SECUREPOINT TM FIREWALL & VPN SERVER

Transkript

1 SECUREPOINT TM FIREWALL & VPN SERVER SECURITY SOLUTIONS FIREWALL VPN SERVER VIRUSWALL

2 2 INHALTSVERZEICHNIS 1 Installation des Securepoint Firewall & VPN Servers Installation Server Update von Securepoint 2.X auf Securepoint 3.X 8 2 Securepoint Security Manager Installation Erste Anmeldung und Firewall Server-Eintrag 11 3 Schnelleinführung Securepoint Security Manager Securepoint Konfiguration Konfigurationsbeispiele Firewall-Reports 26 4 Bedienung Optionen Benutzerverwaltung Backup Patch Fehlerreport Server Client Kernel-Einstellungen Proxy Blocking IPSec VPN VPN Firewall zu Firewall (F to F) konfigurieren VPN Firewall zu Client / Roadwarrior (C to F) konfigurieren PPTP VPN Dienste Dienstgruppen Rechner/Netze Rechnergruppen Netzkonfiguration Erweitertes Routing Virtuelle IPs NAT Network Address Translation Reportmails Einstellungen / Reports versenden Server-Dienste Interfaces Virenscanner Firewall-Regeln Topologie Konfiguration speichern/öffnen Konfiguration drucken 84

3 3 5 Reports Reports Traffic Accounting Verbindungstests 89 6 Firewall Konsole Grundkonfiguration der Firewall von der Konsole aus 92 7 FAQs 94 Index 95

4 4 INSTALLATION 1 Installation des Securepoint Firewall & VPN Servers Hier erhalten Sie die Informationen, um den Securepoint Firewall & VPN Server schnell zu installieren und einzurichten. Update von Securepoint 2.X Zum Update von bestehenden Securepoint 2.X Systemen auf Securepoint 3.X siehe Seite 8. Stellen Sie sicher, dass der von Ihnen vorgesehene Rechner hinsichtlich der Hardwareanforderungen mit den beiliegenden White Papers konform ist. Die White Papers finden Sie auf der CDROM im Verzeichnis documents/ in Englisch oder in aktuellster Form auf den Websites: Netzmasken in Bitcount Beachten Sie, dass alle Netzmasken in Bitcount angegeben werden. Hier ein paar Beispiele für gängige Bitcount-Angaben: Netz Netzmaske Bitcount Anzahl IPs Gesamtes Netz: > Class A Netz: > Class B Netz: > Class C Netz: > Subnetz: > Subnetz: > Subnetz: > Subnetz: > Subnetz: > 29 8 Subnetz: > 30 4 Ein Host: > 32 oder Host 1 Ein Bitcount-Calculator wird bei der Securepoint Client-Installation installiert.

5 5 1.1 Installation Server Neuinstallation Legen Sie die CDROM in das CDROM-Laufwerk Ihres Computers, der für den Securepoint Firewall & VPN Server vorgesehen ist, und starten Sie ihn. Achten Sie darauf, dass Ihr Computer von CDROM booten kann. # Eingaben Beispiel 1 Securepoint Version: Office, Business, Professional Professional 2 Sprache Deutsch 3 Tastatur German 4 Anbindung (ISDN, ADSL, Ethernet) Ethernet 6 Netzwerkkarten Anzahl Festplatte (IDE oder SCSI) Packages, die Sie installieren möchten IDE Securepoint, Mailgateway Danach werden Sie gefragt, ob alle Eingaben korrekt sind und die Installation beginnen soll. Falls nicht, wiederholen Sie die Eingaben, bis sie korrekt sind. Drücken Sie dann die <ENTER>-Taste. Achtung: Alle Daten auf der Festplatte des von Ihnen ausgewählten Servers werden dabei gelöscht.

6 6 INSTALLATION Bei der Netzkonfiguration werden alle benötigten Grunddaten für den Securepoint Firewall & VPN Server abgefragt. Hierzu gehören: Netzwerkkarten, IP-Adressen, Netzmasken... Halten Sie diese Angaben bereit. # Eingaben Beispiel 9 Einrichtung der Netzwerkkarten (Anzahl z. B. 8): eth0* IP-Adresse (der jeweiligen Netzwerkkarte) Bitcount (Netzmaske der jeweiligen Netzwerkkarte) 32 Modul (Treiber der jeweiligen Netzwerkkarte) 8139too *Je nach Anzahl der Netzwerkkarten (hier 8) wiederholen Sie die Eingaben von Punkt 9.

