeit Anschlie end wird die neue Schnittstelle Interface in die Tabelle Current Interface Status geladen Die Schnittstelle ist noch ausgeschaltet Statusampel zeigt Rot System benutzen amp beobachten 7 Schalten Sie die Schnittstelle durch einen Klick auf die Status ampel ein Die Schnittstelle ist nun eingeschaltet Statusampel zeigt Gr n In der Spalte Oper wird zu Beginn die Meldung Down angezeigt Das System ben tigt kurze Zeit um die neue Schnittstelle zu laden 8 Laden Sie das Men neu indem Sie a
450. unter folgender E Mail Adresse documentation astaro com Wenden Sie sich f r weitere Informationen an unser User Forum unter der Internetadresse http www astaro org oder greifen auf die Astaro Support Angebote zur ck 10 Einf hrung in die Technologie 2 Einf hrung in die Technologie Bevor auf die Funktionsweise und Handhabung des Internet Sicher heitssystems Astaro Security Gateway eingegangen wird m chten wir Ihnen einen Einblick geben warum ein derartiges System zum Schutz des Netzwerks erforderlich ist und welche Probleme und Ge fahren ohne ein entsprechendes Sicherheitssystem bestehen Netzwerke Das Internet ist heute als Schl sseltechnologie f r Kommunikation Informationsbeschaffung als Speichermedium f r Wissens und Er fahrungswerte sowie als Marktplatz f r Informationsdienste etabliert Seit seinen Anf ngen haben sich seine Ausma e vervielfacht und von 1995 bis 2003 war das zahlenm ige Wachstum allein der de Domains nahezu exponential Die Endsysteme im weltumspannenden Netzwerk kommunizieren ber das Internet Protocol IP und verschiedene andere Protokolle die darauf aufsetzen z B TCP UDP ICMP Basis einer solchen Kommuni kation sind die IP Adressen mit der F higkeit alle erreichbaren Ein heiten im Netzwerk eindeutig zu identifizieren Das Internet selbst existiert als Zusammenschluss verschiedenartiger Netzwerke die sich sowohl durch die verwendeten Protokolle als auch d
451. uration des High Availability HA Systems mit berwachung mittels Heart Beat empfiehlt es sich f r alle Schnittstellen Netzwerkkarten aus der Hardware Compatibility List HCL zu verwenden Die Installation des HA Systems wird in Kapitel 5 1 11 ab Seite 122 beschrieben 21 Installation UPS Ger te Support Mit einem UPS Ger t Uninterruptible Power Supply oder USV f r Unterbrechungsfreie Stromversorgung k nnen Sie sicherstellen dass bei einem Stromausfall wichtige Ger te nicht unvorhergesehen aus fallen Das Sicherheitssystem unterst tzt ab Version 6 102 die UPS Ger te der Hersteller MGE UPS Systems und APC Die Kommuni kation zwischen dem UPS Ger t und dem Sicherheitssystem erfolgt ber die USB Schnittstelle Sobald das UPS Ger t im Batteriebetrieb l uft wird eine Notification an den Administrator abgeschickt Falls der Stromausfall l ngere Zeit andauert und sich die Spannung des UPS Ger ts einem kritischen Wert neigt erfolgt wiederum eine ent sprechende Meldung an den Administrator und das Sicherheitssystem wird automatisch heruntergefahren Die Ereignisse werden ebenfalls im Men Administration und im Executiv Report protokolliert Das Men Administration wird in Kapitel 5 8 1 auf Seite 398 be schrieben Weitere Informationen zum Executiv Report erhalten Sie in Kapitel 5 8 12 auf Seite 404 Die Einstellungen f r die Notification E Mails werden in Kapitel 5 1 1 ab Seite 48 beschrieben Achtung Beachten Sie
