ViPNet Coordinator HW/VA 3.2. Referenzhandbuch

Größe: px
Ab Seite anzeigen:

Download "ViPNet Coordinator HW/VA 3.2. Referenzhandbuch"

Transkript

1 ViPNet Crdinatr HW/VA 3.2 Referenzhandbuch

2 Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten Sie in jedem Fall zusätzlich unsere Release Ntes lesen insbesndere, wenn Sie ein Sftware-Upgrade zu einem höheren Release-Stand durchführen. Die aktuellsten Release Ntes sind immer zu finden unter Haftung Der Inhalt dieses Handbuchs wurde mit größter Srgfalt erarbeitet. Die Angaben in Ihrem Handbuch gelten jedch nicht als Zusicherung vn Eigenschaften Ihres Prdukts. Der Hersteller haftet nur im Umfang seiner Verkaufs- und Lieferbedingungen und übernimmt keine Gewähr für technische Ungenauigkeiten und/der Auslassungen. Die Infrmatinen in diesem Handbuch können hne Ankündigung geändert werden. Zusätzliche Infrmatinen, swie Änderungen und Release Ntes für ViPNet Prdukte finden Sie unter Der Hersteller übernimmt keine Verantwrtung für Datenverlust und Schäden, die durch den unsachgemäßen Betrieb des Prdukts entstanden sind. Cpyright Inftecs GmbH, Berlin Versin: DEU Dieses Dkument ist Teil des Sftwarepaketes und unterliegt daher denselben Lizenzbestimmungen wie das Sftwareprdukt. Dieses Dkument der Teile davn dürfen nicht hne die vrherige schriftliche Zustimmung der Inftecs GmbH verändert, kpiert, weitergegeben etc. werden. ViPNet ist ein registriertes Warenzeichen des Sftwareherstellers Inftecs GmbH. Marken Alle genannten Markennamen sind Eigentum der jeweiligen Hersteller. Wie Sie Inftecs erreichen Inftecs GmbH Oberwallstr Berlin Deutschland Tel.: +49 (0) Fax: +49 (0) WWW:

3 Inhalt Einführung... 5 Über dieses Dkument... 6 Zielgruppe... 6 Verwendete Knventinen... 6 Kntakt... 8 FAQ und andere Hilfsinfrmatin... 8 Kntakt... 8 Kapitel 1. Grundparameter für ViPNet Crdinatr HW/VA einstellen... 9 Knfiguratin der Systemparameter Datum und Uhrzeit einstellen Knfiguratin der Auslagerungsdatei Parameter für Systemprtkll einstellen ViPNet Crdinatr HW/VA zum Netzwerk verbinden Verbindung zum Ethernet-Netzwerk herstellen Verbindung zum Wi-Fi-Netzwerk herstellen Verbindung zum 3G-Mbilfunknetz herstellen Systeminfrmatinen anzeigen Kapitel 2. Zuverlässiger Zugang zu Netzwerkressurcen durch Verwendung alternativer Traffic-Kanäle Über Verwendung alternativer Datenübertragungskanäle Befehle zum Steuern des Dienstes ladbalancer Kapitel 3. Knfiguratin der integrierten Dienste Parameter für Netzwerkdienste einstellen Parameter des Wi-Fi-Acces Pints einstellen Parameter des DHCP-Servers einstellen Parameter des DNS-Servers einstellen Parameter des NTP-Servers einstellen Prxyserver-Parameter einstellen Knfiguratin der allgemeinen Einstellungen... 31

4 Inhaltskntrlle knfigurieren Antivirus knfigurieren Knfiguratin des VIP-Servers Knfiguratin des IPsec-Gateways Verbindungen über einen geschützten IPsec-Kanal Einrichtung des Zugangs mbiler Geräte zu Unternehmensressurcen über einen geschützten IPsec-Kanal Imprtieren vn Zertifikaten und CRLs Kapitel 4. Knfiguratin der integrierten Firewall Allgemeine Infrmatinen Knfiguratin der Dienstparameter Knfiguratin des Antispfings Knfiguratin der Filterregeln für ffene IP-Pakete Filter Bedingung Besnderheiten der Bedingungen in den Filterregeln für getunnelte Pakete Aktin Zeit Standard Filterregeln für unverschlüsselte IP-Pakete Knfiguratin der Umsetzung der IP-Adressen (NAT) Syntax für Regeln der Adressenübersetzung Zusammenwirken der Filterung und NAT Kapitel 5. Lgdatei der registrierten IP-Pakete Knfiguratin der Lgdatei der IP-Pakete Lgdatei der registrierten IP-Pakete anzeigen Anhang A Anhang B

5 Einführung Über dieses Dkument 6 Kntakt 8 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 5

6 Über dieses Dkument Dieses Dkument bildet den Anhang zum Hauptdkument ViPNet Crdinatr HW/VA. Administratrhandbuch und enthält Beschreibungen und Beispiele für Befehle, die durch Befehlszeilenschnittstelle für Knfiguratin des ViPNet Crdinatr HW/VA angegeben werden sllen. Für die erflgreiche Arbeit mit diesem Dkument ist es empfehlenswert, dass der Leser über Grundlagenwissen in Netzwerktechnlgie swie über erste Einblicke in die ViPNet-Technlgie verfügt. Ausführliche Infrmatinen über ViPNet-Netzwerke s. Dkumente ViPNet VPN. Benutzerhandbuch und Die Technlgie vn ViPNet. Allgemeine Infrmatinen. Zielgruppe Dieses Dkument ist für Administratren der ViPNet VPN-Netzwerke bestimmt, die für Installatin und Knfiguratin vn ViPNet Crdinatr HW/VA zuständig sind. Verwendete Knventinen Weiter unten sind Knventinen aufgeführt, die im gegebenen Dkument zur Kennzeichnung wichtiger Infrmatinen verwendet werden. Tabelle 1. Symble, die für Anmerkungen benutzt werden Symbl Beschreibung Achtung! Dieses Symbl weist auf einen Vrgang hin, der für die Daten- der Systemsicherheit wichtig ist. Hinweis. Dieses Symbl weist auf einen Vrgang hin, der es Ihnen ermöglicht, Ihre Arbeit mit dem Prgramm zu ptimieren. Tipp. Dieses Symbl weist auf zusätzliche Infrmatinen hin. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 6

7 Tabelle 2. Ntatinen, die zur Kennzeichnung vn Infrmatinen im Text verwendet werden Ntatin Name Taste+Taste Menü > Untermenü > Befehl Cde Beschreibung Namen vn Elementen der Benutzerberfläche. Beispiele: Fensterüberschriften, Feldnamen, Schaltflächen der Tasten. Tastenkmbinatinen. Zum Betätigen vn Tastenkmbinatinen sllte zunächst die erste Taste gedrückt und dann, hne die erste Taste zu lösen, die zweite Taste gedrückt werden. Hierarchische Abflge vn Elementen. Beispiele: Menüeinträge der Bereiche der Navigatinsleiste. Dateinamen, Pfade, Fragmente vn Textdateien und Cdeabschnitten der Befehle, die aus der Befehlszeile ausgeführt werden. Für die Beschreibung der Befehle werden in diesem Dkument flgende Knventinen verwendet: Befehle, die aussschließlich im Administratrmdus ausgeführt werden können, werden in rter Farbe hervrgehben. Beispiel: Befehl Parameter, die vm Benutzer festgelegt werden sllen, werden in Pfeilklammern eingeschlssen angezeigt. Beispiel: Befehl <Parameter> Optinale Parameter werden durch eckige Klammern begrenzt angezeigt. Beispiel: Befehl <bligatrischer Parameter> [ptinaler Parameter] Wenn bei der Befehlseingabe ein Parameter aus mehreren möglichen Parameterptinen ausgewählt werden sll, werden die Parameterptinen in geschwungenen Klammern durch Strich getrennt angezeigt. Beispiel: Befehl {Optin-1 Optin-2} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 7

8 Kntakt FAQ und andere Hilfsinfrmatin Infrmatinen über ViPNet-Prdukte und Lösungen, gängige Fragen und andere nützliche Hinweise sind auf der Webseite vn InfTeCS zusammengefasst. Unter den aufgeführten Links können Sie zahlreiche Antwrten auf mögliche während des Prduktbetriebs auftretenden Fragen finden. Allgemeine Geschäftsbedingungen ViPNet-Lösungen im Überblick Frequently Asked Questins ViPNet-Wissensdatenbank Kntakt Bei Fragen zur Nutzung vn ViPNet-Sftware swie möglichen Wünschen und Anregungen nehmen Sie Kntakt mit den Mitarbeitern der Firma InfTeCS GmbH auf. Für die Lösung aufgetretener Prblemfälle wenden Sie sich an den technischen Supprt. Anfrage an den technischen Supprt via Internetseite Supprt Htline +49 (0) (Tel.); +49 (0) (Fax). ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 8

9 1 Grundparameter für ViPNet Crdinatr HW/VA einstellen Knfiguratin der Systemparameter 10 ViPNet Crdinatr HW/VA zum Netzwerk verbinden 13 Systeminfrmatinen anzeigen 18 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 9

10 Knfiguratin der Systemparameter Datum und Uhrzeit einstellen Damit ViPNet Crdinatr HW/VA-Appliance rdnungsgemäß mit anderen Anwendungen und geschützten ViPNet Knten kmmunizieren kann, sllten Systemdatum und -uhrzeit richtig knfiguriert werden. Achtung! Wenn das Systemdatum und die Systemuhrzeit nicht richtig eingestellt sind, können abgesicherte Verbindungen zu anderen ViPNet Knten blckiert werden. Führen Sie die flgenden Befehle aus, um Systemdatum und uhrzeit einzustellen: 1 Zum Anzeigen der aktuellen Systemzeit führen Sie den flgenden Befehl aus: machine shw date 2 Wenn die Zeitzne geändert werden sll, führen Sie die flgenden Schritte aus: Führen Sie den Befehl machine set timezne aus. Sbald Ihnen die Kntinente zur Auswahl stehen ( Please select а cntinent r cean ), geben Sie die Ihrem Kntinent entsprechende Nummer ein und drücken Eingabe. Sbald Ihnen die Länder zur Auswahl stehen ( Please select a cuntry ), geben Sie die Ihrem Land entsprechende Nummer ein und drücken Eingabe. Sbald Ihnen die Zeitznen zur Auswahl stehen ( Please select ne f the fllwing time zne regins ), geben Sie die richtige Nummer ein und drücken Eingabe. Die dem angegebenen Standrt entsprechende Zeitzne wird auf dem Bildschirm angezeigt. Um diese Zeitzne zu übernehmen, geben Sie 1 ( Yes ) ein. Um den Standrt neu zu definieren, geben Sie 2 ( N ) ein. Drücken Sie Eingabe. Nachdem die Zeitzne angenmmen wurde, wird die Systemzeit angezeigt. Um die Systemzeit zu übernehmen, drücken Sie Eingabe. Um die Zeit zu ändern, geben Sie Datum und Zeit an und drücken Eingabe. Bitte halten Sie sich an dieses Frmat: JJJJ-MM-TT hh:mm:ss. 3 Falls erfrderlich, ändern Sie die Systemzeit mit Hilfe des flgenden Befehls: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 10

11 machine set date <Datum> Datum und Uhrzeit werden im Frmat MMTThhmm[JJJJ] eingegeben. Knfiguratin der Auslagerungsdatei Hinweis. Das Vergrößern des virtuellen Speichers durch Auslagerung wird vn ViPNet Crdinatr HW der Mdifikatinen HW 100 X1/X4/X5/X6 nicht unterstützt. Führen Sie die flgenden Schritte aus, um die Parameter der Auslagerungsdatei zu knfigurieren: Benutzen Sie den flgenden Befehl, um die maximale Größe der Auslagerungsdatei festzulegen: machine swap set <Größe in MB> Wenn die festgelegte Größe der Auslagerungsdatei den zur Verfügung stehenden freien Speicherplatz auf dem Laufwerk übersteigt, wird eine entsprechende Meldung angezeigt. Achtung! Nachdem die Größe der Auslagerungsdatei festgelegt wurde, sllten auf dem Laufwerk nch mindestens 256 MB freier Speicherplatz verbleiben. Benutzen Sie den flgenden Befehl, um die Verwendung der Auslagerungsdatei zu aktivieren: machine swap mde n Führen Sie den flgenden Befehl aus, um Infrmatinen über die Speicherverwendung und die Auslagerungsdatei anzuzeigen: machine shw memry Benutzen Sie den flgenden Befehl, um die Verwendung der Auslagerungsdatei zu deaktivieren: machine swap mde ff Nach Ausführung dieses Befehls wird die Auslagerungsdatei gelöscht. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 11

12 Parameter für Systemprtkll einstellen Benutzen Sie die flgenden Befehle, um mit dem Ereignisprtkll zu arbeiten: Führen Sie den flgenden Befehl aus, um den Knten anzugeben, auf dem das Ereignisprtkll gespeichert werden sll, der um das Ereignisprtkll zu deaktivieren: machine set lghst {lcal <IP-Adresse> null} Geben Sie einen der flgenden Werte an, um den Knten zu definieren: lcal lkales Laufwerk vn ViPNet Crdinatr HW/VA, IP-Adresse IP-Adresse des Kntens, an welchen Daten über Systemereignisse gesendet werden sllen, Hinweis. Wenn es sich nicht um einen geschützten Knten handelt, dann knfigurieren Sie eine Firewall-Regel (s. Knfiguratin der Filterregeln für ffene IP-Pakete auf S. 60), die den an diesen Knten adressierten Traffic über UDP und Prt 514 zulässt. null Ereignisprtkll nicht speichern. Wenn das Ereignisprtkll auf dem lkalen Laufwerk gespeichert wird, dann führen Sie den flgenden Befehl aus, um das Lg anzuzeigen: machine shw lgs Ereignisprtklle, die auf dem lkalen Laufwerk gespeichert werden, können auf einen USB-Wechseldatenträger mit Dateisystem FAT32 der ext2 exprtiert werden. Schließen Sie dazu den USB-Datenträger an ViPNet Crdinatr HW/VA an und führen Sie den flgenden Befehl aus: admin exprt lgs usb Führen Sie den flgenden Befehl aus, um das Ereignisprtkll auf dem lkalen Laufwerk zu löschen: admin remve lgs ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 12

13 ViPNet Crdinatr HW/VA zum Netzwerk verbinden Verbindung zum Ethernet-Netzwerk herstellen Den im System installierten Ethernet-Netzwerkadaptern werden die Bezeichnungen eth0, eth1 usw. zugerdnet (je nach Anzahl der Adapter im System). Damit Verbindungen zum Ethernet- Netzwerk hergestellt werden können, sllten Sie die Parameter der Netzwerkadapter einstellen. Wechseln Sie dazu in den Administratrmdus mit Hilfe des Befehls enable und dann führen Sie die flgenden Schritte aus: Führen Sie den flgenden Befehl aus, um einen Netzwerkadapter ein- der auszuschalten: inet ifcnfig eth0 {up dwn} Hinweis. Hier und im Flgenden sllte statt eth0 der Name des benötigten Netzwerkadapters angegeben werden. Führen Sie den flgenden Befehl aus, um auf dem Netzwerkadapter den autmatischen Bezug vn Parametern vm DHCP-Server zu aktivieren: inet ifcnfig eth0 dhcp Führen Sie den flgenden Befehl aus, um dem Netzwerkadapter eine statische IP-Adresse zuzurdnen: inet ifcnfig eth0 address <IP-Adresse> netmask <Netzmaske> Wenn der Adapter über eine dynamische IP-Adresse verfügte, dann gehen die Daten auf dem DNS- und NTP-Server, die über das DHCP-Prtkll bezgen wurden, nach dem Setzen einer statischen IP-Adresse verlren. Wenn Sie den Alias für einen Netzwerkadapter mit einer statischen Adresse festlegen möchten, dann führen Sie den flgenden Befehl aus: inet ifcnfig eth0 address add <IP-Adresse> netmask <Netzmaske> Für die zusätzliche statische IP-Adresse, spielt es keine Rlle, b die erste IP-Adresse statisch der dynamisch ist. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 13