7 7 # Eingaben Beispiel Standard-Gateway (Ihr Router im Internet) Admin-IP (Rechner, von dem administriert wird) Root-Passwort ***** Hostname Firewall Jetzt werden Sie gefragt, ob alle Eingaben korrekt sind und die Konfiguration beginnen kann. Falls nicht, wiederholen Sie die Eingaben, bis sie korrekt sind. Beachten Sie, dass für die Befehle ping und Traceroute Firewall-Regeln freigeschaltet werden müssen. Im anderen Fall sind diese nicht ausführbar. * Beachten Sie, dass die Angaben für jede Netzwerkkarte (z. B. eth0, eth1...) gemacht werden müssen. Die IP-Adresse des Clienten muss zuerst im internen Netz liegen! Installation abgeschlossen Die Server Installation und Konfiguration ist nun abgeschlossen und das Securepoint System startet danach neu. Sie können nun mit der Installation des Security Managers von CDROM auf Ihrem Arbeitsplatz fortfahren. Falls sich die CDROM noch im Laufwerk befindet, entfernen Sie diese. Die Securepoint Firewall ist jetzt betriebsbereit. Da noch keine weiteren Einstellungen vorgenommen sind, ist die Kommunikation der Netze miteinander automatisch gesperrt. Sie können jetzt den Securepoint Firewall & VPN Server konfigurieren. Kein ping und Traceroute auf Interface/Netzwerkkarten möglich Beachten Sie, dass für die Befehle ping und Traceroute Firewall-Regeln freigeschaltet werden müssen. Nur das interne Interface ist von vornherein anpingbar. Siehe auch Kapitel FAQs. Achtung: Achten Sie darauf, dass auch alle Netzwerkkarten angeschlossen (uplink) sind und dass der Zugriff auf den Server nur über die angegebene IP- Adresse des Clienten (Security Managers) möglich ist.

8 8 INSTALLATION 1.2 Update von Securepoint 2.X auf Securepoint 3.X Viele Anwender besitzen schon eine Securepoint 2.X Version. Das Update von Securepoint 2.X auf Securepoint 3.X ist sehr einfach möglich. Alle Einstellungen / Konfigurationen Ihrer Version 2.X bis auf IPSec-VPN- Einstellungen, die nachträglich eingetragen werden müssen werden dabei automatisch übernommen und der Wechsel ist deshalb innerhalb von Minuten durchgeführt. Ohne großen Aufwand profitieren Sie so von der Vielzahl neuer Features und dem höheren Sicherheitsstandard der Securepoint 3.X. Zum Update Ihrer 2.X Version gehen Sie folgendermaßen vor: # Eingaben Beispiel 1 Loggen Sie sich auf der Konsole Ihres Securepoint 2.X Servers ein 2 Mounten der Securepoint 3.X CDROM am 2.X Server: CDROM als Slave am secondary IDE Kanal: mount /dev/hdd /mnt/cdrom oder CDROM als Master am primary IDE Kanal: mount /dev/hda /mnt/cdrom oder CDROM als Slave am primary IDE Kanal: mount /dev/hdb /mnt/cdrom oder CDROM als Master am secondary IDE Kanal: mount /dev/hdc /mnt/cdrom oder bei SCSI: mount /dev/scd0 /mnt/cdrom 3 Wechseln in das Verzeichnis des Update-Programms: cd /mnt/cdrom/update 4 Starten des Update-Programms:./install.sh Machen Sie vorher eine Sicherungskopie vom Securepoint 2.X Server Über die Sicherung können Sie Ihre bestehende Securepoint 2.X Firewall- Konfiguration auf Diskette sichern. Wechseln Sie im Securepoint 2.X Client auf Optionen -> System und klicken Sie auf den Button <Speichern>, um eine Sicherung zu machen. Eine leere Diskette muss dabei in den Firewall Server eingelegt sein.