452. urch die Funktion BATV wird den ausgehenden E Mails eine verschl sselte digitale Signatur angeh ngt die den Server des Absenders anzeigt 310 System benutzen amp beobachten Anhand der auf dieser Firewall in Quarant ne genommenen E Mails werden Sie festellen dass es sich bei 40 der Spam Mails um Bounce Mails handelt Durch die angeh ngte Signatur kann das System nun feststellen ob die Bounce Mail die Sie erhalten haben urspr nglich durch Ihre E Mail verursacht wurde und nicht durch einen Versender von Spam Mails der die Absenderadresse gef lscht hat Diese Art von Spam Mails kann von der Firewall immer ohne die Gefahr eines Fehl alarms zur ckgewiesen werden Hinzu kommt dass durch die Funktion grunds tzlich alle E Mails abgewiesen werden die keine Absenderadresse enthalten Bitte beachten Sie dass die durch BATV erzeugten Signaturen nach sieben Tagen ung ltig werden Im Fenster Feature Settings k nnen zur Funktion BATV zus tzliche Einstellungen vorgenommen werden Use Greylisting Ein Mail Server der mit Greylisting arbeitet spei chert in der Regel von eingehenden E Mails die folgenden drei Infor mationen in einem sogenannten Triplet e Die Absenderadresse e Die IP Adresse des Absenders e Die Empf ngeradresse Das Triplet wird nun mit der internen Datenbank des SMTP Proxy ver glichen Wenn dieses Triplet noch nicht vorhanden ist wird es in der Datenbank angelegt und erh lt einen speziellen Zeitstempel Au
453. urch die Ausbreitung unterscheiden An Knotenpunkten die zwei oder mehrere Netzwerke miteinander verbinden entstehen eine Viel zahl von Aufgaben die von Routern Bridges oder Gateways ber nommen werden Ein spezieller Fall eines solchen Knotenpunktes ist die Firewall Hier treffen in aller Regel drei Typen von Netzwerken aufeinander e Externes Netzwerk Wide Area Network WAN e Internes Netzwerk Local Area Network LAN e De Militarized Zone DMZ Eine Beispiel Konfiguration sehen Sie auf der n chsten Seite 11 Einf hrung in die Technologie Externes Netzwerk Te Router Internet Internes Netzwerk ls SST Keel Firewall Web FTP E Mail Server Server Server Die Firewall Ein Modul dieses Internet Sicherheitssystems ist die Firewall Die charakteristischen Aufgaben einer Firewall als Schnittstelle zwischen WAN LAN und DMZ sind e Schutz vor unbefugten Zugriffen e Zugangskontrolle wer darf wie und worauf zugreifen e Beweissicherheit gew hrleisten e Protokollauswertung durchf hren e Alarmierung bei sicherheitsrelevanten Ereignissen e Verbergen der internen Netzstruktur e Entkopplung von Servern und Clients durch Proxies 12 Einf hrung in die Technologie e Vertraulichkeit Abh rsicherheit von Daten gew hrleisten Es existieren nun mehrere generische Netzwerkeinrichtungen die unter dem berbegriff Firewall zusammengefasst diese Aufgaben bernehmen Im Folgenden
454. uten 3 Nun ordnen Sie dieser Gruppe alle Benutzer zu die in der Lage sein sollen den entsprechenden Proxy zu benutzen 4 Stellen Sie sicher dass bei allen Benutzern in diesen Gruppen das Benutzerflag Einwahlzugriff auf das Netzwerk erlauben aktiviert ist 92 System benutzen amp beobachten Diese Einstellung finden Sie in den Benutzereigenschaften MS Windows NT 2000 ben tigt dieses Flag um RADIUS Anfragen positiv zu beantworten ffnen Sie das Verwaltungsprogramm f r den IAS Dienst F gen Sie einen Client hinzu Dazu m ssen Sie folgende Anga ben machen Beliebiger Client Namen Tragen Sie hier den DNS Namen Ihres Internet Sicherheitssystems ein Protokoll W hlen Sie hier RADIUS aus IP Adresse des Clients Dies ist die interne IP Adresse Ihres Internet Sicherheitssystems Client Vendor Tragen Sie hier RADI US Standard ein Shared Secret Tragen Sie ein beliebiges Passwort ein Dieses Passwort ben tigen Sie sp ter zur Konfiguration des RADIUS Servers im Konfigurationstool WebAdmin N Sicherheitshinweis F r das Shared Secret werden nur Passw rter bestehend aus alphanumerischen sowie Minus und Punkt Zeichen un terst tzt Sonderzeichen z B _ sind nicht m glich Wechseln Sie zum Men RAS Richtlinien Hier ist eine Standardrichtlinie eingetragen Wenn Sie IAS nur f r das Internet Sicherheitssystem verwenden wollen k nnen Sie diese l schen Tragen Sie nun f r jeden Proxy eine Richtli