14 Wenn Sie alle Einstellungen auf einem Adapter zurücksetzen möchten, dann führen Sie den flgenden Befehl aus: inet ifcnfig eth0 reset Beim Ausführen dieses Befehls werden alle Einstellungen des Adapters zurückgesetzt und der Adapter selbst wird deaktiviert (sein Status wird auf dwn gesetzt). Wenn Sie die Einstellungen für alle Adapter vn ViPNet Crdinatr HW/VA zurücksetzen möchten, dann führen Sie den flgenden Befehl aus: inet ifcnfig all reset Achtung! Wenn Sie den Crdinatr im Rahmen einer SSH-Sitzung remte knfigurieren, dann verwenden Sie diese Befehle mit Vrsicht. Wenn die Einstellungen des Netzwerkadapters, über welchen Sie auf den Crdinatr zugreifen, zurückgesetzt werden, dann wird die Verbindung zum Crdinatr getrennt. Führen Sie den flgenden Befehl aus, um die Standardrute zu definieren: inet rute add default gw <Gateway-IP-Adresse> Führen Sie den flgenden Befehl aus, um eine statische Rute zu definieren: inet rute add <Ziel-IP-Adresse> gw <Gateway-IP-Adresse> [netmask <Netzwerkmaske>] Führen Sie den flgenden Befehl aus, um eine statische Rute zu löschen: inet rute delete <Ziel-IP-Adresse> [netmask <Netzwerkmaske>] Führen Sie den flgenden Befehl aus, um eine Adresse des DNS-Servers hinzuzufügen der zu löschen: inet dns {add delete} <IP-Adresse> Wenn die Adressen der DNS-Server vm DHCP-Server bezgen wurden, ist das manuelle Hinzufügen der Löschen der DNS-Server nicht möglich. Führen Sie den flgenden Befehl aus, um eine Adresse des NTP-Servers hinzuzufügen der zu löschen: inet ntp {add delete} <IP-Adresse DNS-Name> Wenn die Adressen der NTP-Server vm DHCP-Server bezgen wurden, ist das manuelle Hinzufügen der Löschen der NTP-Server nicht möglich. Beispiele für Befehle: inet ifcnfig eth0 address netmask ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 14

15 inet rute add default gw inet dns add Verbindung zum Wi-Fi-Netzwerk herstellen Wenn ViPNet Crdinatr HW/VA über einen Wi-Fi-Adapter verfügt (wird als Adapter mit dem Namen wlan0 aufgeführt), dann können Sie Verbindungen zum Wi-Fi-Netzwerk knfigurieren. Hinweis. Ein ViPNet Crdinatr HW/VA-Knten kann auch als ein Access Pint (s. Parameter des Wi-Fi-Acces Pints einstellen auf S. 26) verwendet werden. Der gleichzeitige Einsatz als Client und als Access Pint wird vn ViPNet Crdinatr HW/VA nicht unterstützt. Die Funktin des Clients und die Funktin des Zugriffspunkts können dabei nicht gleichzeitig ausgeübt werden. Führen Sie die flgenden Befehle aus, um die Verbindung vn ViPNet Crdinatr HW/VA zum Wi-Fi-Netzwerk als Client einzurichten: 1 Schalten Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls in den Client- Mdus um: inet wifi rle client 2 Führen Sie den flgenden Befehl aus, um eine Liste verfügbarer Wi-Fi-Netzwerke anzuzeigen: inet wifi scan 3 Geben Sie den Namen des Wi-Fi-Netzwerks, zu dem Sie sich verbinden wllen, swie den Authentisierungsmdus an. Benutzen Sie dazu einen der flgenden Befehle: Wenn keine Authentifizierung im Netzwerk erfrderlich ist, führen Sie den flgenden Befehl aus: inet wifi client ssid <Netzwerkname> authenticatin pen Wenn für die Authentifizierung der Mdus WPA-PSK der WPA2-PSK verwendet wird, dann muss ein Passwrt eingegeben werden. Führen Sie dazu den flgenden Befehl aus: inet wifi client ssid <Netzwerkname> authenticatin {wpa-psk wpa2- psk} passphrase <Passwrt> Das Passwrt können Sie beim Administratr des Wi-Fi-Netzwerks, zu dem Sie sich verbinden, anfrdern. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 15

16 4 Aktivieren Sie den Netzwerkadapter wlan0 mit Hilfe des Befehls: inet wifi mde n 5 Führen Sie den flgenden Befehl aus, um die Verbindungsparameter für das Wi-Fi- Netzwerk zu überprüfen: inet shw wifi Beispiele für Befehle: inet wifi ssid mynetwrk authenticatin wpa-psk passphrase qwerty inet wifi mde n Verbindung zum 3G-Mbilfunknetz herstellen ViPNet Crdinatr HW/VA kann sich über 3G- bzw. LTE-Mbilfunknetze mit Hilfe eines USB-Mdems zum Internet verbinden. Im System wird ein 3G- bzw. LTE-Mdem als Netzwerkadapter mit dem Namen pppx abgebildet. Für Verbindungen zum Internet können die Dienste eines beliebigen Mbilfunkanbieters genutzt werden. Dazu sind die Anschaffung einer SIM-Karte und die Aktivierung entsprechender Dienste (falls nötig) erfrderlich. Ausführliche Infrmatinen über die Bedingungen eines Internet-Anschlusses können Sie bei Ihrem Mbilfunkanbieter anfrdern. Achtung! Eine Appliance, für die der Internetzugang über ein 3G/LTE-Mdem knfiguriert wurde, kann nicht gleichzeitig über einen anderen Adapter (Ethernet der Wi-Fi) auf das Internet zugreifen. Wenn Sie Verizn der Vdafne als Mbilfunkanbieter verwenden möchten, dann schließen Sie das 3G/LTE-Mdem an einen USB-Prt der Appliance an und legen Sie den Mbilfunkanbieter mit Hilfe des Befehls inet usb-mdem set prvider {verizn vdafne} fest. Führen Sie die flgenden Schritte aus, um die Verbindung zum Internet über ein 3G- bzw. LTE- Mbilfunknetz einzurichten: 1 Setzen Sie sich mit Ihrem Mbilfunkanbieter in Verbindung und frdern Sie die Telefnnummer des Access Pint, Ihren Benutzernamen und das Passwrt an. 2 Schließen Sie das 3G/LTE-Mdem an einen USB-Prt der Appliance an. 3 Geben Sie den Namen des Anbieters mit Hilfe des flgenden Befehls an: inet usb-mdem add prvider <Anbietername> ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 16

17 Hinweis. Wenn Sie einen neuen Prvider hinzufügen, wird dieser autmatisch als der Standard-Prvider festgelegt. 4 Geben Sie die IP-Adresse der den DNS-Namen des Zugriffspunkts mit Hilfe des flgenden Befehls an: inet usb-mdem set cnnectin address <IP-Adresse DNS-Name> 5 Legen Sie die Telefnnummer (im USSD-Befehlsfrmat) des Internet Access Pint mit Hilfe des flgenden Befehls fest: inet usb-mdem set phne *99***1# 6 Wenn nötig, geben Sie den Namen des Benutzers mit Hilfe des flgenden Befehls an: inet usb-mdem set user <Benutzername> 7 Wenn nötig, geben Sie das Passwrt für den Anschluss mit Hilfe des flgenden Befehls an: inet usb-mdem set passwrd <Passwrt> Nachdem Sie den Mbilfunkanbieter ausgewählt haben, gehen Sie wie flgt vr: 1 Wenn die SIM-Karte durch eine PIN geschützt ist, geben Sie die PIN mit Hilfe des flgenden Befehls an: inet usb-mdem set pin <PIN> Um Verwenden der PIN abzubrechen, benutzen Sie den Befehl: inet usb-mdem reset pin 2 Führen Sie den flgenden Befehl aus, um die Verwendung vn USB-Mdems zu aktivieren: inet usb-mdem mde n Hinweis. Bei Verwendung einiger Mdelle vn 3G- bzw. LTE-Mdems können ab dem Zeitpunkt des Mdem-Anschlusses bis zum Aufbau einer aktiven Verbindung einige Minuten vergehen. Beispiele für Befehle: inet usb-mdem add prvider xtelecm inet usb-mdem set cnnectin address internet.xtelecm.it inet usb-mdem set phne *99***1# inet usb-mdem set user xtelecm inet usb-mdem set passwrd xtelecm inet usb-mdem set pin 1234 inet usb-mdem mde n ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 17

18 Systeminfrmatinen anzeigen Benutzen Sie die flgenden Befehle, um den Status und die unterschiedlichen Kmpnenten vn ViPNet Crdinatr HW/VA zu überprüfen und die Lgdateien anzuzeigen: Verwenden Sie zum Anzeigen vn Infrmatinen über die Nutzung des Arbeitsspeichers den Befehl: machine shw memry Zum Anzeigen der Parameter der Netzwerkadapter führen Sie den flgenden Befehl aus: inet shw interface Die Adapter sind flgendermaßen zugeteilt (wbei N eine Nummer repräsentiert): l ein Lpback-Adapter; ethn ein Ethernet-Adapter; wlann ein Wi-Fi-Adapter. Führen Sie zum Anzeigen der Detailparameter der Wi-Fi-Adapter den flgenden Befehl aus: inet shw wifi pppn eines der flgenden Objekte: ein 3G/LTE USB-Mdem, eine L2TP Client-t-Site Ipsec-Verbindung. Führen Sie zum Anzeigen der Detailparameter der 3G/LTE Adapter den flgenden Befehl aus: inet shw usb-mdem Zum Anzeigen der Knfiguratinsdatei des Netzwerkadapters führen Sie den flgenden Befehl aus: iplir shw cnfig <Name des Netzwerkadapters> Zum Überprüfen der Verbindung zu einem ffenen Knten führen Sie den flgenden Befehl aus: inet ping <IP-Adresse> Zum Überprüfen der Verbindung zu einem geschützten ViPNet Knten führen Sie den flgenden Befehl aus: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 18

19 iplir ping <ViPNet Netzwerkknten-ID> Bei der Eingabe der ID stehen dem Benutzer die Features Autvervllständigung und Tipps zur Seite. Tipp-Daten werden aus der Verbindungsliste des ViPNet Crdinatr HW/VA-Kntens bezgen. Zum Anzeigen der Knfiguratinsdatei der Firewall führen Sie den flgenden Befehl aus: iplir shw cnfig firewall Führen Sie zum Anzeigen der Lgdatei registrierter IP-Pakete den flgenden Befehl aus: iplir view Verwenden Sie zum Anzeigen des Systemprtklls (s. Parameter für Systemprtkll einstellen auf S. 12), der sich auf dem lkalen Laufwerk befindet, den Befehl: machine shw lgs ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 19

20 2 Zuverlässiger Zugang zu Netzwerkressurcen durch Verwendung alternativer Traffic-Kanäle Über Verwendung alternativer Datenübertragungskanäle 21 Befehle zum Steuern des Dienstes ladbalancer 23 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 20

21 Über Verwendung alternativer Datenübertragungskanäle Wenn Sie den Zugang zu einem Netzwerk der zu einer Webressurce verbessern möchten, können Sie zwei unabhängige Kanäle einrichten, die sich im Fall vn Störungen gegenseitig dublieren der einen Lastenausgleich des Traffics durchführen können. Sie können z. B. zwei Anbieter für den Internetzugang verwenden, um mögliche Verbindungsstaus und Ausfälle zu reduzieren. Dieser Ansatz ermöglicht es, eine gleichmäßige Verteilung des Traffics durchzuführen und einen zusätzlichen Reservekanal für Internetverbindungen zu verwenden. Die Verwendung alternativer Kanäle wird vm ladbalancer gesteuert. Hinweis. Alternative Kanäle können ausschließlich für nicht verschlüsselte (nicht- VPN) Verbindungen verwendet werden. Gegenwärtig unterstützt der Dienst zwei alternative Kanäle vm Typ Ethernet. Die Verwendung alternativer Kanäle kann in den flgenden Mdi aktiviert werden: Redundanzmdus: in diesem Fall wird einer der zwei Kanäle als Primärkanal festgelegt. Wenn dieser Kanal ausfällt, dann wird der Traffic über den alternativen Kanal weitergeleitet. In diesem Fall wird die Verbindung über den Primärkanal regelmäßig überprüft. Sbald der Primärkanal betriebsbereit ist, wird der Traffic wieder über den Primärkanal geleitet. Traffic-Lastenausgleichsmdus. In diesem Fall wird der Traffic gemäß den vn Ihnen festgelegten Priritäten auf die zwei Kanäle aufgeteilt. Sie können z. B. für einen der Kanäle eine Traffic-Rate vn 80 % definieren. Der Rest des Traffics wird über den anderen Kanal weitergeleitet. Wenn einer der Kanäle ausfällt, wird der Traffic zu 100 % über den störungsfreien Kanal slange weitergeleitet, bis der gestörte Kanal wieder betriebsbereit ist. Wenn die Verwendung alternativer Kanäle aktiviert ist, überprüft der Dienst ladbalancer regelmäßig die Verfügbarkeit der beiden Kanäle, indem er versucht, auf die Test-IP-Adresse zuzugreifen. Der Dienst versucht dabei, mit Hilfe einer ICMP-Anfrage auf die Testadresse eines der beiden Kanäle abwechselnd zuzugreifen. Wenn der Zugriff auf die Testadresse über einen bestimmten Kanal erflgreich verläuft, dann bedeutet das, dass der entsprechende Kanal aktiv ist. Wenn der Zugriff fehlschlägt, dann wird der entsprechende Kanal als fehlerhaft eingestuft. Wenn beide Kanäle ausfallen, dann setzt der Dienst seine regelmäßigen Überprüfungen ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 21

22 trtzdem frt. Sbald einer der Kanäle wieder betriebsbereit ist, wird der Traffic autmatisch über diesen Kanal weitergeleitet. Beim Knfigurieren des Dienstes ladbalancer müssen Sie eine Test-IP-Adresse festlegen, die über beide Kanäle erreichbar sein sllte, sbald diese Kanäle verfügbar sind. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 22