9 SECURITY MANAGER 9 2 Securepoint Security Manager Der Securepoint Security Manager ist das Konfigurationsprogramm Ihres Securepoint Firewall & VPN Servers. Der Security Manager muss zuerst auf Ihrem Windows TM -Computer installiert werden, siehe Seite 10. Beim ersten Start des Securepoint Security Managers erscheint die Anmeldung. Bevor Sie sich das erste Mal auf dem Firewall Server einloggen können, müssen Sie den Firewall Server, auf den Sie zugreifen wollen, angeben: Button <Firewall Server>. Sie haben die Möglichkeit, mehrere Firewall Server über den Manager zu bedienen. Tragen Sie alle Securepoint Server ein, die Sie besitzen. Ein Tipp für Neulinge: Der Security Manager kann auch offline betrieben werden und wird mit Beispiel-Konfigurationen geliefert. Diese Konfigurationen geben Ihnen eine Hilfestellung beim Einrichten von Virenscannern auf der Firewall oder beim Aufbau von VPN-Verbindungen. Securepoint Security Manager

10 10 SECURITY MANAGER 2.1 Installation Legen Sie die CDROM in das CDROM-Laufwerk Ihres Windows TM -Computers, der für die Firewall-Administration vorgesehen ist. Wechseln Sie in das Verzeichnis client auf der CDROM und starten Sie das Programm setup.exe. Der Securepoint Security Manager wird nun installiert. Bei dem Betrieb des Securepoint Clienten wählen Sie über: Start -> Programme -> Securepoint -> Securepoint und starten Sie damit den Security Manager. Securepoint Security Manager Bitcount-Calculator Zur Umrechnung von Netzmasken steht Ihnen ebenfalls ein Bitcount-Calculator zur Verfügung. Gängige Bitcountangaben finden Sie auch auf Seite 4. Registrierung des Securepoint Firewall Servers Falls Ihnen eine 30-Tage-Test-Version vorliegt, können Sie bei Ihrem Reseller eine Voll-Version registrieren. Um sofort eine Registrierung zur Voll-Version von der 30-Tage-Test-Version vornehmen zu können, senden Sie die Programm-ID im Menü Info > Registrierung an Ihren Reseller oder direkt an Securepoint (mit Angabe Ihres Resellers). Sie erhalten daraufhin einen Registrierungsschlüssel zurück, mit dem Sie die 30-Tage-Version zu einer Voll-Version machen können. Die Registrierung ist kostenpflichtig.

11 Erste Anmeldung und Firewall Server-Eintrag Online- und Offline-Modus Der Security Manager besitzt einen Offline-Modus zur Bearbeitung von Firewall-Konfigurationen, ohne dabei online mit dem Securepoint Server verbunden zu sein. Auf der Securepoint CDROM finden Sie verschiedene Beispiel- Konfigurationen, die Sie einfach mit dem Security Manager aufrufen können. Diese Beispiele (im Verzeichnis: samples/) erleichtern Ihnen das Einrichten des Servers. Sie können auch eigene Konfigurationen abspeichern, falls Sie verschiedene Dinge testen möchten. Bearbeiten und Neuanlegen eines Firewall Servers Security Manager Offline-Mode Eingabe: Firewall IP-Adresse Port Eingaben Eingabe-Beispiel Firewall: Drücken Sie den Button <Firewall Server> Firewall (frei definierbar) Central-Firewall IP-Adresse (Internes Interface der Firewall) Port (Standard-Securepoint-Port: 11112) 11112

12 12 SECURITY MANAGER Anmeldung Melden Sie sich nach der Eintragung eines Firewall Servers an. Logineingabe Passworteingabe Serverauswahl Bearbeiten und Neuanlegen eines Firewall Servers Security Manager Offline-Mode Eingaben Login* (bei der ersten Anmeldung) Passwort* (bei der ersten Anmeldung) Serverauswahl Eingabe-Beispiel admin admin Central-Firewall * Beachten Sie, dass beim ersten Login auf dem Securepoint Security Manager: Login: admin Passwort: admin sind. Ändern Sie diese aus Sicherheitsgründen möglichst schnell.

13 QUICKSTEPS 13 3 Schnelleinführung 3.1 Securepoint Security Manager Je nach Benutzerrechten erhalten Sie nach dem Einloggen das Administrator- Menü mit der Möglichkeit, den Firewall Server zu konfigurieren/administrieren und Reports einzusehen oder das Benutzer-Menü mit der Möglichkeit, Reports einzusehen. Ein Administrator hat das Recht, die Firewall zu konfigurieren, ein Benutzer kann lediglich Reports abfragen. Inhalte Datei: Bearbeiten: Reports: Info: Speichern/Öffnen von Konfigurationen, Beenden des Security Managers Bearbeiten von Konfigurationen Reportsabfrage und Testen von Einstellungen Information und Registrierung des Securepoint Servers