455. vell stellt den Ver zeichnisdienst f r die Plattformen Netware ab Version 5 MS Windows NT 2000 Linux und Solaris zur Verf gung Mit Hilfe des Open Source Projekts OpenLDAP das unter der Auf sicht der OpenLDAP Foundation realisiert wird kann in einem Netz werk ein Verzeichnisdienst mit unterschiedlichen Stand alone LDAP 102 System benutzen amp beobachten Servern aufgebaut werden Auf der Open Source Software basiert z B der Stand alone LDAP Server iPlanet Directory Server Benutzerauthentifizierung Bei der Benutzerauthentifizierung ber LDAP wird im Verzeichnis dienst der Distinguished Name DN des Benutzers abgefragt Der abgefragte Name des Benutzers muss innerhalb des Verzeichnisses einmalig sein Bei Microsoft Active Directory AD und Novell eDirectory NDS8 hat jedes Objekt einen definierten DN der die Domain und den Pfad im AD Verzeichnis bzw im NDS Baum identifiziert und in der Gesamtstruktur eindeutig ist Dieser DN setzt sich aus Common Name CN und Domain Component DC zusammen Beispiel CN Administrator CN Users DC example DC com Unter MS Active Directory kann die Benutzerauthentifizierung auch durch den User Principal Name UPN erfolgen Dieser Name be steht aus dem Anmeldenamen und dem DNS Namen der Domain Beispiel admin example com Unter OpenLDAP erfolgt eine einfache Abfrage nach dem Common Name CN Hierbei ist zu beachten dass jedem eingetragenen Benutzer ein eindeutiger CN zugeord
456. vom Client selbst bestimmt 5 Speichern Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Save Statische Adresszuweisung konfigurieren DHCP Server 3 Im Betriebsmodus DHCP Select Interface Server k nnen Sie eini See gen oder sogar allen GE ee Clients in diesem Netz DNS server 1 werk eine bestimmte IP DNS Server 2 Adresse statisch zuwei Gateway IP sen Daf r ben tigen Sie WINS Server IP die MAC Adresse der te E gt Netzwerkkarte dieses ss Clients Status Static Mappings MAC Address Static Mapping Table ii no mappings defmed 1 ffnen Sie im Verzeichnis Network das Men DHCP Service 2 F hren Sie im Fenster Static Mappings die folgenden Einstel lungen durch MAC Address Tragen Sie in das Eingabefeld die MAC Adresse der Netzwerkkarte ein Die MAC Adresse muss wie im Beispiel dargestellt eingegeben werden Beispiel 00 04 76 16 EA Gi IP Address Tragen Sie in das Eingabefeld die IP Adresse ein Diese IP Adresse muss im Netzwerkbereich der internen Netz werkkarte liegen Comment ber das Eingabefeld k nnen Sie optional einen Kommentar f r die statische Adresse hinzuf gen 210 System benutzen amp beobachten 3 Best tigen Sie Ihre Eingaben durch einen Klick auf die Schalt fl che Add Anschlie end wird die statische IP Adresszuweisung in die Tabelle Static Mapping Table importiert Durch einen Klick auf die Scha
457. w hlen die in der Lage sein sollen auf den HTTP Proxy zuzugreifen Alle nicht ausgew hlten Netzwerke k nnen nicht zugreifen auch wenn der Proxy im Browser konfiguriert ist Wenn ein Zugriff auf das Word Wide Web ohne den HTTP Proxy statt finden soll m ssen Sie durch eine Regel im Men Packet Filter Rules den HTTP Datenverkehr zwischen dem internen Netzwerk und dem Internet oder dem Webserver freigeben 271 System benutzen amp beobachten Beispiel Source IP Adresse des lokalen Client Service HTTP Destination IP Adresse des Webservers oder Any Action Allow Um ber den Proxy auf das World Wide Web zuzugreifen tragen Sie im Browser die IP Adresse des Proxy in der Regel die IP Adresse der internen Netzwerkkarte und die Portadresse 8080 ein Transparent Die HTTP Anfragen auf Port 80 aus dem internen Netz werk werden abgefangen und durch den Proxy geleitet F r den Brow ser des Endanwenders ist dieser Vorgang v llig unsichtbar Es ent steht kein zus tzlicher Administrationsaufwand da f r den Browser des Endanwenders keine Einstellungen ge ndert werden m ssen Alle Netzwerke die transparent weitergeleitet werden sollen m ssen im Auswahlfeld Allowed Networks eingetragen sein Im Modus Transparent ist es nicht m glich durch etwaige Einstellungen im Browser Zugriff auf den HTTP Proxy zu erhalten Des Weiteren k n nen in diesem Modus keine Daten von einem FTP Server herunter geladen werden Ebenso m ssen H