23 Befehle zum Steuern des Dienstes ladbalancer Alle Befehle, die zum Steuern des Dienstes ladbalancer zur Verfügung stehen, sind nachflgend aufgeführt: service ladbalancer start startet den Dienst ladbalancer. stp stppt den Dienst ladbalancer. mde [n ff] aktiviert der deaktiviert den autmatischen Start des Dienstes während des Betriebssystemstarts. add prvider <Kanalname> fügt einen neuen Kanal (Prvider) mit dem angegebenen Namen hinzu. delete prvider <Kanalname> entfernt den angegebenen Kanal (Prvider). set mde [failver balancing] legt fest, b der Dienst ladbalancer im Redundanzmdus der im Traffic-Lastenausgleichsmdus arbeitet (s. Über Verwendung alternativer Datenübertragungskanäle auf S. 21). prvider <Kanalname> gateway <IP-Adresse> legt die IP-Adresse des Standardgateways beim Verwenden des angegebenen Kanals fest. prvider <Kanalname> interface <Netzwerkadapter> legt den Netzwerkadapter des Kntens ViPNet Crdinatr HW/VA beim Verwenden des angegebenen Kanals fest. prvider <Kanalname> weight <Lastgewicht> legt das Lastgewicht des entsprechenden Kanals fest. Dieses Lastgewicht (ganzzahliger Wert zwischen 1 und 10) wird im Traffic-Lastenausgleichsmdus verwendet und bestimmt den jeweiligen Anteil jedes Kanals am gesamten weitergeleiteten Traffic. Das Verhältnis der Lastgewichte der beiden Kanäle bestimmt ihren jeweiligen Anteil am übermittelten Traffic. Wenn Sie den beiden Kanälen z. B. die Gewichte 2 und 4 zuweisen, dann wird ein Drittel des Traffics über den ersten Kanal und der Rest über den zweiten Kanal geleitet. Wenn Sie die Gewichte 3 und 6 zuweisen, bleibt das Verhältnis der Lastenverteilung gleich, d. h. ein Drittel zu zwei Drittel. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 23

24 testip <IP-Adresse> legt die Test-IP-Adresse (s. Über Verwendung alternativer Datenübertragungskanäle auf S. 21) fest. plltime <Zeit> legt das Abrufintervall (zwischen 10 und 600 Sekunden) für die Testadresse fest. Das Standardintervall beträgt 10 Sekunden. prvider <Kanalname> default legt den Standardkanal fest. Dieser Befehl wird im Redundanzmdus verwendet. Wenn der Standardkanal verfügbar ist, wird der gesamte Traffic über diesen Kanal geleitet. shw zeigt den Status, den Mdus, die Kanaleigenschaften und andere Einstellungen des Lastenausgleichsdienstes an. nat add lcalnet <Netzwerk_1,Netzwerk_2,...> legt die Liste der internen Netzwerke fest, für welche der Knten ViPNet Crdinatr HW/VA Adressenübersetzung (NAT) durchführen wird. Die Netzwerke werden durch das Angeben ihrer IP-Adressen im CIDR-Frmat hinzugefügt (z. B /24). delete lcalnet <Netzwerk_1,Netzwerk_2,...> deaktiviert NAT für die angegebenen internen Netzwerke. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 24

25 3 Knfiguratin der integrierten Dienste Parameter für Netzwerkdienste einstellen 26 Prxyserver-Parameter einstellen 31 Knfiguratin des VIP-Servers 38 Knfiguratin des IPsec-Gateways 42 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 25

26 Parameter für Netzwerkdienste einstellen Auf ViPNet Crdinatr HW/VA-Appliance können mehrere Netzwerkdienste ausgeführt werden, die in einem lkalen Netzwerk vn Nutzen sind und den Betrieb eines kleinen Firmennetzwerks erleichtern. Parameter des Wi-Fi-Acces Pints einstellen Wenn ViPNet Crdinatr HW/VA über einen Wi-Fi-Adapter verfügt (wird als Netzwerkadapter mit dem Namen wlan0 aufgelistet), kann ViPNet Crdinatr HW/VA als Wi- Fi-Access Pint verwendet werden. Hinweis. Ein ViPNet Crdinatr HW/VA-Knten kann auch als ein Wi-Fi Client (s. Verbindung zum Wi-Fi-Netzwerk herstellen auf S. 15) verwendet werden. Der gleichzeitige Einsatz als Client und als Access Pint wird vn ViPNet Crdinatr HW/VA nicht unterstützt. Wenn der Wi-Fi-Access Pint aktiviert ist, wird dem Netzwerkadapter wlan0 autmatisch die IP-Adresse zugewiesen. Auf diesem Adapter wird ein DHCP-Server gestartet. Der DHCP-Server verfügt über fixe Parameter, die nicht vm Benutzer geändert werden können: Bereich der zu verteilenden IP-Adressen: Adresse des DNS- und NTP-Servers: (Adresse des Netzwerkadapters wlan0). Hinweis. Wenn die Möglichkeit vn Verbindungen zwischen Geräten, die mit dem Wi- Fi-Netzwerk verbunden sind, und Cmputern, die an das Ethernet-Netzwerk angeschlssen sind, sichergestellt werden sll, dann sllten in der Knfiguratinsdatei der ViPNet Crdinatr HW/VA-Firewall Transitregeln definiert werden, die den Durchlass vn IP-Paketen zwischen diesen beiden Netzwerken erlauben. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 26

27 Führen Sie die flgenden Schritte aus, um ViPNet Crdinatr HW/VA als Wi-Fi-Access Pint einzustellen: 1 Schalten Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls in den Access Pint-Mdus um (ist standardmäßig eingestellt): inet wifi rle access-pint 2 Geben Sie den Namen Ihres Wi-Fi-Netzwerks und den Authentisierungsmdus für die Netzwerkbenutzer an. Benutzen Sie dazu einen der flgenden Befehle: Wenn keine Authentifizierung im Netzwerk erfrderlich ist, führen Sie den flgenden Befehl aus: inet wifi access-pint ssid <Netzwerkname> authenticatin pen Wenn für die Authentifizierung ein Passwrt verwendet werden sll, dann wählen Sie den Authentifizierungsmdus WPA-PSK der WPA2-PSK und definieren Sie ein Passwrt. Führen Sie dazu den flgenden Befehl aus: inet wifi access-pint ssid <Netzwerkname> authenticatin {wpa-psk wpa2-psk} passphrase <Passwrt> Das angegebene Passwrt sllte allen Benutzern, die sich zu Ihrem Wi-Fi-Netzwerk verbinden, mitgeteilt werden. 3 Wenn für Ihr Wi-Fi-Netzwerk ein Funknetzwerk-Standard festgelegt werden sll, führen Sie den flgenden Befehl aus: net wifi server hwmde {a b g} Es werden flgende Standards unterstützt: a IEEE a 5 GHz, Verbindungsgeschwindigkeit bis 4 МBit/s. b IEEE b 2,4 GHz, Verbindungsgeschwindigkeit bis 11 МBit/s. g IEEE g 2,4 GHz, Verbindungsgeschwindigkeit bis 54 МBit/s (standardmäßig eingestellt). 4 Wenn die Nummer des verwendeten Wi-Fi-Kanals angegeben werden sll, führen Sie den flgenden Befehl aus: inet wifi server channel <Kanalnummer> Standardmäßig wird Kanal Nummer 1 verwendet, zulässig sind Nummern vn 1 bis Aktivieren der deaktivieren Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls: inet wifi mde {n ff} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 27

28 Parameter des DHCP-Servers einstellen ViPNet Crdinatr HW/VA kann im lkalen Netzwerk als DHCP-Server auftreten (s. DHCP- Server auf S. 82). Wenn der Netzwerkknten mit installiertem ViPNet Crdinatr HW/VA als Wi-Fi-Access Pint eingesetzt wird (s. Parameter des Wi-Fi-Acces Pints einstellen auf S. 26), dann wird auf dem entsprechenden Netzwerkadapter autmatisch ein DHCP-Server gestartet, dessen Parameter nicht vm Benutzer geändert werden können. Hinweis. Wenn Sie den integrierten DHCP-Relay in ViPNet Crdinatr HW/VA aktivieren möchten, wenden Sie sich an den Abschnitt Parameter des DHCP Relay einstellen. Wenn der DHCP-Server auf einem der Ethernet-Netzwerkadapter gestartet werden sll, müssen die Parameter dieses Servers manuell knfiguriert werden. Führen Sie dazu die flgenden Schritte aus: 1 Geben Sie den Ethernet-Netzwerkadapter, auf welchem der DHCP-Server laufen sll, mit Hilfe des flgenden Befehls an: inet dhcp interface <Netzwerkadaptername> 2 Geben Sie den IP-Adressbereich für die Verteilung durch den Server mit Hilfe des flgenden Befehls an: inet dhcp range <Start-IP-Adresse> <End-IP-Adresse> 3 Führen Sie den flgenden Befehl aus, um die IP-Adresse des Standardgateways anzugeben: inet dhcp ruter <IP-Adresse> 4 Führen Sie den flgenden Befehl aus, um den autmatischen Start des DHCP-Servers beim Laden vn ViPNet Crdinatr HW/VA zu (de-) aktivieren: inet dhcp mde {n ff} Standardmäßig ist der autmatische Start des DHCP-Servers deaktiviert. Hinweis. Bevr Sie den DHCP-Server aktivieren der starten, stellen Sie sicher, dass der DHCP-Relaydienst deaktiviert und gestppt ist. 5 Führen Sie den flgenden Befehl aus, um den DHCP-Server zu starten bzw. zu stppen: inet dhcp {start stp} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 28

29 6 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des DHCP-Servers anzuzeigen: inet shw dhcp Parameter des DNS-Servers einstellen ViPNet Crdinatr HW/VA kann im lkalen Netzwerk als DNS-Server auftreten (s. DNS- Server auf S. 82). Der eingebaute DNS-Server vn ViPNet Crdinatr HW/VA leitet die eingehenden DNS-Anfragen an den übergerdneten DNS-Server um und übermittelt die erhaltenen Antwrten an die Clients. Führen Sie die flgenden Schritte aus, um die Parameter des DNS-Servers einzustellen: 1 Führen Sie den flgenden Befehl aus, um die IP-Adresse des DNS-Servers hinzuzufügen, an welchen ViPNet Crdinatr HW/VA die DNS-Anfragen weiterleiten sll: inet dns add <IP-Adresse> Standardmäßig werden die Clientanfragen an die Stamm-DNS-Server umgeleitet. 2 Führen Sie den flgenden Befehl aus, um die Adresse des DNS-Servers aus der Liste zu löschen: inet dns delete <IP-Adresse> 3 Führen Sie den flgenden Befehl aus, um den autmatischen Start des DNS-Servers beim Laden vn ViPNet Crdinatr HW/VA zu (de-) aktivieren: inet dns mde {n ff} Standardmäßig ist der autmatische Start des DNS-Servers aktiviert. 4 Führen Sie den flgenden Befehl aus, um der DNS-Server zu starten der zu stppen: inet dns {start stp} 5 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des DNS-Servers anzuzeigen: inet shw dns Parameter des NTP-Servers einstellen ViPNet Crdinatr HW/VA kann im lkalen Netzwerk als NTP-Server auftreten (s. NTP- Server auf S. 84). Der eingebaute NTP-Server synchrnisiert autmatisch die Systemzeit mit der Weltzeit, um Clients mit krrekten Zeitwerten versrgen zu können. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 29

30 Führen Sie die flgenden Schritte aus, um die Parameter des NTP-Servers einzustellen: 1 Führen Sie den flgenden Befehl aus, um die IP-Adresse des NTP-Servers für die Synchrnisatin der Systemzeit vn ViPNet Crdinatr HW/VA hinzuzufügen: inet ntp add {IP-Adresse DNS-Name} Standardmäßig wird für die Synchrnisatin der Server pl.ntp.rg verwendet. 2 Führen Sie den flgenden Befehl aus, um die Adresse des NTP-Servers aus der Liste zu löschen: inet ntp delete {IP-Adresse DNS-Name} 3 Führen Sie den flgenden Befehl aus, um den autmatischen Start des NTP-Servers beim Laden vn ViPNet Crdinatr HW/VA zu (de-) aktivieren: inet ntp mde {n ff} Standardmäßig ist der autmatische Start des NTP-Servers aktiviert. 4 Führen Sie den flgenden Befehl aus, um der NTP-Server zu starten der zu stppen: inet ntp {start stp} 5 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des NTP-Servers anzuzeigen: inet shw ntp ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 30

31 Prxyserver-Parameter einstellen Wenn Sie den Internetzugang für Ihre lkalen Benutzer absichern möchten, indem Sie den integrierten Prxyserver aktivieren, dann sllten Sie zunächst die allgemeinen Parameter des Prxyservers knfigurieren. Optinal können Sie Inhaltsfilter einstellen und den Antivirusschutz aktivieren. Weitere Infrmatinen dazu s. Inhaltskntrlle knfigurieren (auf S. 33) und Antivirus knfigurieren (auf S. 36). Die Knfiguratin der Basisparameter besteht darin, den externen Netzwerkadapter des Servers, die abzuhörende IP-Adresse und die IP-Adressen der lkalen Netzwerke, die den Prxyserver verwenden sllen, zu definieren. Zusätzlich können Sie den transparenten Mdus auf dem Prxyserver aktivieren. Wenn der Prxyserver als nicht transparenter Prxy auftritt (d. h. der transparente Mdus ist deaktiviert), sllten Sie die IP-Adresse und den Prt des Prxyservers in Benutzerprgrammen (Webbrwser) aktivieren. Wenn der Prxyserver im transparenten Mdus funktiniert, sind erweiterte Knfiguratinen in den Benutzerprgrammen nicht erfrderlich. Die Benutzer werden in diesem Fall gezwungen, den Prxyserver zu verwenden. Legen Sie auf Benutzercmputern die IP-Adresse des Prxyservers (ViPNet Crdinatr HW/VA-Knten) als das Standardgateway fest. Knfiguratin der allgemeinen Einstellungen Führen Sie die flgenden Schritte aus, um die grundlegenden Parameter des Prxyserver einzustellen: 1 Geben Sie die IP-Adressen und Prts an, die vm Prxyserver für den Empfang vn Benutzeranfragen verwendet werden: Führen Sie den flgenden Befehl aus, um eine IP-Adresse und einen Prt hinzuzufügen: service http-prxy listen-address add <address> <prt> Führen Sie den flgenden Befehl aus, um die Liste der festgelegten IP-Adressen und Prts anzuzeigen: service http-prxy listen-address list Führen Sie den flgenden Befehl aus, um eine IP-Adresse mitsamt Prt wieder zu entfernen: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 31

32 service http-prxy listen-address delete <address> <prt> Achtung! Für den Empfang vn Anfragen sllten Netzwerkadapter mit statischen IP- Adressen verwendet werden. Bei Änderungen vn IP-Adressen der Netzwerkadapter sllte der Prxyserverdienst gestppt, die aktuellen IP-Adressen als Adressen für Verbindungen festgelegt und der Prxyserver erneut gestartet werden. 2 Geben Sie die externe IP-Adresse vn ViPNet Crdinatr HW/VA an, die für den Zugang zum Internet verwendet wird. Führen Sie dazu den flgenden Befehl aus: service http-prxy external-address set <IP-адрес> Führen Sie den flgenden Befehl aus, um die festgelegte externe IP-Adresse anzuzeigen: service http-prxy external-address shw 3 Definieren Sie die Liste der Netzwerke, für welche die Benutzung des Prxyservers erlaubt werden sll. Standardmäßig wird die Verwendung des Prxyservers für alle privaten Netzwerke ( /8, /12, /16) erlaubt. Führen Sie den flgenden Befehl aus, um die IP-Adresse eines Netzwerks hinzuzufügen: service http-prxy allw netwrk add <Netzwerkadresse>/<Subnetz- Präfixlänge > Beispiel: service http-prxy allw netwrk add /24 Führen Sie den flgenden Befehl aus, um die Liste der festgelegten Netzwerke anzuzeigen: service http-prxy allw netwrk list Führen Sie den flgenden Befehl aus, um die IP-Adresse eines Netzwerks wieder aus der Liste zu löschen: service http-prxy allw netwrk delete <Netzwerkadresse> 4 Falls erfrderlich, legen Sie die Cache-Größe des Prxyservers mit Hilfe des flgenden Befehls fest: service http-prxy cache <Größe> Die Cache-Größe wird in Megabytes angegeben, der Standardwert beträgt 256 MB. Der Cache wird für die Speicherung vn Daten verwendet, die vn den Benutzern häufig angefragt werden. 5 Führen Sie den flgenden Befehl aus, um den Betrieb des Prxyservers im transparenten Mdus zu (de-)aktivieren: service http-prxy transparent mde {n ff} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 32