14 14 QUICKSTEPS Securepoint Konfiguration Zum Securepoint Security Manager werden Ihnen verschiedene Beispiele mitgeliefert, die Ihnen die Konfiguration und Administration erleichtern sollen. Sie sollten den Securepoint Security Manager hierzu im Offline-Modus betreiben, da Sie sonst die bestehende Konfiguration Ihrer echten Server überschreiben. Starten Sie den Securepoint Security Manager, kreuzen Sie das Feld <offline Modus> an und Klicken Sie auf <OK>. Öffnen Sie jetzt über den Menü-Punkt <Datei öffnen> eine der vorliegenden Beispiel-Konfigurationen. Jede Konfigurationsdatei ist aus Sicherheitsgründen mit einem Passwort geschützt und verschlüsselt. Konfigurationsbeispiel Datei-Name Einfache Internet Konfiguration beginner1.isf Static NAT Konfiguration mit Webserver in der DMZ1 beginner2.isf Proxy Server Konfiguration beginner3.isf VPN PPTP Server/ Roadwarrior Konfiguration beginner4.isf VPN IPSec Server / Roadwarrior Konfiguration beginner5.isf AntiVir Virenscanner Konfiguration beginner6.isf Beachten Sie: Das Passwort, der Schlüssel, für die Konfigurationen ist: test

15 Konfigurationsbeispiele Die Beispiel-Konfigurationen sind auf CDROM im Verzeichnis samples/ verfügbar. Beispiel 1: Einfache Internet Konfiguration Datei: beginner1.isf, Passwort: test beinhaltet folgende Konfiguration. Öffnen Sie die Beispieldatei im Offline-Modus. NAT Internal > External Firewall interne IP-Adresse: /24 Firewall externe IP-Adresse: /8 Router IP-Adresse: Regel: NetBios Broadcast wird nicht geloggt. 2. Regel: Das gesamte interne Netz darf folgende Dienste im Internet nutzen: http, https, ftp & ftp-related (pasv ftp) 3. Regel: Das gesamte interne Netz darf folgende Dienste im Internet nutzen: dns-udp & dns-tcp Rechnergruppe: Rechner: Internet any Router Firewall Zone: External Rechnergruppe: Rechner: Zone: Central Central-internal Internal /24 (Class C-Netz)

16 16 QUICKSTEPS Beispiel 2: Static NAT Konfiguration mit Webserver in der DMZ1 Datei: beginner2.isf, Passwort: test beinhaltet folgende Konfiguration. Öffnen Sie die Beispieldatei im Offline-Modus. NAT Internal > External NAT DMZ1 > External Firewall interne IP-Adresse: /24 Firewall externe IP-Adresse: /8 Firewall DMZ1 IP-Adresse: /16 Router IP-Adresse: Firewall virtuelle IP-Adresse am externen Interface: Webserver reale IP-Adresse: Regel: NetBios Broadcast wird nicht geloggt. 2. Regel: Das Internet darf den Webserver in der DMZ1 über die Firewall IP-Adresse ansprechen. Die erlaubten Dienste sind: http, https, ftp & ftp-related (pasv ftp) 3. Regel: Das gesamte interne Netz darf den Webserver in der DMZ1 über seine reale IP-Adresse ansprechen. Die erlaubten Dienste sind: http, https, ftp & ftp-related (pasv ftp) Beispiel 3: Proxy Server Konfiguration Datei: beginner3.isf, Passwort: test beinhaltet folgende Konfiguration. Öffnen Sie die Beispieldatei im Offline-Modus. NAT Internal > External Firewall interne IP-Adresse: /24 Firewall externe IP-Adresse: /8 Router IP-Adresse: Regel: NetBios Broadcast wird nicht geloggt. 2. Regel: Das gesamte interne Netz darf auf den Proxy der Firewall zugreifen. 3. Regel: Dem Firewall-Proxy wird erlaubt, auf das Internet zuzugreifen. Die erlaubten Dienste sind: http, https, ftp & ftp-related (pasv ftp) Beachten Sie, dass die IP-Adresse der erreichbaren Name Server in der Interface-Konfiguration eingetragen ist, da sonst der Proxy-Server nicht arbeitet.