458. wird ein Bildschirm angezeigt der Sie dar ber informiert dass be reits ein anderer Administrator eingeloggt ist Sie k nnen mit der Schaltfl che Kick die andere Session beenden und sich selbst wieder einloggen Falls Sie damit die WebAdmin Session eines anderen Administrators beenden sollten sie im Eingabefeld f r Type reason here den Grund f r die bernahme der Session angeben 466 Glossar Glossar ARP Das Address Resolution Protocol ARP dient dazu f r einen Host dessen IP Adresse bekannt ist die zugeh rige Ethernet Adresse zu ermitteln Der Sender verschickt hierzu per Broadcast ein ARP Paket und wartet darauf dass die Ethernet Adresse wieder zur ckgeschickt wird Broadcast Die Adresse an die sich ein Rechner wendet wenn er alle Rechner im gleichen Subnetz ansprechen will Beispiel Bei einem Netzwerk mit der IP Adresse 192 168 2 0 und der Netzwerkmaske 255 255 255 0 w re ein Broadcast die Adresse 192 168 2 255 Client Ein Client ist ein Programm das ber ein Netzwerk mit einem Server kommuniziert um den von ihm zur Verf gung gestellten Dienst zu nutzt Beispiel Netscape ist ein WWW Client mit dessen Hilfe man Infor mationen von einem WW W Server abrufen kann Client Server Prinzip Nach dem Client Server Prinzip gestaltete Anwendungen verwenden auf der Benutzerseite ein Clientprogramm Client das mit einem bestimmten Dienstrechner im Netz Server Daten austauscht Der Server ist dabei
459. xies sind z B e HTTP Proxy mit Java JavaScript amp ActiveX Filter e SMTP Proxy verantwortlich f r die Zustellung von E Mails und f r das berpr fen auf vorhandene Viren e SOCKS Proxy als generischer authentifizierungssf higer Circuit Level Proxy Der Vorteil der Anwendungsschicht Gateways ist dass das gesicherte Netzwerk physikalisch und logisch vom ungesicherten Netzwerk ge trennt wird Sie stellen sicher dass kein Paket direkt zwischen den Netzwerken flie en kann Direktes Resultat daraus ist ein reduzierter Administrationsaufwand Sie stellen lediglich die Integrit t der Stell vertreter sicher und sch tzen damit s mtliche Clients und Server in Ihrem Netzwerk unabh ngig von Marke Programmversion oder Plattform Schutzmechanismen Weitere Mechanismen gew hrleisten zus tzliche Sicherheit Die Verwendung privater IP Adressen in den gesch tzten Netzwerken gepaart mit Network Address Translation NAT in den Auspr gungen e Masquerading e Source NAT SNAT e Destination NAT DNAT erlaubt es ein gesamtes Netzwerk hinter einer oder wenigen offiziel len IP Adressen zu verbergen und die Erkennung Ihrer Netztopologie von au en zu verhindern 15 Einf hrung in die Technologie Bei nach wie vor voll verf g barer Internet Konnektivit t ist See nach au en hin keine Identifi kation von Endsystemen mehr P m glich 5 4 3 2 1111 Anfrage Durch Destination NAT ist es allerdings m glich Serve
460. y Systems die Hinweise in Kapitel 5 1 11 ab Seite 122 Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Version Conflict Master version lower than slave version Updating Slave Beachten Si bei der Installation des High Availability Systems die Hinweise in Kapitel 5 1 11 ab Seite 122 Falls das Problem andauert setzen Sie sich mit dem Support Ihres Sicherheitssystem Anbieters in Verbindung Interface uplink usage exceeds configured limit Auf einer Standard Ethernet Schnittstelle wurde An die Funktion Monitor Interface Usag ing schaltet Der maximale Wert f r die Uplink Band breite wurde berschritten Interface downlink usage exceeds configured limit Auf einer Standard