33 Achtung! Beim Aktivieren des transparenten Mdus werden in der Knfiguratinsdatei der Firewall autmatisch Regeln der statischen Adressenübersetzung erstellt. Beim Deaktivieren des transparenten Mdus werden diese Regeln wieder autmatisch entfernt. Wenn Sie eigene Regeln der Adressenübersetzung definiert haben, dann sllten Sie nach der Deaktivierung des transparenten Mdus sicherstellen, dass die vn Ihnen angelegten Regeln nch intakt sind. 6 Führen Sie den flgenden Befehl aus, um den autmatischen Start des Prxyservers beim Laden vn ViPNet Crdinatr HW/VA zu (de-) aktivieren: service http-prxy mde {n ff} 7 Führen Sie den flgenden Befehl aus, um den Prxyserver-Dienst umgehend zu starten: service http-prxy start Hinweis. Vr dem Start des Prxyservers sllten die IP-Adresse und der Prt für den Empfang vn Benutzer-Verbindungsanfragen swie die externe IP-Adresse vn ViPNet Crdinatr HW/VA definiert werden. Führen Sie den flgenden Befehl aus, um den Prxyserver-Dienst zu stppen: service http-prxy stp Hinweis. Damit für ffene Knten der Zugang zum Internet über den Prxyserver sichergestellt wird, knfigurieren Sie entsprechende Traffic-Verarbeitungsregeln. Inhaltskntrlle knfigurieren Durch Inhaltskntrlle kann der Zugang zu unerwünschten Webressurcen blckiert werden. Eine URL-Datenbank wird dazu verwendet, den Inhalt vn Webressurcen zu filtern. Sie können diese Datenbank im Internet der vn einem anderen ViPNet Crdinatr HW/VA- Knten, der als Server für die URL-Datenbank verwendet wird, abrufen. Die URLs in der Datenbank können unterschiedlichen Inhaltsklassen zugerdnet werden, zum Beispiel Glücksspiele, Shpping, Sziale Netzwerke, u. s. w. Der Webfilter kann den Zugriff auf Webressurcen dieser Inhaltsklassen (unabhängig vneinander) verhindern. Wenn der Benutzer eine URL anfrdert, die dem Muster einer verbtenen URL entspricht, wird die ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 33

34 Anfrderung abgelehnt und der Benutzer wird darüber infrmiert, dass die Webseite nicht angezeigt werden kann. Führen Sie die flgenden Schritte aus, um die Parameter der Inhaltskntrlle zu knfigurieren: Führen Sie den flgenden Befehl aus, um die Funktin der Inhaltskntrlle zu (de- )aktivieren: service http-prxy redirectr mde{n ff} Geben Sie die Quelle der Adressendatenbank und die Rlle vn ViPNet Crdinatr HW/VA mit Hilfe des flgenden Befehls an: service http-prxy redirectr rle {server client} Wenn als Rlle server definiert ist, wird die Adressendatenbank aus dem Internet geladen. ViPNet Crdinatr HW/VA übernimmt dabei die Rlle des Servers, vn dem andere ViPNet Crdinatr HW/VA-Knten die Datenbank laden können. Wenn als Rlle client definiert ist, dann wird die Adressendatenbank vn einem anderen ViPNet Crdinatr HW/VA-Knten geladen. Dieser Knten übernimmt die Rlle des Servers und aktualisiert die Datenbank mit Daten aus dem Internet. Wenn für ViPNet Crdinatr HW/VA die Rlle des Adressendatenbank-Clients festgelegt wurde, geben Sie einen anderen ViPNet Crdinatr HW/VA-Knten an, der als Server auftreten sll. Führen Sie dazu den flgenden Befehl aus: service http-prxy redirectr client server-address <Adresse vn ViPNet Crdinatr HW/VA> Sie können einen der nachflgenden Parameter verwenden, um die Adresse des ViPNet Crdinatr HW/VA-Kntens zu definieren: IP-Adresse, Hexadezimal-Id des ViPNet Netzwerkkntens im Frmat 0xAAAAAAAA. Führen Sie den flgenden Befehl aus, um die Adressendatenbank umgehend zu laden: service http-prxy redirectr fetch Die Größe der Datenbank beträgt ungefähr 100 MB. Benutzen Sie den flgenden Befehl, um die autmatische Aktualisierung der Adressdatenbank einzustellen: service http-prxy redirectr schedule fetch <Update-Intervall> Geben Sie einen der flgenden Werte an, um das Update-Intervall für die Datenbank zu bestimmen: nne die autmatische Aktualisierung wird deaktiviert. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 34

35 Zahl vn 1 bis 5 die Datenbank wird ein- bis fünfmal innerhalb vn 24 Stunden aktualisiert. Das Update wird dabei in gleichmäßigen Intervallen durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank einmal täglich aktualisiert wird, dann wird das Update täglich um Uhr durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank dreimal innerhalb vn 24 Stunden aktualisiert wird, dann wird das Update täglich um 0.00, 8.00 und Uhr gestartet. Zum Beisiel: service http-prxy redirectr schedule fetch 3 Führen Sie zum Anzeigen des Zeitplans für autmatische Updates den flgenden Befehl aus: service http-prxy redirectr schedule fetch list Legen Sie die Kategrien vn Internetbjekten fest, die vm Prxyserver blckiert werden sllen. Führen Sie dazu die nachflgenden Aktinen aus: Führen Sie den flgenden Befehl aus, um eine Liste aller Kategrien vn Internetbjekten anzuzeigen: service http-prxy redirectr categry list Auf dem Bildschirm wird eine Liste blckierter (Blcked) und erlaubter (Available) Kategrien im flgenden Frmat angezeigt: Blcked: jbsearch, drugs, vilence... Available: adv, aggressive, alchl, annvpn, autmbile/bikes... Führen Sie den flgenden Befehl aus, um eine Kategrie in der Liste blckierter Kategrien hinzuzufügen: service http-prxy redirectr categry add <Kategrie> Führen Sie den flgenden Befehl aus, um eine Kategrie aus der Liste blckierter Kategrien zu entfernen: service http-prxy redirectr categry delete <Kategrie> Wenn nötig, legen Sie eine Liste vn Ausnahmen fest. Dazu gehören Knten, für welche keine Inhaltskntrlle durchgeführt werden sll. Führen Sie dazu die flgenden Aktinen aus: Führen Sie den flgenden Befehl aus, um eine IP-Adresse in der Liste der Ausnahmen hinzuzufügen: service http-prxy redirectr exceptin add <IP-Adresse> Führen Sie den flgenden Befehl aus, um die festgelegte Liste der Ausnahmen anzuzeigen: service http-prxy redirectr exceptin list Führen Sie den flgenden Befehl aus, um eine IP-Adresse aus der Liste der Ausnahmen zu entfernen: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 35

36 service http-prxy redirectr exceptin delete <IP-Adresse> Antivirus knfigurieren Wenn Sie ViPNet Crdinatr HW/VA als Prxeserver verwenden, können Sie Antivirus- Prüfung der Daten, die über das HTTP-Prtkll in beide Richtungen (swhl in Richtung Benutzer als auch in Richtung Internet, zum Beispiel das Hinzufügen vn Anlagen in - Nachrichten über die Webschnittstelle) weitergeleitet werden, aktivieren. Antiviren-Überprüfung des Inhalts vn Internetbjekten auf dem Prxyserver kann mit Hilfe des Prgramms Clam Antivirus durchgeführt werden. Clam Antivirus ist eine frei verfügbare Sftware (Freeware), die vn der Firma Surcefire entwickelt wird. Führen Sie die nachflgenden Aktinen aus, um die Parameter der Antivirus-Prüfung zu knfigurieren: Führen Sie den flgenden Befehl aus, um die Antivirus-Datenbank unverzüglich zu laden: service http-prxy antivirus {kav clamav} fetch Die Größe der Datenbank beträgt ungefähr 100 MB. Führen Sie den flgenden Befehl aus, um die autmatische Aktualisierung der Datenbank des gewählten Antivirenprgramms zu knfigurieren: service http-prxy antivirus {kav clamav} schedule fetch <Update- Intervall> Geben Sie einen der flgenden Werte an, um das Update-Intervall für die Datenbank zu bestimmen: nne die autmatische Aktualisierung wird deaktiviert. Zahl vn 1 bis 5 die Datenbank wird ein- bis fünfmal innerhalb vn 24 Stunden aktualisiert. Das Update wird dabei in gleichmäßigen Intervallen durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank einmal täglich aktualisiert wird, dann wird das Update täglich um Uhr durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank dreimal innerhalb vn 24 Stunden aktualisiert wird, dann wird das Update täglich um 0.00, 8.00 und Uhr gestartet. Zum Beispiel: service http-prxy antivirus clamav schedule fetch 3 Benutzen Sie zum Anzeigen des Zeitplans für autmatische Updates den flgenden Befehl: service http-prxy antivirus {kav clamav} schedule fetch list Führen Sie den flgenden Befehl aus, um die Antivirus-Prüfung des Inhalts zu aktivieren: service http-prxy antivirus {kav clamav} mde n ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 36

37 Geben Sie zum Auswählen des Antivirenprgramms, das für die Prüfung verwendet wird, einen der flgenden Werte an: kav Kaspersky Anti-Virus für Prxy Server. clamav Clam Antivirus. Es können keine zwei Antivirenprgramme gleichzeitig aktiv sein. Wenn eines der Antivirenprgramme aktiviert ist, wird beim Versuch, das andere Prgramm zu starten, eine entsprechende Fehlermeldung angezeigt. Verwenden Sie den flgenden Befehl, um das aktuell aktive Antivirusprgramm zu deaktivieren: service http-prxy antivirus {kav clamav} mde ff ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 37

38 Knfiguratin des VIP-Servers Das Appliance ViPNet Crdinatr HW/VA besitzt einen eingebauten VIP-Server, mit dessen Hilfe Sie ein firmeninternes IP-Telefniesystem einrichten können. Wenn Sie verschlüsselte Sprachkmmunikatin zwischen mehreren Firmenniederlassungen gewährleisten möchten, installieren Sie in jeder Niederlassung einen VIP-Server auf Basis vn ViPNet Crdinatr HW/VA und bauen Sie Verbindungskanäle zwischen diesen Servern auf. Trunks ermöglichen es den Benutzern unterschiedlicher VIP-Server, sich gegenseitig anzurufen. Der VIP-Server unterstützt das SIP-Prtkll, weswegen für Verbindungen zum Server beliebige sftwarebasierte SIP-Clients der SIP-Telefngeräte verwendet werden können. Dabei sllten flgende Bedingungen beachtet werden: Sftwarebasierte SIP-Clients sllten auf geschützten der getunnelten Knten installiert werden. Legen Sie in der SIP-Clientsftware die sichtbare Adresse vn ViPNet Crdinatr HW/VA als SIP-Serveradresse fest. SIP-Telefngeräte sllten vm ViPNet Crdinatr HW/VA-Knten getunnelt werden. Legen Sie die IP-Adresse des externen Adapters vn ViPNet Crdinatr HW/VA als SIP- Serveradresse fest. Damit der reibungslse Betrieb vn SIP-Clients, die vm ViPNet Crdinatr HW/VA getunnelt werden, sichergestellt werden kann, knfigurieren Sie Filterregeln für den ffenen Traffic (s. Knfiguratin der Filterregeln für ffene IP-Pakete auf S. 60), die eingehende lkale Verbindungen getunnelter Clients zum ViPNet Crdinatr HW/VA über TCP und UDP unter Verwendung vn Prt 5060 erlauben. Wenn Sie mbile Geräte über einen IPsec-Kanal mit ViPNet Crdinatr HW/VA verbinden möchten (s. Einrichtung des Zugangs mbiler Geräte zu Unternehmensressurcen über einen geschützten IPsec-Kanal auf S. 48), dann knfigurieren Sie im ViPNet Netwrk Manager den ViPNet Crdinatr HW/VA Knten, der diese mbilen Geräte tunneln sll. Wählen Sie dazu den ViPNet Crdinatr HW/VA- Knten aus und legen auf der Registerkarte Tunnelung den IP-Adressbereich fest, der für zu tunnelende IPsec-Geräte verwendet werden sll. Dieser Bereich beträgt ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 38

39 Abbildung 1: Verwendung des integrierten VIP-Servers Führen Sie die flgenden Schritte aus, um VIP-Serverparameter zu knfigurieren: 1 Wechseln Sie zur Knfiguratin der VIP-Serverparameter in den Administratrmdus. Führen Sie dazu den Befehl enable aus und geben Sie das Passwrt des Netzwerkknten- Administratrs ein. 2 Geben Sie den Netzwerkadapter vn ViPNet Crdinatr HW/VA an, zu dem sich SIP- Clients verbinden sllen. Führen Sie dazu den flgenden Befehl aus: service sip listen internal <Netzwerkadaptername> Hinweis. Führen Sie zum Anzeigen einer Liste aller Netzwerkadapter vn ViPNet Crdinatr HW/VA den flgenden Befehl aus, hne den Adapternamen anzugeben: service sip listen internal. Wenn der angegebene Netzwerkadapter über keine IP-Adresse verfügt, wird eine Fehlermeldung angezeigt. Wenn der VIP-Serverdienst gestartet ist, sllte er nach dem Ausführen dieses Befehls neu gestartet werden. 3 Registrieren Sie die Telefnnummern der Benutzer auf dem Server: Zum Hinzufügen einer Telefnnummer führen Sie den flgenden Befehl aus: service sip phne add number <Telefnnummer> name <Vrname> surname <Nachname> passwrd <Passwrt> Die Telefnnummer sllte aus vier Ziffern bestehen. Zum Beispiel: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 39

40 service sip phne add number 1015 name Max surname Mustermann passwrd qwerty Wenn die Nummer, die Sie hinzufügen möchten, bereits existiert, wird eine Meldung mit dem Vrschlag angezeigt, die Daten des entsprechenden Benutzers entweder zu ersetzen der unverändert zu lassen. Zum Löschen einer Telefnnummer führen Sie den flgenden Befehl aus: service sip phne delete <Telefnnummer> 4 Wenn nötig, definieren Sie die Kanäle für Verbindungen mit anderen VIP-Servern: Geben Sie den Netzwerkadapter vn ViPNet Crdinatr HW/VA an, zu dem sich entfernte VIP-Server verbinden sllen. Führen Sie dazu den flgenden Befehl aus: service sip listen external <Adaptername> Hinweis. Führen Sie zum Anzeigen einer Liste aller Netzwerkadapter vn ViPNet Crdinatr HW/VA den flgenden Befehl aus, hne den Adapternamen anzugeben: service sip listen external. Wenn der angegebene Netzwerkadapter über keine IP-Adresse verfügt, wird eine Fehlermeldung angezeigt. Wenn der VIP-Serverdienst gestartet ist, sllte er nach dem Ausführen dieses Befehls neu gestartet werden. Führen Sie den flgenden Befehl aus, um ein Verbindungskanal zu einem Remte- VIP-Server zu erstellen: service sip trunk add name <Servername> address <IP-Adresse des Servers> lcal <lkale Nummern> remte <Remte-Nummern> Lkale Nummern repräsentieren hier Telefnnummern, die auf Ihrem VIP-Server registriert sind und für Benutzer des Remte-Servers zugänglich sein sllen. Remte- Nummern stellen Telefnnummern dar, die auf dem Remte-VIP-Server registriert sind und für Benutzer Ihres Servers zugänglich sein sllen. Die Telefnnummern sllten mit Hilfe einer Maske angegeben werden, zum Beispiel: service sip trunk add name RemteVIP address lcal 1XXX remte 2XXX Führen Sie den flgenden Befehl aus, um das Verbindungskanal zum Remte-Server zu löschen: service sip trunk delete <Servername> 5 Führen Sie den flgenden Befehl aus, um das autmatische Starten des VIP-Servers beim Laden vn ViPNet Crdinatr HW/VA zu (de-)aktivieren: service sip mde {n ff} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 40