17 17 Beispiel 4: VPN PPTP Server / Roadwarrior Konfiguration Datei: beginner4.isf, Passwort: test beinhaltet folgende Konfiguration. Öffnen Sie die Beispieldatei im Offline-Modus. NAT Internal > External Firewall interne IP-Adresse: /24 Firewall externe IP-Adresse: /8 Router IP-Adresse: Regel: NetBios Broadcast wird nicht geloggt. 2. Regel: Das gesamte Internet darf die Firewall via PPTP konnektieren. Die erlaubten Dienste sind: pptp-gre, pptp-tcp 3. Regel: Den authentifizierten VPN-Benutzern ist es erlaubt, auf das interne Netz zuzugreifen. Die erlaubten Dienste sind: netbios-udp1, netbios-udp2, netbios-tcp1, netbios-tcp2 Beispiel 5: VPN IPSec Server / Roadwarrior Konfiguration Datei: beginner5.isf, Passwort: test beinhaltet folgende Konfiguration. Öffnen Sie die Beispieldatei im Offline-Modus. NAT Internal > External Firewall interne IP-Adresse: /24 Firewall externe IP-Adresse: /8 IPsec Interface IP-Adresse: Router IP-Adresse: Regel: NetBios Broadcast wird nicht geloggt. 2. Regel: Das gesamte Internet darf die Firewall via IPSec konnektieren. Die erlaubten Dienste sind: ipsec-esp, ipsec-udp 3. Regel: Den authentifizierten VPN-Benutzern ist es erlaubt, auf das interne Netz zuzugreifen. Die erlaubten Dienste sind: netbios-udp1, netbios-udp2, netbios-tcp1, netbios-tcp2 Beispiel 6: AntiVir Virenscanner Konfiguration Zur Konfiguration und Regelerstellung des AntiVir Mailgateways finden Sie weitere Informationen auf Seite 76, Virenscanner.

18 18 QUICKSTEPS Eintragen aller vorhandenen Rechner und Netze Bevor Sie Firewall-Regeln einsetzen, müssen Sie Rechner definieren und ihnen Zonen zuweisen. Erstellen Sie dann eine Rechnergruppe und weisen die Rechner/Netze der Rechnergruppe zu. Der Vorteil dieser Einteilung ist, dass Sie später wesentlich weniger Firewall-Regeln erzeugen müssen. Wählen Sie im Bearbeiten-Menü > Optionen. Klicken Sie auf das Icon <Rechner/Netze>, wenn Sie Rechner und Netze definieren möchten. Sie können dort alle vorhandenen Rechner und Netze inklusive deren Zonenzuordnung eintragen. Eine Zone wird in der Regel durch die Zuordnung zum Interface/Netzwerkkarte der Firewall definiert. Im Beispiel sind die internen Netze /24, Zone Internal. Ein Netz, das Internet, ist schon vordefiniert: any mit der IP-Adresse Maske 0, Zone External

19 19 Beispiele für Firewall-Zonen: Internal, External... Über die Zonen legen Sie fest, welche Rechner/Netze sich in den einzelnen Netzbereichen befinden. Interface/Bereiche eth0 (auch ADSL) / ISDN, External: Externes Netz, z. B. Internet Externes Firewall-Interface Externes IPSec-Interface eth1, Internal: External FW-External FW-ipsec Internes Netz Internal Internes Firewall-Interface FW-Internal eth2, DMZ1: (nur bei mindestens 3 Netzwerkkarten verfügbar) DMZ1-Netz DMZ1 DMZ1-Firewall-Interface FW-DMZ1 eth3, DMZ2: (nur bei mindestens 4 Netzwerkkarten verfügbar) DMZ2-Netz DMZ2 DMZ2-Firewall-Interface FW-DMZ2 eth4, DMZ3: (nur bei mindestens 5 Netzwerkkarten verfügbar) DMZ3-Netz DMZ3-Firewall-Interface Allgemeine Zonen für VPN-Tunnel PPTP-Zone IPSec-Zone Zonen: DMZ3 FW-DMZ3 pptp ipsec Beispiel: Das interne Netz soll mit dem Internet kommunizieren (http, ftp): Legen Sie falls nicht vorhanden erst die Rechner und dann Rechnergruppen an: Gruppe: Central, Rechner: Central-interne-Rechner, Zone: Internal Gruppe: Internet, Rechner: any, Zone: External (schon vorhanden) Die Firewall-Regeln für das Beispiel wären dann: Central > Internet, Dienst: default-internet*, erlaubt: ACCEPT Central > Internet, Dienst: dns*, erlaubt: ACCEPT * default-internet enthält die Dienste: http, ftp... dns ist der Domain Name Service zur Namens-/IP-Umsetzung ( < > )