Ethernet Schnittstelle wurde An die Funktion Monitor Interface Usag ing schaltet Der maximale Wert f r die Downlink Bandbreite wurde berschritten 160 711 715 850 EEN System benutzen amp beobachten Root partition mounted at is short of inodes please check Die Root Partition im Verzeichnis wird knapp bitte pr fen Log file s have been deleted Di derzeit rreichte Auslastung der Partition wird in der Notification angezeigt Log Dateien wurden gel scht Pr fen Sie die Einstellungen im WebAdmin und l schen Sie zur Sicherheit manuell alte Log Da teien damit vom Internet Sicherh
461. ystems ben tigen Sie die g ltige Lizenzdatei License Key auf dem lokalen Host damit Sie diese ber das Konfigurationstool WebAdmin in das Sicherheitssys tem importieren k nnen Hinweis Bei einer Lizenz mit der Option High Availability HA m ssen Sie den License Key auf beiden Sicherheitssystemen Normal und Hot Standby Modus einspielen 58 System benutzen amp beobachten 1 ffnen Sie im Verzeichnis System das Men Licensing 2 Klicken Sie beim Eingabefeld Upload License File auf die Schaltfl che Durchsuchen 3 W hlen Sie ber den Dialog Datei ausw hlen die Lizenzdatei aus und klicken anschlie end auf die Schaltfl che ffnen 4 Klicken Sie auf die Schaltfl che Start Die Installation der Lizenzdatei dauert ca 30 bis 60 Sekunden Nach erfolgreicher Registrierung des Internet Sicherheitssystems erhalten Sie im Fenster License Information Angaben zu Ihrer Lizenz Licensing Information Nach erfolgreicher Registrierung des Internet Sicherheitssystems wer den in in diesem Fenster die Lizenz Informationen angezeigt Licensed Users IPs Die Funktionen in diesem Fenster sind f r Lizenzen die keine unbe grenzte Anzahl an Benutzern IP Adressen zulassen Current User IP Listing In der Tabelle sind alle IP Adressen auf gelistet die f r die Lizensierung relevant sind The aktuelle Benutzer tabelle wird immer geladen wenn dieses Men ge ffnet wird Die Tabelle wird auch angezeigt wenn es si
462. zeigt Gr n IKE debug Flags Mit diesem Auswahlfeld k nnen Sie den Umfang der IKE Debugging Protokolle einstellen Im Men IPSec VPN Con nections muss die Funktion IKE Debugging eingeschaltet sein Die folgenden Flags k nnen protokolliert werden e State Control Kontrollnachrichten zum IKE Status e Encryption Verschl sselungs und Entschl sselungsoperationen e Outgoing IKE Inhalte von ausgehenden IKE Nachrichten 396 System benutzen amp beobachten e Incoming IKE Inhalte von eingehenden IKE Nachrichten e Raw Packets Nachrichten in unverarbeiteten bytes MTU Tragen Sie in das Eingabefeld den MTU Wert ein Per Default ist bereits ein MTU Wert definiert 1420 Byte 397 System benutzen amp beobachten 5 8 System Management Reporting ber das Reporting k nnen Sie sich im Internet Sicherheitssystem aktuelle Systeminformationen und Systemzust nde anzeigen lassen sowie verschiedene Protokollfunktionen in Echtzeit ffnen Die dar gestellten Werte werden alle 5 Minuten aktualisiert Alle Diagramme im Verzeichnis Reporting zeigen im ersten Schritt einen berblick der tagesaktuellen Auslastung Durch einen Klick auf die Schaltfl che Show all ffnen Sie ein Zusatzfenster mit den w chentlichen monatlichen oder j hrlichen Durchschnittswerten 5 8 1 Administration Das Men Administration NAA UO TANEET lol om se T enth lt eine bersicht mit PATIENT DS administrativen Ereignissen Up2Dat