41 6 Wenn Sie den VIP-Serverdienst umgehend starten möchten, benutzen Sie den Befehl: service sip start Verwenden Sie zum Stppen des Prxyserver-Dienstes den Befehl: service sip stp Benutzen Sie die flgenden Befehle, um VIP-Serverparameter anzuzeigen: Geben Sie den flgenden Befehl ein, um Infrmatinen über den Status des VIP-Dienstes anzuzeigen: service shw sip Geben Sie den flgenden Befehl ein, um eine Liste aller zu diesem Zeitpunkt verbundenen Benutzer anzuzeigen: service sip phne active Geben Sie den flgenden Befehl ein, um eine Liste aller auf dem Server registrierten Telefnnummern anzuzeigen: service sip phne list Geben Sie den flgenden Befehl ein, um eine Liste aller knfigurierten Verbindungskanäle zu Remte-Servern anzuzeigen: service sip trunk list ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 41

42 Knfiguratin des IPsec-Gateways In Unternehmensnetzwerken ist es ft erfrderlich, die Verbindungen zu Remtenetzwerken der -Knten zu schützen. Beispiel: im Unternehmensnetzwerk ist ein Anwendungsserver installiert, der über einen abgesicherten Kanal aus dem Internet zugänglich sein sll. Diese Aufgabe kann nicht immer mit Hilfe der ViPNet Technlgie gelöst werden. Es ist zum Beispiel nicht möglich, ViPNet Sftware auf mbile Geräte zu installieren. Bei Verwendung vn ViPNet Crdinatr HW/VA kann der Traffic mittels Verschlüsselung über das IPsec-Prtkll geschützt werden. In diesem Fall tritt ViPNet Crdinatr HW/VA als ein ViPNet IPsec-Gateway auf. ViPNet Crdinatr HW/VA unterstützt zwei Typen vn IPsec- Verbindungen: Site-t-Site (s. Verbindungen über einen geschützten IPsec-Kanal auf S. 43) und Client-t-Site (s. Einrichtung des Zugangs mbiler Geräte zu Unternehmensressurcen über einen geschützten IPsec-Kanal auf S. 48). In beiden Fällen unterstützt ViPNet Crdinatr HW/VA die Authentifizierung über Pre-Shared Key (PSK) der über ein Zertifikat (RSA). ViPNet Crdinatr HW/VA unterstützt bis zu 40 gleichzeitige Client-t-Site IPsec- Verbindungen. Achtung! Wenn Sie einen ViPNet Crdinatr HW/VA als IPsec-Gateway verwenden, dann sllte eine öffentliche statische IP-Adresse zur Verfügung stehen. Deswegen kann ein ViPNet Crdinatr HW/VA nicht als IPsec-Gateway bereitgestellt werden, wenn er sich hinter einer NAT befindet. Wenn Sie PSK-Authentifizierung verwenden möchten, empfehlen wir ausdrücklich, IPsec- Verbindungseinstellungen in ViPNet Netwrk Manager zu knfigurieren (s. Dkument ViPNet Crdinatr HW/VA. Administratrhandbuch ). RSA-Authentifizierung wird in ViPNet Netwrk Manager nicht unterstützt. Achtung! Wenn Sie sich dafür entscheiden, IPsec-Verbindungen mit Hilfe der Befehlszeile vn ViPNet Crdinatr HW/VA zu knfigurieren, dann sllten Sie keine Änderungen an den IPsec-Einstellungen des betrffenen Kntens in ViPNet Netwrk Manager vrnehmen. Anderenfalls gehen die in der Befehlszeile vrgenmmenen Änderungen an den Einstellungen verlren, sbald Sie die Schlüssel an den ViPNet Crdinatr HW/VA-Knten absenden. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 42

43 Gehen Sie wie flgt vr, um eine IPsec-Verbindung über die Befehlszeilenschnittstelle vn ViPNet Crdinatr HW/VA zu knfigurieren: 1 Stellen Sie sicher, dass die IPsec-Gateway-Funktin für den betrffenen ViPNet Crdinatr HW/VA-Knten in ViPNet Netwrk Manager deaktiviert ist (s. Dkument ViPNet Crdinatr HW/VA. Administratrhandbuch ). 2 Versenden Sie die Schlüssel für den betrffenen ViPNet Crdinatr HW/VA-Knten in ViPNet Netwrk Manager. 3 Knfigurieren Sie eine Site-t-Site (s. Verbindungen über einen geschützten IPsec-Kanal auf S. 43) der Client-t-Site (s. Einrichtung des Zugangs mbiler Geräte zu Unternehmensressurcen über einen geschützten IPsec-Kanal auf S. 48) IPsec- Verbindung in der Befehlszeilenschnittstelle vn ViPNet Crdinatr HW/VA. 4 Aktivieren Sie nicht die IPsec-Gateway-Funktin in ViPNet Netwrk Manager. Anderenfalls gehen die durchgeführten IPsec-Einstellungen verlren. Verbindungen über einen geschützten IPsec-Kanal Nehmen wir an, dass Ihr Firmennetzwerk durch ein ViPNet VPN geschützt ist. Sie möchten einen abgesicherten Kanal für die Kmmunikatin mit einer Partnerfirma einrichten, die keine ViPNet Technlgie verwendet. In diesem Fall kann ein Tunnel zwischen den zwei unternehmensinternen Netzwerken unter Verwendung des IPsec-Prtklls eingerichtet werden. Ein IPsec-Tunnel ist ein verschlüsselter Traffic-Tunnel zwischen zwei IPsec-Gateways (ein IPsec-Gateway befindet sich in jedem der zwei Netzwerke). Es steht eine Vielzahl an IPsec-Gateway Sftwareservern und Geräten zur Verfügung (Cisc-Geräte, Server mit Linux, FreeBSD, Windws-Server, u. s. w.). Ein ViPNet Crdinatr HW/VA-Knten kann ebenfalls als das IPsec-Gateway Ihres Netzwerks verwendet werden. Achtung! Es können keine geschützten IPsec-Kanäle zwischen zwei ViPNet Crdinatr HW/VA-Knten eingerichtet werden, die zum gleichen ViPNet Netzwerk gehören. Der Tunnel kann aber für Knten eingerichtet werden, die sich im Partnernetzwerk befinden (weitere Details s. Dkument ViPNet VPN. Benutzerhandbuch, Kapitel Aufbau der Verbindung zum Partnernetzwerk ). Beachten Sie das flgende Beispiel: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 43

44 Abbildung 2: Aufbau vn Verbindungen über das IPsec-Prtkll Der Knten des Remtenetzwerks baut eine Verbindung zum Knten im ViPNet Netzwerk auf. Dabei werden die IP-Pakete des Kntens ffen zum Gerät Remte Gate übertragen. Auf diesem Gerät wird die Verschlüsselung der IP-Pakete und die Übersetzung der Absender-IP-Adresse in die externe Geräteadresse durchgeführt. Anschließend führt ViPNet Crdinatr HW/VA die umgekehrte Aktin durch und leitet die Pakete in ihrem Originalzustand an den Knten weiter. Damit IPsec-Verbindungen knfiguriert werden können, sllten auf Remte Gate-Geräten und in ViPNet Crdinatr HW/VA die IP-Adressen der interagierenden Netzwerke, die eigenen Geräteadressen, das Verschlüsselungsprtkll und der Mdus der Anmeldung untereinander abgestimmt werden. Führen Sie in ViPNet Crdinatr HW/VA die flgenden Schritte aus, um Verbindungen über das IPsec-Prtkll zu knfigurieren: 1 Definieren Sie mit Hilfe des flgenden Befehls die IP-Adresse des Netzwerkadapters, der für Verbindungen zum entfernten Netzwerk genutzt werden sll: service ipsec listen <IP-Adresse> 2 Geben Sie mit Hilfe des flgenden Befehls die IP-Adresse des Geräts, der im entfernten Netzwerk die Rlle des IPsec-Gateways übernehmen sll, an: service ipsec site2site peer add <remte IP-Adresse> Hinweis. Beim Hinzufügen der Adresse eines entfernten IPsec-Gateways werden autmatisch lkale Regeln des ffenen Netzwerks erstellt (s. Knfiguratin der Filterregeln für ffene IP-Pakete auf S. 60), die Verbindungen zwischen ViPNet Crdinatr HW/VA und dem Gateway des Remtenetzwerks über das ESP-Prtkll (IP-Prtkllnummer 50) swie UDP-Verbindungen über Prts 500 und 4500 erlauben. 3 Definieren Sie die Authentifizierungsparameter für das Remtenetzwerk-Gateway. Wenn Sie Authentifizierung mittels Pre-Shared Key (PSK) verwenden möchten: Legen Sie den PSK-Authentifizierungstyp fest: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 44

45 service ipsec site2site peer set <remte IP-Adresse> auth type psk Legen Sie ein Passwrt für die Authentifizierung auf dem Remtenetzwerk-Gateway mit Hilfe des flgenden Befehls fest. Das Passwrt darf 8 bis 63 Zeichen lang sein. service ipsec site2site peer set <remte IP-Adresse> psk passwrd add <Passwrt> Achtung! Der Passwrt darf die flgenden Zeichen nicht enthalten: Fragezeichen (?), umgekehrter Schrägstrich (\), einfaches Anführungszeichen ( ). Wenn Sie Zertifikatsauthentifizierung (RSA) verwenden möchten: Legen Sie den RSA-Authentifizierungstyp fest: service ipsec site2site peer set <remte IP-Adresse> auth type rsa Stellen Sie sicher, dass Sie über das Zertifikat und den privaten Schlüssel des ViPNet Crdinatr HW/VA-Kntens, das Zertifikat des Remtegateways, das Stammzertifikat der Zertifizierungsstelle und die Zertifikatsperrliste (CRL) verfügen. Imprtieren Sie die Zertifikate auf dem ViPNet Crdinatr HW/VA-Knten (s. Imprtieren vn Zertifikaten und CRLs auf S. 52). Legen Sie die erfrderlichen Zertifikate und CRLs fest: service ipsec site2site peer set <remte IP-Adresse> rsa hstcert <Zertifikat Ihres Kntens> service ipsec site2site peer set <remte IP-Adresse> rsa hstkey <Zertifikat Ihres Kntens> service ipsec site2site peer set <remte IP-Adresse>rsa peercert <Zertifikat remtes Gateways> service ipsec site2site peer set <remte IP-Adresse> rsa cacert <Zertifikat der Zertifizierungsstelle> service ipsec site2site peer set <remte IP-Adresse> rsa crl <Zertifikatsperrliste> Wenn Sie beim Ausführen der ben aufgelisteten Befehle eine Liste der verfügbaren Zertifikate anzeigen möchten, lassen Sie den Zertifikatsnamen leer der verwenden Sie das Zeichen?. Führen Sie zum Beispiel den flgenden Befehl aus: service ipsec site2site peer set rsa hstcert 4 Definieren Sie die Verschlüsselungsparameter, die für den Schutz der Verbindung benutzt werden: Geben Sie den Verschlüsselungsalgrithmus mit Hilfe des flgenden Befehls an: service ipsec site2site peer set <remte IP-Adresse> cryp {3des aes} ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 45

46 Geben Sie den Algrithmus für die Berechnung des Hash-Werts mit Hilfe des flgenden Befehls an: service ipsec site2site peer set <remte IP-Adresse> hash <Algrithmus> Zulässige Werte für diesen Parameter: md5, sha1, sha256, sha384, sha512. Legen Sie die Nummer der Diffie-Hellman-Gruppe mit Hilfe des flgenden Befehls fest: service ipsec site2site peer set <remte IP-Adresse> grup <Nummer der Gruppe> Zulässige Werte für diesen Parameter: 1, 2, 5, 14, 15, 16, 17, 18. Legen Sie die Gültigkeitsdauer der Sitzungsschlüssel in Sekunden: service ipsec site2site peer set <remte IP-Adresse> lifetime <Schlüsselgültigkeitsdauer> 5 Definieren Sie die Adressen der Netzwerke, zwischen denen ein geschützter Kanal eingerichtet werden sll, mit Hilfe des flgenden Befehls: service ipsec site2site peer set <remte IP-Adresse> spd add lcalnet <IP- Adresse des lkalen Netzwerks> remtenet <IP-Adresse des entfernten Netzwerks> Lkales Netzwerk und entferntes Netzwerk sind die Netzwerke, die sicher verbunden werden sllen. Die Adressen der Netzwerke werden in Frm vn Präfixen festgelegt, zum Beispiel /24. Adresse des lkalen Servers ist eine externe IP-Adresse des ViPNet Crdinatr HW/VAs. Adresse des entfernten Servers ist eine externe IP-Adresses des IPSec-Servers im entfernten Netzwerk. 6 Führen Sie den flgenden Befehl aus, um den autmatischen Start vn Diensten, die Verbindungen über das IPSec-Prtkll durchführen, beim Start vn ViPNet Crdinatr HW/VA zu aktivieren: service ipsec site2site mde n 7 Führen Sie den flgenden Befehl aus, um den IPsec-Dienst zu starten: service ipsec site2site start 8 Knfigurieren Sie auf dem ViPNet Crdinatr HW/VA-Knten eine Transitregel, die den Traffic zwischen dem Remtenetzwerk und dem lkalen Netzwerk, das Sie in ViPNet Netwrk Manager definiert haben, erlaubt. Hinweis. Wenn Sie möchten, dass die Cmputer des Remtenetzwerks auf geschützte ViPNet Knten im lkalen Netzwerk zugreifen können, dann sllten Sie Firewall- Regeln auf den lkalen Knten definieren, die den eingehenden Traffic der Remteknten erlauben. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 46

47 9 Falls sich der ViPNet Crdinatr HW/VA-Knten hinter einer externen Firewall befindet, knfigurieren Sie auf der Firewall passende Filterregeln. Diese Regeln sllten eingehende UDP-Pakete auf Prts 500 und 4500 erlauben, wenn die lkale IP-Adresse vn ViPNet Crdinatr HW/VA das Ziel der Pakete ist. 10 Benachrichtigen Sie den Administratr des Remtenetzwerks über die Ntwendigkeit, das Ruting des Traffics vn ViPNet Knten auf allen Remtenetzwerkknten inklusive dem Gateway zu knfigurieren. Dabei sllten sichtbare IP-Adressen verwendet werden: Sichtbare Adressen der ViPNet Netzwerkknten werden in der Knfiguratinsdatei des privaten Netzwerks definiert (Parameter accessip im Bereich [id] bei jedem Netzwerkknten). Verwenden Sie zum Anzeigen der Knfiguratinsdatei den Befehl iplir shw cnfig. Sichtbare Adressen der ffenen Knten entsprechen den reellen IP-Adressen dieser Knten. 11 Stellen Sie sicher, dass die IPsec-Verbindungsparameter auf dem ViPNet Crdinatr HW/VA und auf dem Remtenetzwerk-Gateway miteinander kmpatibel sind. 12 Führen Sie den flgenden Befehl aus, um die Site-t-Site Verbindungseinstellungen anzuzeigen: service ipsec site2site shw Beispiel für Knfiguratin der Verbindung (in Übereinstimmung mit dem Schema ben): service ipsec site2site listen service ipsec site2site peer add service ipsec site2site peer set auth type psk service ipsec site2site peer set psk passwrd add qwertyuip service ipsec site2site peer set cryp aes service ipsec site2site peer set hash md5 service ipsec site2site peer set grup 5 service ipsec site2site peer set lifetime 3600 service ipsec site2site peer set spd add lcalnet /24 remtenet /24 service ipsec site2site start service ipsec site2site mde n ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 47