20 20 QUICKSTEPS Anlegen von Rechnergruppen Klicken Sie auf das Icon <Rechnergruppe>. In einer Rechnergruppe können Sie mehrere Rechner/Netze zusammenfassen. Es besteht schon eine vordefinierte Rechnergruppe: Internet. In dieser Rechnergruppe sind alle Rechner (any) des Internets vorhanden. Vorhandene Rechnergruppe auswählen Rechner/Netze der Rechnergruppe zuweisen oder entfernen Neue Rechnergruppe anlegen und bestehende löschen

21 21 Eintragen von Rechnergruppen Tragen Sie hier alle vorhandenen Rechnergruppen ein. Eine Rechnergruppe kann aus mehreren Rechnern/Netzen bestehen, z. B. Gruppe: Central besteht z. B. aus Rechner1, Rechner2 und Netz1. Erstellen Sie die neue Rechnergruppe. Eingaben Eingabe-Beispiel Klicken Sie auf den Button < + > Gruppenname (Name der Rechnergruppe) Central Wählen Sie ein Bild aus Bild: blaues Netz Klicken Sie auf die Buttons <Hinzufügen>, <Schließen> Wählen Sie die neue Gruppe aus Central Weisen Sie der Gruppe die Rechner/Netze zu Central-internal Bedeutung: Das Central enthält folgende Rechner/Netze: Central-internal...

22 22 QUICKSTEPS Firewall-Regel Über die Firewall-Regeln steuern Sie, was eine Gruppe von Rechnern darf oder nicht darf. Zusätzlich können Sie loggen und die Regel zeitlich begrenzen. In diesem Beispiel wird Ihren internen Rechnern der Zugang zum Internet mit den Diensten ftp, http, https und dns erlaubt. Felder ID von Rechnergruppe zu Rechnergruppe Dienstgruppe Art Log Zeitvorgaben Bemerkung -> Nr der Regel -> Rechnergruppe, von der Zugriff kommt -> Rechnergruppe, zu der Zugriff geht -> Bezeichnung der Dienstgruppe, für die die Regel gilt -> Zugriff ACCEPT, DROP, REJECT, DISABLED -> Logging-Einstellungen -> Zeiteinstellungen der Regeln -> Bemerkungsfeld

23 23 Beispielregeln Hier sind zwei Beispielregeln für die Dienste default-internet (http, https, ftp) und DNS (domain-udp, domain-tcp). Damit erlauben Sie den Zugriff auf das Internet über Webbrowser und FTP-Clients. Eingaben Eingabe-Beispiel von Rechnergruppe Central zu Rechnergruppe Internet Dienstgruppe default-internet* Art (ACCEPT, DROP, REJECT) ACCEPT Log (L -> ausführlich loggen, S -> kurz loggen) L Klicken Sie auf den Button <Regel speichern>, danach auf <Regel Update> Bedeutung: Die Rechner in der Gruppe Central dürfen mit der Gruppe Internet die Dienstgruppe default-internet* ausführen. Diese Verbindungen werden akzeptiert (ACCEPT) und ausführlich geloggt (L). * default-internet enthält die Dienste: http, ftp... Eingaben Eingabe-Beispiel von Rechnergruppe Central zu Rechnergruppe Internet Dienstgruppe dns* Art (ACCEPT, DROP, REJECT) ACCEPT Log (L -> ausführlich loggen, S -> kurz loggen) L Klicken Sie auf den Button <Regel speichern>, danach auf <Regel Update> Bedeutung: Die Rechner in der Gruppe Central dürfen mit der Gruppe Internet die Dienstgruppe dns* ausführen. Diese Verbindungen werden akzeptiert (ACCEPT) und ausführlich geloggt (L). * dns steht für Domain Name Service, d. h. Namens-/IP-Umsetzung ( < > ) Kein ping und Traceroute auf Interface/Netzwerkkarten möglich Beachten Sie, dass für die Befehle ping und Traceroute Firewall-Regeln freigeschaltet werden müssen. Nur das interne Interface ist von vornherein anpingbar. Siehe auch Kapitel FAQs.

24 24 QUICKSTEPS Aktivieren von Regeln Aktivieren Sie Ihre erste Regel, indem Sie den Button <Regel Update> drücken. Die Regel ist nun aktiv. Regel einfügen Regel löschen Gewählte Regel ändern Aktivieren der Regeln Zeitabhängige Regeln Eine Regel darf möglicherweise nur zu bestimmten Zeiten aktiv sein. Dies ist durch eine einfache Einstellung möglich, siehe Abb. Aktivieren von Regelzeiten Tragen Sie hier die Zeitbereiche ein, zu der die Regel aktiv sein soll. Zu anderen Zeiten ist die Regel ungültig.