463. zen amp beobachten Wipe Local Log File Archives Delete local archives now Das gesamte lokale Log Archiv mit Ausnahme der aktuellen Protokolle vom heutigen Tag wird gel scht Nur durch diese Aktion wird dieses Archiv gel scht durch das Ausschalten der Funktion Local Logging werden keine Protokolle gel scht Der L schvorgang wird durch einen Klick auf die Schaltfl che Start ausgef hrt Delete local archives now Dart 5 10 2 Local Log File Query Mit der Aktion Local Log File Query k nnen Sie im lokalen Archiv nach be stimmten Log Files suchen s Das Ergebnis der Suchanfra ge wird in einem separaten Fenster angezeigt Suchanfrage starten 1 Stellen Sie im Drop down Men Time Span die Zeitspanne ein 2 W hlen Sie im Auswahlfeld Logs die Protokolle aus Die Funktionsweise des Auswahlfeldes wird in Kapitel 4 3 2 ab Seite 41 beschrieben 3 Stellen Sie im Drop down Men Mode den Modus ein 4 Falls Sie nach Protokollen mit bestimmten Zeichenketten suchen tragen Sie diese in das Eingabefeld Search Term ein 5 Um die Suchanfrage zu starten klicken Sie auf die Schaltfl che Start Die Protokolle werden nun in einem separaten Fenster aufgelistet 421 System benutzen amp beobachten 5 10 39 Browse Im Men Browse sind alle Protokolle enthalten Nach dem ffnen des Men s werden in der bersicht Browse local Log Files alle Proto kollgruppen Logs angezeigt Di
464. zers ausspionieren oder gef hrden Spyware ist aus mehreren Gr nden gef hrlich Sicherheitsl cke f r Informationen und Daten im schlimmsten Fall enth lt sie ein Tool mit dem jede Eingabe erfasst und aufgezeichnet wird u a auch die Eingabe von Passw rtern Hinter der Entwicklung stehen oft gewerbliche H ndler da Spyware meist zur Erfassung des Kundenverhaltens verwendet werden e Die Spyware wird in der Regel unbemerkt installiert und aus gef hrt e Die Spyware l sst sich nur schwer identifizieren und entfernen e Die Kommunikation der Spyware mit dem Internet kann von den meisten Desktop Firewalls nicht von zul ssigem Datenverkehr un terschieden werden Eine typische Spyware installiert sich so dass sie jedes Mal auto matisch startet wenn der Computer hochgefahren wird Sie ist per manent aktiv Die Spyware registriert das Surfverhalten des An 292 System benutzen amp beobachten wenders und gibt diese Daten an externe Systeme weiter die damit gezielte Werbung an diesen Anwender versenden In der Regel be sch digt Spyware die Dateien des Benutzers nicht Der gr te Scha den den Spyware anrichtet entsteht durch die Erfassung und Ver wendung der personenbezogenen Daten Spyware installiert sich zu meist durch eine der folgenden Methoden e Eine versteckte Spyware Komponente ist in einem anderen ge w nschten Programm integriert So kann zum Beispiel die Zulas sung zu web basierten Anwendungen oftmals m
465. zur E Anbindung des Astaro Report Manager an das Sicherheitssys tem Astaro Security Gateway V6 werden im ARM ASG V6 Integration Guide beschrieben Die Nutzung des Astaro Report Managers wird in den zugeh rigen Handb chern beschrieben Sie finden die aktuellen Handb cher und Guides unter der Inter netadresse http www astaro com kb Astaro Report Manager ARM Status Durch einen Klick auf die Schaltfl che Enable schalten Sie die Schnittstelle zum Astaro Report Manager und die Funktionen zur Generierung der ARM Log Files ein Statusampel zeigt Gr n Licensed IP Address Dieses Eingabefeld wird angezeigt nachdem Sie die Funktion in der Zeile Status eingeschaltet haben Der Lizenzumfang des Astaro Report Manager h ngt von der Anzahl der angebundenen Sicherheitssysteme ab Diese Sicherheitssysteme werden anhand ihrer IP Adresse identifiziert Tragen Sie in das Ein gabefeld die IP Adresse der Netzwerkkarte ein ber die die Log Files an den ARM Syslog Server geschickt werden Sobald Sie eine g ltige IP Adresse eingegeben haben werden die ARM Log Files w hrend des n chtlichen Log File Rotation Prozesses automatisch generiert Diese Log Files k nnen sp ter ber die Funktionen in den anderen Fenstern manuell auf einen lokalen Rechner heruntergeladen oder automatisch 412 System benutzen amp beobachten an einen Host geschick werden Hier gibt es keine Live Logs f r die ARM Protokolle Historical ARM Log Files
Download Pdf Manuals
Related Search