48 Einrichtung des Zugangs mbiler Geräte zu Unternehmensressurcen über einen geschützten IPsec-Kanal Mderne Geschäftsprzesse sehen einen aktiven Einsatz mbiler Endgeräte vr. Mit Hilfe vn mbilen Geräten können Mitarbeiter, die sich nicht an ihren Arbeitsplätzen befinden, das betriebliche -System, die Möglichkeiten der IP-Telefnie der andere Ressurcen des Firmennetzwerks nutzen. Die Benutzer können unterschiedliche Smartphnes und Tablets verwenden, um den geschützten Zugriff auf Unternehmensressurcen, die sich in einem ViPNet Netzwerk befinden, sicherzustellen. Der Schutz des Traffics wird dabei mit Hilfe einer Kmbinatin der IPSec- und der ViPNet Technlgie sichergestellt. Abbildung 3: Mbiles Apple-Gerät beim Aufbau der Verbindung zum ViPNet Security Gateway Ein ViPNet Crdinatr HW/VA-Knten wird als Gateway zwischen IPsec und ViPNet eingesetzt und ermöglicht den Zugang mbiler Geräte zu getunnelten und geschützten ViPNet Knten. Das mbile Gerät baut dabei eine Verbindung zum ViPNet Crdinatr HW/VA über das IPsec-Prtkll auf.es wird ein gesicherter Client-t-Site IPsec-Kanal erstellt und dem mbilen Gerät autmatisch eine IP-Adresse aus dem Netzwerkbereich /24 zugewiesen. Der Traffic des mbilen Geräts wird vm ViPNet Crdinatr HW/VA-Knten entschlüsselt. Dann wird der unverschlüsselte Traffic entweder zu einem ffenen Knten hinter dem ViPNet Crdinatr HW/VA weitergeleitet der mit ViPNet Schlüsseln verschlüsselt und an einen geschützten ViPNet Knten übermittelt. Knten, die sich im geschützten Netzwerk hinter dem ViPNet Crdinatr HW/VA befinden, können über ihre IP-Adressen vn den mbilen Geräten angesprchen werden. Die mbilen Geräte, die über das IPsec-Prtkll mit dem ViPNet Crdinatr HW/VA verbunden sind, verwenden ViPNet Crdinatr HW/VA als ihr Standardgateway. Wenn die Knfiguratin nicht rdnungsgemäß durchgeführt wird, dann können diese Geräte auf die ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 48

49 Ressurcen des Unternehmensnetzwerks, nicht jedch auf das Internet zugreifen. Wenn zusätzlich der Zugang mbiler IPsec-Clients zum Internet eingerichtet werden sll, können Sie dazu den integrierten Prxyserver verwenden der NAT-Regeln auf dem ViPNet Crdinatr HW/VA-Knten knfigurieren. ViPNet Crdinatr HW/VA unterstützt bis zu 40 gleichzeitige Client-t-Site IPsec- Verbindungen. Darüber hinaus kann die Anzahl der mbilen Clients im ViPNet Netzwerk durch die ViPNet VPN-Lizenz begrenzt sein. Wenn nötig, können Laptps und Desktpcmputer mit dem Betriebssystem Windws der Mac OS ebenfalls als IPsec-Clients eingesetzt werden. Gehen Sie wie flgt vr, um eine standrtübergreifende IPsec-Verbindung (Client-t-Site) in ViPNet Crdinatr HW/VA zu knfigurieren: 1 Legen Sie die IP-Adresse des Netzwerkadapters, der vn IPsec-Clients für den Verbindungsaufbau zum ViPNet Crdinatr HW/VA-Knten verwendet werden sll, mit Hilfe des flgenden Befehls fest: service ipsec listen <IP-Adresse> 2 Definieren Sie die Authentifizierungsparameter für L2TP-Verbindungen. Wenn Sie Authentifizierung mittels Pre-Shared Key (PSK) verwenden möchten: Legen Sie den PSK-Authentifizierungstyp fest: service ipsec client2site peer auth type psk Definieren Sie ein Passwrt für die Authentifizierung auf dem Remtenetzwerk- Gateway mit Hilfe des flgenden Befehls. Das Passwrt darf 8 bis 63 Zeichen lang sein. service ipsec client2site peer psk passwrd add <Passwrt> Achtung! Der Passwrt darf die flgenden Zeichen nicht enthalten: Fragezeichen (?), umgekehrter Schrägstrich (\), einfaches Anführungszeichen ( ). Wenn Sie Zertifikatsauthentifizierung (RSA) verwenden möchten: Legen Sie den RSA-Authentifizierungstyp fest: service ipsec client2site peer auth type rsa Stellen Sie sicher, dass Sie über das Zertifikat und den privaten Schlüssel des ViPNet Crdinatr HW/VA-Kntens, das Stammzertifikat der Zertifizierungsstelle und die Zertifikatsperrliste (CRL) verfügen. Imprtieren Sie die Zertifikate auf dem ViPNet Crdinatr HW/VA-Knten (s. Imprtieren vn Zertifikaten und CRLs auf S. 52). Legen Sie die erfrderlichen Zertifikate und Zertifikatsperrlisten (CRLs) fest: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 49

50 service ipsec client2site peer rsa hstcert <Zertifikat des Netzwerkkntens> service ipsec client2site peer rsa hstkey <Privater Schlüssel des Netzwerkkntens> service ipsec client2site peer rsa cacert <Zertifikat der Zertifizierungsstelle> service ipsec client2site peer rsa crl <Zertifikatsperrliste> Wenn Sie beim Ausführen der ben aufgelisteten Befehle eine Liste der verfügbaren Zertifikate anzeigen möchten, lassen Sie den Zertifikatsnamen leer der verwenden Sie das Zeichen?. Führen Sie zum Beispiel den flgenden Befehl aus: service ipsec client2site peer rsa hstcert 3 Definieren Sie die Verschlüsselungsparameter für den Schutz der Verbindung: Legen Sie den kryptgrafischen Algrithmus mit Hilfe des flgenden Befehls fest: service ipsec client2site peer cryp {3des aes} Legen Sie den Hashalgrithmus mit Hilfe des flgenden Befehls fest: service ipsec client2site peer hash <Algrithmus> Es können flgende Werte angegeben werden: md5, sha1, sha256, sha384, sha512. Legen Sie die Nummer einer Diffie-Hellman-Gruppe mit Hilfe des flgenden Befehls fest: service ipsec client2site peer grup <Gruppennummer> Es können flgende Werte angegeben werden: 1, 2, 5, 14, 15, 16, 17, 18. Legen Sie die Gültigkeitsdauer der Sitzungsschlüssel in Sekunden fest: service ipsec client2site peer lifetime <Gültigkeitsdauer der Schlüssel> Es kann ein Wert zwischen 60 und angegeben werden. 4 Definieren Sie den IP-Adressbereich für Clients, die sich über das IPsec-Prtkll zum ViPNet Crdinatr HW/VA verbinden: service ipsec client2site peer range <Start-IP-Adresse>-<End-IP-Adresse> 5 Wenn IPsec-Clients auf geschützte ViPNet Netzwerkknten zugreifen sllen, fügen Sie in ViPNet Netwrk Manager für den ViPNet Crdinatr HW/VA-Knten den zuvr definierten IP-Adressbereich zur Liste der getunnelten IP-Adressen hinzu. Versenden Sie dann Schlüsselupdates an die ViPNet Netzwerkknten. 6 Wenn nötig, legen Sie die IP-Adresse des DNS-Servers, der vn IPsec-Clients verwendet werden sll, mit Hilfe des flgenden Befehls fest: service ipsec client2site dns set <IP-Adresse des DNS-Servers> Standardmäßig wird die IP-Adresse (Ggle Public DNS) verwendet. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 50

51 7 Definieren Sie eine Liste vn IPsec-Clients, die auf geschützte Ressurcen zugreifen sllen: Legen Sie zum Hinzufügen eines IPsec-Clients den Namen und das Passwrt für den neuen Benutzer mit Hilfe des flgenden Befehls fest: service ipsec client2site peer user add <Benutzername> passwrd <Benutzerpasswrt> Achtung! Der Benutzerpasswrt darf die flgenden Zeichen nicht enthalten: Fragezeichen (?), umgekehrter Schrägstrich (\), einfaches Anführungszeichen ( ). Führen Sie zum Löschen eines IPsec-Clients den flgenden Befehl aus: service ipsec client2site peer user delete <Benutzername> Führen Sie zum Anzeigen der Liste vn IPsec-Clients den flgenden Befehl aus: service ipsec client2site peer user list 8 Wenn Sie für Dienste, die sich über das IPsec-Prtkll verbinden, die Autstart-Funktin aktivieren möchten, führen Sie zum Startzeitpunkt vn ViPNet Crdinatr HW/VA den flgenden Befehl aus: service ipsec client2site mde n 9 Führen Sie den flgenden Befehl aus, um den IPsec-Dienst zu starten service ipsec client2site start 10 Leiten Sie die IP-Adresse des ViPNet Crdinatr HW/VAs, die Authentifizierungsparameter (Pre-Shared Key der Zertifikat), die Benutzernamen und Passwörter an diejenigen Benutzer weiter, die den Zugang zu unternehmensinternen Ressurcen benötigen. Die Benutzer sllten dann IPsec-Einstellungen auf ihren mbilen Geräten der Cmputern in Übereinstimmung mit den bereitgestellten Daten knfigurieren. 11 Führen Sie den flgenden Befehl aus, um die Site-t-Site-Verbindungseinstellungen anzuzeigen: service ipsec site2site shw Hier ein Beispiel für die Knfiguratin einer Site-t-Site-Verbindung (gemäß dem ben aufgeführten Schema): service ipsec client2site listen service ipsec client2site peer set auth type psk service ipsec client2site peer psk passwrd add qwertyuip service ipsec client2site peer cryp aes ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 51

52 service ipsec client2site peer hash md5 service ipsec client2site peer grup 5 service ipsec client2site peer lifetime 3600 service ipsec client2site peer range service ipsec client2site dns set service ipsec client2site peer user add JhnB passwrd 2jhbff42 service ipsec client2site peer user add MrSmith passwrd 32fra24f service ipsec client2site mde n service ipsec client2site start Imprtieren vn Zertifikaten und CRLs Wenn Sie für IPsec-Verbindungen Zertifikatsauthentifizierung (RSA) knfigurieren möchten, dann sllten Sie zunächst die erfrderlichen Zertifikate und Zertifikatsperrlisten (CRLs) in ViPNet Crdinatr HW/VA imprtieren. Wenn Sie für Ihren Knten kein Zertifikat besitzen, dann können Sie eine Zertifikatsanfrage erstellen und das ausgestellte Zertifikat anschließend imprtieren. Zum Anfrdern eines Zertifikats für den Knten: 1 Erstellen Sie einen privaten Schlüssel und eine Zertifikatsanfrage. Führen Sie dazu in der ViPNet Crdinatr HW/VA-Befehlsshell den flgenden Befehl aus (geben Sie dabei den erfrderlichen Zertifikatsnamen, die Länge des privaten Schlüssels und den Hash- Algrithmus an): service cert request create name <Zertifikatsname> bits <Schlüssellänge> digest {md5 sha1} Für Schlüssellänge können flgende Werte angegeben werden: 1024, 1536, 2048, 3072, Beim Ausführen dieses Befehls werden ein privater Schlüssel und eine Anfragedatei mit dem Namen <Zertifikatsname>_req.pem erstellt. 2 Schließen Sie einen USB-Wechseldatenträger an ViPNet Crdinatr HW/VA an und kpieren Sie die erstellte Anfrage mit Hilfe des flgenden Befehls auf den USB- Datenträger: service cert exprt <Name der Anfragedatei> via usb 3 Leiten Sie die Zertifikatsanfrage an Ihre Zertifizierungsstelle weiter. Sie erhalten dann das ausgestellte Zertifikat zusammen mit dem Stammzertifikat der Zertifizierungsstelle und der Zertifikatsperrliste (CRL). ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 52

53 Zum Imprtieren eines Zertifikats, eines privaten Schlüssels der einer CRL: 1 Schließen Sie einen USB-Datenträger mit den Dateien, die Sie imprtieren möchten, an ViPNet Crdinatr HW/VA an. Die zulässigen Dateierweiterungen sind.pem (für private Schlüssel),.cer (für DERverschlüsselte Zertifikate) und.crl (für Zertifikatsperrlisten). 2 Führen Sie in der ViPNet Crdinatr HW/VA-Befehlsshell den flgenden Befehl aus: service cert imprt via usb Es wird eine Liste vn Dateien angezeigt, die auf dem USB-Datenträger gefunden wurden. 3 Wählen Sie die Datei aus, die Sie imprtieren möchten. Führen Sie den flgenden Befehl aus, um eine Liste der installierten privaten Schlüssel, Zertifikate und Zertifikatsperrlisten (CRL) anzuzeigen: service cert list Führen Sie den flgenden Befehl aus, um ein Zertifikat anzuzeigen: service cert shw cert <Zertifikatsname> ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 53

54 4 Knfiguratin der integrierten Firewall Allgemeine Infrmatinen 55 Knfiguratin der Dienstparameter 56 Knfiguratin des Antispfings 58 Knfiguratin der Filterregeln für ffene IP-Pakete 60 Knfiguratin der Umsetzung der IP-Adressen (NAT) 69 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 54

55 Allgemeine Infrmatinen Die ViPNet Crdinatr HW/VA-Appliance verfügt über Möglichkeiten zur Filterung und Übersetzung vn Adressen für den ffenen (nicht verschlüsselten) IP-Traffic (auf S. 83). Die Verarbeitungsregeln für ffene IP-Pakete (s. Knfiguratin der integrierten Firewall auf S. 54) und die Dienstparameter der Firewall (s. Knfiguratin der Dienstparameter auf S. 56) werden in der Knfiguratinsdatei der Firewall gespeichert. Die Knfiguratinsdatei besteht aus mehreren Bereichen, die eine der mehrere Regeln zur Verarbeitung ffener IP-Pakete enthalten. Die Verarbeitungsregeln umfassen flgende Arten vn Regeln: Antispfing-Regeln (s. Knfiguratin des Antispfings auf S. 58); Filterregeln für IP-Pakete (s. Knfiguratin der Filterregeln für ffene IP-Pakete auf S. 60); Regeln der Adressenübersetzung (s. Knfiguratin der Umsetzung der IP-Adressen (NAT) auf S. 69). Führen Sie im Befehlszeileinterpreter (s. Kmmandinterpreter auf S. 83) den Befehl iplir cnfig firewall aus, um die Knfiguratinsdatei der Firewall zu editieren. Daten über Ereignisse, die in Zusammenhang mit der Verarbeitung des IP-Traffics durch die ViPNet Crdinatr HW/VA-Firewall stehen, werden in der Lgdatei der registrierten IP- Pakete erfasst (s. Lgdatei der registrierten IP-Pakete auf S. 72). ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 55