25 25 Netbios-Broadcast-Meldung herausfiltern: Windows TM -Rechner tauschen laufend Broadcast-Meldungen aus. Diese Meldungen sind unwichtig für die Kommunikation über die Firewall und belasten diese nur, da diese Datenpakete ebenfalls untersucht werden. Erstellen Sie zum Ausfiltern von Broadcast-Meldungen eine Regel und verschieben Sie sie an die erste Stelle im Regelwerk, siehe auch Beispielkonfigurationen. 1 Rechner definieren: Optionen > Rechner > anlegen, bearbeiten Name: der internen Rechner Broadcast-Rechner IP-Adresse: interne IP-Adressen Maske: Netzgröße(24 Class C) Host Zone: Interne Zone der Firewall FW-Internal 2 Gruppe definieren: Optionen > Rechner > Gruppe anlegen, bearbeiten Legen Sie eine neue Gruppe an: <+>-Button Broadcast Gruppe Broadcast: Rechner zuweisen Broadcast-Rechner 3 Regel > von Rechnergruppe Central zu Rechnergruppe Broadcast Dienstgruppe netbios Art (ACCEPT, DROP, REJECT) REJECT Bedeutung: Die Netbios-Broadcast-Meldungen der Broadcast-Rechner werden abgewiesen. Kommt ein Datenpaket an und steht die Regel an erster Stelle, werden nachfolgende Regeln nicht weiter abgearbeitet. Steht die Regel an letzter Stelle, werden erst alle vorherigen Regeln abgearbeitet. Private Netze auf externem Interface, wenn externes Netz öffentlich: Wenn private Netze auf das externe Interface der Firewall zugreifen wollen und das externe Interface eine öffentliche IP-Adresse hat, kann von einem Angriff ausgegangen werden. Legen Sie deshalb eine Regel an, die am Anfang steht und die Zugriffe aus privaten Netzen abweist. Die nachfolgenden Regeln müssen dann nicht mehr abgearbeitet werden und die Firewall arbeitet optimiert.

26 26 QUICKSTEPS Firewall-Reports Über die Option Reportmails Einstellungen können Benutzern Reports zugeordnet werden. Die Reports werden alle 24 Stunden an die Personen versandt. Eingaben Empfänger auswählen Reporttyp Traffic Reporttyp IPSec Reporttyp Alarm Alarmmeldung sofort versenden Eingabe-Beispiel Peter M Traffic IPSec Alarm peterm@securepoint.de Bedeutung: Die geloggten Verbindungen Traffic, IPSec und Alarm werden alle 24 Stunden per Mail an den Benutzer Peter Mustermann versandt. Die Alarmmeldung wird explizit sofort nach der Feststellung eines Angriffs an die -Adresse peterm@securepoint.de zur Benachrichtigung gesendet.

27 27 Reports ansehen: Datentransfervolumen per Interface/IP Für das Abfragen von Reports beenden Sie das Konfigurationsfenster und öffnen Sie das Reportfenster. Klicken Sie auf Menü das Reports und dann auf Accounting. Datentransfer per Interface Genaue Datentransferberechnung Über das Accounting können Sie sich eine grafische Darstellung der Datentransfermenge je Interface sowie der IP-Adressen und Richtung geben lassen eine genaue Feststellung und Berechnung des Datenaufkommens ist so möglich.

28 28 QUICKSTEPS Verbindungstest Über das Menü Reports > Verbindungstest sind Sie in der Lage, die von Ihnen vorgenommenen Einstellungen aus sicht der Firewall zu testen. Diese Eingaben werden genauso ausgeführt, als wenn sie direkt von der Konsole der Firewall ausgeführt worden wären. Eingaben Ping*: Stellen Sie hiermit fest, ob ein Host erreichbar ist oder nicht Netstat: Stellen Sie hiermit den Netzstatus fest: Route, zeigt die aktive Routingtabelle der Firewall Interface, zeigt die eingebauten Interfaces inklusive des Loopback Interface sowie übertragene Pakete und Fehler Statistik, zeigt eine Statistik der übertragenen Pakete aufgeteilt in udp, tcp und icmp Sockets, zeigt aktive Verbindungen auf Nslookup: Auflösen vom IP-Adressen nach Namen und umgekehrt Traceroute*: Verfolgung der Datenpakete zum Zielrechner Ifconfig: Mit ifconfig können Sie sich die Anzahl der initialisierten Interface und deren Status anzeigen lassen. Dazu gehört die Hardware-Adresse (Mac-Adresse), die IP-, die Netzwerk- und die Broadcast-Adresse des Interfaces * Beachten Sie, dass für die Befehle ping und Traceroute Firewall-Regeln freigeschaltet werden müssen. Im anderen Fall sind diese nicht ausführbar.

29 BEDIENUNG 29 4 Bedienung 4.1 Optionen Über die Bearbeiten > Optionen stellen Sie grundlegende Security Manager und Server Optionen ein. Sämtliche Einstellungen des Securepoint Servers sind hier durchführbar.

30 30 BEDIENUNG Benutzerverwaltung Über die Benutzerverwaltung können Sie Benutzer anlegen, löschen, suchen und Benutzerdaten ändern. Beachten Sie, dass beim ersten Login auf dem Clienten Ihr Login und Passwort: admin ist. Der Benutzer heißt Administrator. Wenn Sie PPTP-VPN nutzen, können Sie hierfür ebenfalls Benutzer eintragen. Tragen Sie z. B. folgende Daten ein: Eingaben Eingabe-Beispiel Name (erste Anmeldung: Administrator) Mustermann Login (erste Anmeldung über Client: admin) peter Passwort (erste Anmeldung über Client: admin) ******* Bestätigung (Passwortwiederholung) ******* Gruppe (Administrator, Benutzer, VPN-Benutzer) Administrator PPTP -IP (* -> zugewiesene IP) nur bei VPN-Benutzer *

31 Backup Über Backup ist es Ihnen möglich, direkt vom und auf das Server- Diskettenlaufwerk Backups Ihrer Einstellungen einzuspielen oder zu machen. Beachten Sie, dass Sie auch von Ihrem Arbeitsplatz über den Security Manager unterschiedliche Konfigurationen oder Backups speichern oder laden können, siehe Konfiguration speichern, Seite 83. Speichern und Laden von System-Konfigurationen und Patches auf den Server aufspielen. Legen Sie hierzu eine Diskette in Ihren Firewall Server. Über das Backup können Sie Ihre bestehende Firewall-Konfiguration auf Diskette sichern. Die Diskette muss dabei in den Firewall Server eingelegt werden. Klicken Sie auf den Button <Speichern>, um eine Sicherung zu machen. Über die Sicherung können Sie ebenfalls Ihre Einstellungen wieder aufspielen oder Patches auf der Firewall installieren. Legen Sie hierzu die erzeugte Patch- Diskette oder die Sicherungs-Diskette in das Laufwerk des Firewall Servers und klicken Sie auf den Button <Laden> oder <Patch aufspielen>. Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information. Achtung: Spielen Sie niemals ältere Backups der Versionen Securepoint 1.X oder 2.X ein. Dies führt zu Schäden an Ihrer Firewall.

32 32 BEDIENUNG Patch Über das Programm Patch können Sie sehr bequem Patches auf der Firewall installieren. Es wird dabei automatisch eine Verbindung zum Securepoint- Webserver aufgebaut. Alle verfügbaren Patches Ihres Firewall Servers sowie alle verfügbaren Patches auf dem Securepoint-Webserver werden aufgelistet und können einfach geladen werden. Verfügbare Patches auf Auf der Firewall verfügbare Patches Installierte Patches auf der Firewall Kurze Patch- Information auf Herunterladen von Patches von Installieren eines Patches aus den verfügbaren Patches Detailierte Patch- Informationen Ein ähnliches Programm finden Sie auch auf der Konsole: conf.sh, siehe auch Konsole. Sie können dann direkt von der Firewall aus einen Patch einspielen. Lesen Sie jedoch vorher sorgfältig die beiliegende Patch-Information. Eventuell ist es nötig, dass Ihr Server nach dem Einspielen eines neuen Patches neu gestartet werden muss. Beachten Sie, dass Sie vorher immer eine aktuelle Server-Konfiguration sichern.

33 Fehlerreport Sollten Sie für Ihr System Support benötigen, können Sie direkt eine Problembeschreibung an den Securepoint Support senden, die Konfiguration der Firewall wird hierbei zusätzlich übermittelt. Beachten Sie, dass als Minimumvoraussetzung eine Verbindung zum Internet bestehen und ein Name Server eingetragen sein muss, der erreichbar ist. Support: Tragen Sie Ihre Firma, Ihren Namen, Ihre und eine Problembeschreibung ein. Diese Daten werden gemeinsam mit Ihrer Server-Konfiguration an den Securepoint Support versandt!