56 Knfiguratin der Dienstparameter Die Dienstparameter der Firewall werden in der Firewall-Knfiguratinsdatei im Bereich [settings] definiert. Nach dem Anlegen der Knfiguratinsdatei enthält der Bereich [settings] zunächst keine Parameter, es werden stattdessen Standardwerte verwendet, die weiter unten aufgeführt sind. Der Bereich [settings] enthält flgende Parameter: max-cnnectins maximale Anzahl an gleichzeitigen Verbindungen. Es muss berücksichtigt werden, dass die Anzahl der verarbeiteten reellen physikalischen Verbindungen bei nur etwa einem Drittel dieses Werts liegen wird. Der Standardwert beträgt , das ist der maximal zulässige Wert für diesen Parameter. Wenn die Anzahl an gleichzeitigen Verbindungen eingeschränkt werden sll, muss dieser Wert entsprechend herabgesetzt werden. dynamic-prts Prtbereich, der für dynamisches NAT verwendet wird. Standardmäßig hat der Parameter den Wert cnnectin-ttl-tcp Zeitintervall (in Sekunden). Nachdem das letzte Paket, das zu der TCP-Verbindung gehört, registriert wurde, beginnt die Wartezeit. Wenn sie den im Parameter angegebenen Wert überschreitet, wird die Verbindung unterbrchen (time-ut). Standardmäßig hat der Parameter den Wert 3600 (60 Min.). cnnectin-ttl-udp Zeit (in Sekunden). Nach dem Zeitablauf wird die Verbindung nach der letzten Registrierung eines Pakets, das zu dieser UDP-Verbindung gehört, wegen Zeitüberschreitung (time ut) abgebrchen. Standardmäßig ist der Wert des Parameters 300 (5 Min.). dynamic-timeuts aktiviert/deaktiviert den Mdus für dynamische Timeuts der Verbindungen (yes/n). Standardmäßig ist der Wert des Parameters auf n gesetzt. Der Mdus der dynamischen Timeuts wird für die Verhinderung der fld-angriffe eingesetzt. Er funktiniert wie flgt: wenn die Anzahl der Verbindungen einen bestimmten Anteil vm Maximum erreicht, dann werden die Timeuts aller Verbindungen um einen bestimmten Wert reduziert. Je näher die Anzahl der Verbindungen zum Maximum ist, ums größer ist dieser Wert. Timeuts können aber nur ein bestimmtes Minimum erreichen. Wenn die Anzahl der Verbindungen auf einen bestimmten Anteil vn der maximalen Anzahl sinkt, werden die Timeuts auf den nrmalen Wert zurückgesetzt. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 56

57 cleanup-interval Häufigkeit der Entfernung der veralteten Verbindungen (mit abgelaufenen Timeuts). Standardmäßig ist der Wert des Parameters auf 5 gesetzt (Sekunden). Grße Werte führen dazu, dass die veralteten Verbindungen nicht genau genug (zeitlich) entfernt werden. Kleinere Werte führen zur größeren Przessrauslastung. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 57

58 Knfiguratin des Antispfings Antispfing-Regeln ermöglichen es, für jeden Netzwerkadapter eine Liste der IP-Adressen zu erstellen, vn denen Pakete empfangen werden dürfen. Alle Pakete, die vn den Adressen gesendet werden, die nicht in der Liste enthalten sind, werden blckiert. Außerdem werden alle Pakete blckiert, die vn Adressen gesendet werden, die als erlaubte Adressen für andere Netzwerkadapter gelten. Wie der Name schn sagt, besteht die Hauptaufgabe des Anti- Spfings im Schutz gegen das sgenannte Spfing. Spfing ist eine Art vn Angriffen im Netz, die auf der Fälschung der IP-Adressen basiert. Der Angreifer sendet an einen Netzwerkknten Pakete, die als Absenderadresse nicht die eigene Adresse enthalten, sndern eine andere Adresse, die dem Netzwerkknten bekannt ist. Man kann beispielsweise aus dem Internet ein IP-Paket an ein Gateway senden und als Absenderadresse die Adresse eines privaten internen Netzwerks angeben, das auch mit dem Gateway verbunden ist. Dabei kann der Angreifer Zugriff auf bestimmte Dienste bekmmen, auf die man nur aus dem internen Netzwerk zugreifen kann. Die Antispfing-Regeln schließen diese Möglichkeit aus. Die Antispfing-Regeln werden im Bereich [antispf] der Firewall- Knfiguratinsdatei definiert. Der Bereich [antispf] enthält flgende Parameter: antispf aktiviert und deaktiviert Antispfing. Der Parameter kann den Wert yes der n haben. Standardmäßig ist der Wert auf n gesetzt. Parameter mit Namen, die den Namen der Netzwerkadapter entsprechen. Der Wert jedes Parameters ist eine Liste vn Adressen, die für diesen Netzwerkadapter erlaubt sind. Die Liste kann aus einzelnen durch Kmma getrennten Adressen, Adressbereichen, Adressmasken und Schlüsselwörter bestehen. Alle Adressen in der Liste müssen zu Subnetzen gehören, die mit diesem Netzwerkadapter verbunden sind. In der Liste der Adressen können flgende Schlüsselwörter angegeben werden: anypublic alle Adressen, die im Internet erlaubt sind, d.h. alle Adressen, außer Adressen, die für spezielle Zwecke verwendet werden: für den lkalen Netzwerkadapter ( /8) und für private Netzwerke ( /8, /12, /16); subnet gesamtes Subnetz, dem dieser Netzwerkadapter angehört, was durch seine IP-Adresse und die Subnetzmaske bestimmt wird. Wenn Antispfing aktiviert ist, erflgt bei jedem Start des Steuerungs-Daemns der bei einer Änderung der Netzwerkeigenschaften eine autmatische Erstellung der Liste mit dem Schlüsselwrt subnet. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 58

59 Der Bereich [antispf] muss unbedingt alle Netzwerkadapter außer dem lkalen Netzwerkadapter (lpback) enthalten. Der Traffic auf dem lkalen Netzwerkadapter kann nicht gefiltert werden und lässt grundsätzlich alle Pakete durch. Eingehende IP-Pakete aus dem Bereich /8 werden auf allen Netzwerkadaptern ViPNet unabhängig vn den Einstellungen des Antispfings blckiert. Beim Start des Steuerungs-Daemns wird geprüft, b das Antispfing aktiviert ist. Wenn es aktiviert ist, wird geprüft, b alle Netzwerkadapter im Bereich [antispf] eingetragen sind, die dem Steuerungsdämn bekannt sind. Fehlende Netzwerkadapter werden autmatisch zum Bereich [antispf] mit dem Wert subnet hinzugefügt. Beispiel des Bereichs [antispf]: [antispf] antispf= yes eth0= anypublic eth1= /24 Antispfing ist in diesem Beispiel aktiviert und funktiniert flgendermaßen: Der Netzwerkadapter eth0 erhält IP-Pakete vn allen IP-Adressen ausgenmmen private IP-Adressen (der Netzwerkadapter ist mit dem Internet verbunden); Der Netzwerkadapter eth1 erhält Pakete vn Adressen bis (der Netzwerkadapter ist mit dem lkalen Netzwerk verbunden). Wenn in diesem Beispiel auf den Netzwerkadapter eth0 ein Paket aus dem Internet mit der Absenderadresse aus dem Netzwerk /24 der /24 empfangen wird, wird dieses Paket blckiert. Damit wird ein sicherer Schutz vr Spfing gewährleistet. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 59

60 Knfiguratin der Filterregeln für ffene IP-Pakete Pakete, die nach Antispfing-Regeln nicht aussrtiert wurden, werden mithilfe der Filterregeln weiter bearbeitet. Regeln für die Filterung der ffenen IP-Pakete werden in den Bereichen [lcal], [bradcast], [tunnel] und [frward] der Firewall-Knfiguratinsdatei definiert. Im Bereich [lcal] werden Regeln für die Filterung der lkalen Pakete definiert. Lkale Pakete haben als Absender der Empfänger den lkalen Netzwerkknten. Im Bereich [bradcast] werden Regeln für die Filterung der Bradcast-Pakete definiert: Die Bereiche [lcal] und [bradcast] sind bligatrisch. Beim Start des Steuerungs- Daemns wird geprüft, b die Bereiche in der Knfiguratinsdatei vrhanden sind. Wenn einer der Bereiche fehlt, wird er autmatisch mit Standardeinstellungen zur Firewall- Knfiguratinsdatei hinzugefügt. Im Bereich [frward] wird die Filterung der Transitpakete knfiguriert. Das sind Pakete, die diesen Netzwerkknten auf dem Weg vm Absender zum Empfänger passieren. Standardmäßig enthält die Firewall-Knfiguratinsdatei einen leeren Bereich [frward]. Damit die Transitpakete den Netzwerkknten passieren können, müssen sie entweder im Bereich [frward] erlaubt sein, der die Netzwerkadapter müssen die Pakete weiterleiten können. In der Sicherheitsstufe 4 für eingehende Pakete und in den Sicherheitsstufen 3 und 4 für ausgehende Pakete sind die Transitpakete grundsätzlich erlaubt. In allen anderen Sicherheitsstufen müssen die Transitpakete im Bereich [frward] erlaubt sein. Dies gilt auch, wenn die Umsetzung der Netzwerkadressen (NAT) verwendet wird. Eine slche Knfiguratin wird unten detailliert beschrieben. Im Bereich [tunnel] werden die Filterregeln für getunnelte Pakete definiert. Das sind Pakete, die zwischen Ressurcen, die vn diesem Netzwerkknten (Crdinatr) getunnelt werden, und den geschützten Netzwerkknten des ViPNet Netzwerks übertragen werden. In der Knfiguratinsdatei muss der Bereich [tunnel] unbedingt vrhanden sein. Beim Start des Steuerungs-Daemns wird geprüft, b der Bereich vrhanden ist. Wenn der Bereich fehlt, wird er autmatisch zur Firewall-Knfiguratinsdatei hinzugefügt. Der hinzugefügte Bereich enthält eine Regel, die standardmäßig den Traffic zwischen allen tunnelnden Ressurcen und allen geschützten Netzwerkknten, die mit dem gegebenen Netzwerkknten verbunden sind, erlaubt. Bei der Filterung der IP-Pakete der TCP-, UDP- und ICMP-Prtklle werden verschiedene Parameter der Pakete analysiert. Mithilfe der Filterregeln können das Prtkll, die Adresse und ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 60

61 die Prtnummer des Absenders, die Adresse und die Prtnummer des Empfängers und die Richtung des Verbindungsaufbaus kntrlliert werden. Die Filterung anhand der Richtung des Verbindungsaufbaus ermöglicht es, nur Pakete bestimmter Verbindungen passieren zu lassen. Nur die Anfragen für den Verbindungsaufbau in eine bestimmte Richtung swie die Antwrten auf diese Anfragen können erlaubt werden. Die Anfragen für den Verbindungsaufbau in die Gegenrichtung können blckiert werden. Für die Filterung der IP-Pakete aller anderen Prtklle (nicht TCP/UDP/ICMP) werden virtuelle Verbindungen anhand der IP-Adresse und der Prtkllnummer, aufgebaut. Smit ist es ausreichend, durch eine Filterregel die Anfrage für den Verbindungsaufbau zu erlauben. Alle Antwrten werden autmatisch erlaubt sein (wenn sie vn der gleichen IP-Adresse und über das gleiche Prtkll kmmen). Jeder der Bereiche kann mehrere Filterregeln enthalten. Die Syntax der Filterregeln ist für alle Bereiche gleich. Jede Regel wird im Parameter rule beschrieben. Sein Wert besteht aus flgenden Kmpnenten: rule= <Filter> <Bedingung> <Zeit> <Aktin> der rule= <Filter> <Aktin> <Bedingung> <Zeit> Der Filter muss an der ersten Stelle angegeben werden. Die Reihenflge der anderen Kmpnenten ist unwichtig. Jede Kmpnente einer Regel besteht aus mehreren Teilen. Diese Teile nennt man Tken. Das Tken stellt ein Dienstwrt dar, nach dem ein Parameter angegeben werden kann. Kmpnenten der Regeln, Tken innerhalb der Kmpnenten, Dienstwörter und Parameter innerhalb der Tken werden durch Leerzeichen getrennt. Filter Der Filter beschreibt Regeleigenschaften, die keine unmittelbare Auswirkung auf die Bearbeitung der Pakete haben, und wird immer am Anfang der Regel angegeben. Sie kann aus flgenden Tken bestehen, die in der angeführten Reihenflge angegeben werden sllten: num <Nummer> Nummer der Regel innerhalb des Bereichs (vn 0 bis 65535). Durch die Nummer wird die Reihenflge der Filteranwendung festgelegt. Zuerst werden die Filter mit kleineren Nummern angewendet. Sbald die erste Filterregel in der Reihenflge auf das Paket zutrifft, wird sie angewendet, das Paket wird erlaubt der verbten, und eine weitere Filterung findet nicht statt. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 61

62 Das Tken num muss nicht angegeben werden. In diesem Fall versucht ViPNet selbstständig, eine Nummer zu vergeben. Bei der Nummernvergabe durch ViPNet werden die Nummern der Regeln, die vr der Regel und nach der Regel definiert wurden, berücksichtigt. Dabei kann das Ergebnis vn dem gewünschten Ergebnis abweichen, daher empfehlen wir, die Nummer immer explizit anzugeben. name <Name> deutet auf den Namen (die Beschreibung) der Regel hin, der in Anführungszeichen aufgeführt ist. Das Tken name kann auch ausgelassen werden. disable kennzeichnet, b die gegebene Regel temprär deaktiviert und inaktiv ist. Das Tken disable ist ptinal, sein Fehlen weist darauf hin, dass die Regel aktiv ist. Bedingung Die Bedingung beschreibt, welche Parameter ein Paket haben muss, damit es vn der Regel bearbeitet werden kann. Eine Bedingung kann aus flgenden Tken bestehen: prt <Prtkll> Prtkll des IP-Pakets. Es werden die Prtklle tcp, udp und icmp unterstützt. Es können auch beliebige Prtkllnummern angegeben werden. Wenn eine Regel Pakete vn unterschiedlichen Prtkllen bearbeiten muss, dann müssen diese durch Kmma getrennt angegeben werden. Anstatt eines Prtklls kann das Schlüsselwrt any angegeben werden, was bedeutet, dass die Bedingung für alle Prtklle gilt. Im Bereich [bradcast] können nur die Werte udp und icmp für den Tken prt angegeben werden. type <Typ> Typ der ICMP-Nachricht. Das Tken darf nur in der Bedingung für das Prtkll ICMP (prt icmp) angegeben werden. Man darf es für andere Prtklle und bei der Wahl aller Prtklle (prt any) nicht verwenden. Im Tken type kann nur ein Typ angegeben werden, der durch einen Cde vn 0 bis 255 repräsentiert wird. Wenn in der Bedingung für das Prtkll ICMP das Tken type nicht angegeben wurde, dann wird diese Bedingung für beliebige Typen der ICMP-Nachrichten angewendet. Hinweis. Das Tken type muss unbedingt angegeben werden, wenn in der Bedingung für das Prtkll ICMP das Tken cde angegeben wurde (s. unten). cde <Cde> Cde der ICMP-Nachricht. Das Tken darf nur in der Bedingung für das Prtkll ICMP (prt icmp) angegeben werden. Man darf es für andere Prtklle und bei der Wahl aller Prtklle (prt any) nicht verwenden. Im Tken kann nur ein Cde angegeben werden, der durch eine Zahl vn 0 bis 255 repräsentiert wird. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 62

63 Wenn in der Bedingung für das Prtkll ICMP das Tken cde nicht angegeben wurde, dann wird diese Bedingung für alle Cdes der ICMP-Nachrichten angewendet. frm <Liste der Adressen> beschreibt Bedingungen für die Adresse und die Prtnummer des Absenders. Die IP-Adresse und der Prt werden durch einen Dppelpunkt getrennt, z.b.: :22. Wenn keine Prtnummer angegeben wird, flgt der Adresse kein Dppelpunkt. Die Bedingung wird dann für alle Prtnummern angewendet. Hinweis. Für das Prtkll icmp (prt icmp) darf keine Prtnummer angegeben werden, auch wenn die Werte aller Prts definiert werden (prt any). Auch IP-Adressen Bereiche der Subnetzmasken können definiert werden, z.b.: :22 der /24:22. Die Angabe der Prtbereiche ist ebenfalls zugelassen, z.b /24: Mehrere IP- Adressen und Prts können kmbiniert und durch Kmma getrennt angegeben werden, z.b.: :22, :25. Aus den Adressen, Prts, Bereichen und Subnetzmasken können Gruppen gebildet werden, welche in runde Klammern eingeschlssen und durch Kmma getrennt werden. S können mehrere IP-Adressen Bereiche der Subnetzmasken mit einem Prtbereich definiert werden, hne ihn mehrmals anzugeben. Zum Beispiel bedeutet die Zeile ( /24, /24): , dass Pakete vn allen IP-Adressen in den Netzwerken /24 und /24, bei denen die Prtnummer des Absenders im Bereich vn 1024 bis liegt. Kmplexere Frmen mit gleichzeitiger Gruppierung der Adressen und Prtnummern und Aufzählung der Gruppen sind ebenfalls möglich. Zum Beispiel hat die Zeile ( /24, /24):(22,25, ), /8: flgende Bedeutung: Pakete vn allen IP-Adressen in den Netzwerken /24 und /24, bei denen die Prtnummer des Absenders 22 der 25 entspricht, der im Bereich vn 6660 bis 6667 liegt, swie Pakete vn IP-Adressen im Netzwerk /8, bei denen die Prtnummer des Absenders im Bereich vn 1024 bis liegt. t <Liste der Adressen> beschreibt Bedingungen für die Adresse und Prtnummer des Empfängers. Die Syntax des Tkens ist die gleiche wie die Syntax des Tkens frm. Im Bereich [bradcast] des Tkens t können nur flgende Adressen angegeben werden: bradcast die Adresse ; ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 63

64 directed-bradcast Bradcast-Adressen aller Subnetze, die mit den Netzwerkadaptern des Netzwerkkntens verbunden sind. Wenn die Regel in den Treiber geladen wird, wird der Wert durch die Liste der entsprechenden Bradcast-Adressen ersetzt; Bradcast-Adressen aller Subnetze, die mit den Netzwerkadaptern des Netzwerkkntens verbunden sind. Die Angabe einer knkreten Bradcast-Adresse wirkt sich auf die ausgerichteten Bradcast-Pakete aus, die in die Subnetze gesendet werden. in der ut Verbindungsrichtung. Diese Angabe bezieht sich nicht auf die Paketrichtung, sndern auf die Richtung des Verbindungsaufbaus. ViPNet überwacht, zu welchen Verbindungen einzelne Pakete gehören, und blckiert diese der lässt sie entsprechend den Regeln durch. Wenn zum Beispiel im Bereich [lcal] die Bedingung prt tcp frm t anyip ut definiert wurde, dann wird sie für alle lkalen Pakete angewendet, die zu Verbindungen gehören, die vn der IP-Adresse initiiert wurden, d.h. die vn dieser Adresse an entfernte Knten gesendeten Pakete swie entsprechende Antwrtpakete. Wenn jedch ein Netzwerkknten versucht, eine Verbindung zur Adresse herzustellen, dann fallen alle Pakete, die zu dieser Verbindung gehören, nicht unter diese Bedingung. Für das Prtkll TCP werden die Verbindungen immer überwacht. Für das verbindungslse Prtkll UDP wird ebenfalls versucht, die in den meisten Fällen hergestellte virtuelle Verbindung zwischen Anwendungen, die UDP verwenden, zu überwachen. Es wird zum Beispiel die flgende Bedingung definiert: prt udp frm t anyip:53 ut Sbald ein Netzwerkknten mit der Adresse ein UDP-Paket an den Prt 53 eines anderen Netzwerkkntens sendet, wird autmatisch eine virtuelle Verbindung hergestellt. Wenn nach einer kurzen Zeit eine Antwrt auf den Prt kmmt, vn dem das erste Paket gesendet wurde, dann gehört diese Antwrt der Bedingung nach zur hergestellten virtuellen Verbindung. Virtuelle Verbindungen werden getrennt, wenn keine Datenübertragung innerhalb eines für das gegebene Prtkll definierten Zeitintervalls stattfindet. Wenn Anwendungen für den Datenaustausch per UDP-Prtkll unterschiedliche Prtnummern für das Senden und Empfangen verwenden, kann die virtuelle Verbindung nicht überwacht werden. In diesem Fall müssen die Tken in der ut als die der Verbindungsrichtung entsprechenden Werte betrachtet werden. Die Tken prt, frm und t müssen unbedingt in der Bedingung angegeben werden. Wenn die Parameter unwichtig sind, sllte man any (im Tken prt) der anyip (in Tkens frm und t) angeben. Die Verbindungsrichtung ist ptinal, dabei wird angenmmen, dass Verbindungen, die in beide Richtungen hergestellt werden, der Bedingung entsprechen. Die Tken type und cde in der Bedingung für das Prtkll ICMP sind ptinal. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 64

65 Mit Hilfe der Tkens frm und t können Sie flgende Schlüsselwörter statt Adressen und ihren Bereichen angegeben: anyip alle Adressen (im Bereich ); bradcast die Adresse internet den Bereich anyip mit Ausnahme der drei privaten IP-Adressbereiche: Beispiele für vllständige Bedingungen: prt any frm anyip t :22 in prt tcp,udp frm anyip:53 t /16, /24 prt tcp frm t ( /16, /24):(22,25) ut prt icmp type 8 cde 0 frm anyip t anyip Besnderheiten der Bedingungen in den Filterregeln für getunnelte Pakete Für Filterregeln getunnelter Pakete aus dem Bereich [tunnel] werden Bedingungen unter der Berücksichtigung flgender Besnderheiten angegeben: In einem der Tken frm und t muss eine Liste der Adressen vn getunnelten Ressurcen und im anderen eine Liste der IDs vn geschützten Netzwerkknten, die mit getunnelten Ressurcen interagieren, angegeben werden. Eine Liste der IDs wird nach gleichen Regeln wie eine Liste der Adressen erstellt. Zum Beispiel: 0x10e10000/16:(22,25). Für die Angabe aller IDs wird das Schlüsselwrt anyid verwendet. Statt der Schlüsselwörter anyid und anyip kann das Schlüsselwrt any (auch mit Prtnummern) verwendet werden. Wenn in einem der Tken frm der t das Schlüsselwrt any angegeben wird, dann muss any auch im anderen Tken verwendet werden, snst ist die Bedingung falsch definiert. Diese Schreibweise ersetzt zwei Regeln: die erste Regel, in der im Tken frm das Schlüsselwrt anyip und im Tken t das Schlüsselwrt anyid stehen, und die zweite Regel, in der im Tken frm das Schlüsselwrt anyid und im Tken t das Schlüsselwrt anyip stehen. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 65

66 Aktin Eine Aktin beschreibt, was mit einem Paket, das die Bedingung erfüllt, passieren sll. Für die Angabe einer Aktin kann einer vn zwei Tken verwendet werden: pass das Paket muss erlaubt werden. drp das Paket muss blckiert werden. Zeit Es kann festgelegt werden, b eine Regel immer der nur zu einer bestimmten Zeit gilt. Wenn keine Zeitangaben gemacht werden, gilt die Regel stets. Mit dem Parameter time können beliebige Zeitfenster für die Gültigkeit einer Regel definiert werden. Nach time können mehrere Zeitfenster definiert werden, welche durch Kmma getrennt werden. time <Status>,<Regelmäßigkeit>,<Zeitintervall> Status kann eine der flgenden Werte haben: n die Regel ist für definierte Zeitabschnitte aktiviert, für die restliche Zeit ist sie deaktiviert; ff die Regel ist für definierte Zeitabschnitte deaktiviert, für die restliche Zeit ist sie aktiviert (im Gegensatz zum Wert n); disable die Zeitabschnitte sind auf inaktiv gesetzt und die Regel gilt immer. Regelmäßigkeit kann einen der flgenden Werte haben: daily die Regel gilt täglich. In diesem Fall wird nur ein Zeitfenster definiert, während dessen die Regel gilt (wenn der Status auf n gesetzt ist) der nicht gilt (wenn der Status auf ff gesetzt ist) weekly die Regel gilt wöchentlich. Für jeden Wchentag kann ein Zeitfenster definiert werden, während dessen die Regel gilt (wenn der Status auf n gesetzt ist) der nicht gilt (wenn der Status auf ff gesetzt ist). Dies ermöglicht z.b. die Berücksichtigung eines Wchenendes. Zeitfenster wird in Abhängigkeit vn der Regelmäßigkeit flgendermaßen definiert: Nach daily wird ein Zeitfenster in Frm hh:mm-hh:mm definiert, in dem hh:mm die Startzeit und HH:MM die Endzeit ist. Die Startzeit gehört zum Zeitfenster, die Endzeit nicht. Es können vn 0 bis 59 Minuten und vn 0 bis 24 Stunden angegeben werden. Wenn die ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 66

67 Stundenanzahl 24 beträgt, können die Minuten nur auf 00 gesetzt werden, diese Zeit bedeutet dann 0 Uhr des nächsten Tages. Nach weekly können mehrere Zeitfenster definiert werden. Jeder Wchentag wird auf Englisch mit den ersten drei Buchstaben gekennzeichnet (mn, tue, wed, thu, fri, sat, sun), danach flgt ein Gleichheitszeichen = und das Zeitfenster für den ausgewählten Wchentag im gleichen Frmat wie für daily, z. B.: mn=9:00-18:00. Wenn mehrere Tage nacheinander angegeben sind, müssen sie durch Kmma getrennt werden, z.b.: mn=9:00-18:00,tue=10:00-18:00. Für verschiedene Wchentage kann die gleiche Zeit festgelegt werden. Dabei werden die Wchentage durch Dppelpunkt getrennt, z. B.: sat:sun=00:00-24:00. Es ist nicht ntwendig, Zeitfenster für alle Wchentage zu definieren. Wenn für einen Wchentag kein Zeitfenster definiert ist, wird die Regel an diesem Tag deaktiviert, wenn der Status auf n gesetzt ist und aktiviert, wenn der Status auf ff gesetzt ist. Beispiele: time ff,daily,9:00-18:00 time n,weekly,mn:tue:wed:thu:fri=9:00-18:00,sat:sun=00:00-24:00 Standard Filterregeln für unverschlüsselte IP-Pakete Die Knfiguratinsdatei der Firewall wird im Zuge der Installatin vn ViPNet Crdinatr HW/VA autmatisch erstellt. Die Datei enthält einen Pflichtbereich mit standardmäßigen Parametern. Einige dieser Regeln sind deaktiviert, anstatt disable werden für sie Kmmentare zu den entsprechenden Zeilen verwendet. Um die Regel zu aktivieren, ist es ausreichend, den Kmmentar zu löschen. Während der Knfiguratin können die Regeln vm Systemadministratr geändert werden, aber die Standardknfiguratin kann in jedem Pflichtbereich jederzeit wiederhergestellt werden. Dafür sll der Bereich aus der Firewall-Knfiguratinsdatei gelöscht werden. Beim nächsten Start des Steuerungsdaemns wird der fehlende Bereich mit seinen Standardeinstellungen autmatisch zu der Firewall-Knfiguratinsdatei hinzugefügt. Im Bereich [lcal] sind standardmäßig flgende Regeln vrhanden: rule= prt udp frm anyip:67 t anyip:68 pass rule= prt udp frm anyip:68 t anyip:67 pass # rule= prt udp frm anyip:138 t anyip:138 pass rule= prt udp frm anyip t anyip:53 pass rule= prt udp frm anyip t anyip:123 pass ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 67

68 Die ersten zwei regeln lassen die IP-Pakete des DHCP-Dienstes (Prts 67 und 68) durch, welcher für die dynamische Vergabe der IP-Adressen an die Netzwerkknten zuständig ist. Diese Regeln sind aktiviert. Die dritte Regel erlaubt Pakete des NetBIOS-Dienstes (netbis-dgm, Prt 138) durchzulassen. Der NetBIOS-Dienst ist für den Datenaustausch zwischen Netzwerkknten zuständig, wenn im lkalen Netzwerk NetBIOS-Namen verwendet werden. Diese Regel ist deaktiviert (kmmentiert). Die vierte Regel erlaubt ausgehende IP-Pakete auf den Prt 53 der DNS-Server (auf S. 82) durchzulassen. Die fünfte Regel erlaubt die eingehenden Pakete auf Prt 123 des NTP-Servers durchzulassen. Diese Regeln sind aktiviert. Im Bereich [bradcast] sind standardmäßig flgende Regeln vrhanden: rule= prt udp frm anyip:67 t anyip:68 pass rule= prt udp frm anyip:68 t anyip:67 pass # rule= prt udp frm anyip:138 t anyip:138 pass # rule= prt udp frm anyip:137 t anyip:137 pass Die ersten drei Regeln sind die gleichen wie im Bereich [lcal]. Die vierte Regel lässt die Pakete des NetBIOS Dienstes (netbis-ns, Prt 137) durch. Der NetBIOS Dienst ist für die Registrierung und die Überprüfung der NetBIOS Namen der Netzwerkknten im lkalen Netzwerk zuständig. Diese Regel ist deaktiviert (kmmentiert). Im Bereich [tunnel] ist standardmäßig flgende Regel vrhanden: rule= prt any frm any t any pass Diese Regel ist aktiviert und erlaubt den Traffic zwischen allen getunnelten Geräten und geschützten Netzwerkknten, die mit dem ViPNet Crdinatr HW/VA verbunden sind. Diese Regel entspricht den zwei flgenden Regeln für getunnelte Geräte: rule= prt any frm anyid t anyip pass rule= prt any frm anyip t anyid pass ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 68

69 Knfiguratin der Umsetzung der IP-Adressen (NAT) ViPNet Crdinatr HW/VA verfügt über eine NAT-Funktin. Die NAT-Technlgie ermöglicht, die IP-Adressen eines Netzwerks in die IP-Adressen eines andern Netzwerks umzuwandeln. Es werden zwei Arten der Umsetzung unterstützt: Dynamisches NAT der Masquerading (Umsetzung der Absenderadresse). Diese Art vn NAT wird im Regelfall dann verwendet, wenn mehrere Netzwerkknten einzelner Benutzer mit dem Internet verbunden werden sllen. Dabei werden auf dem ViPNet Crdinatr HW/VA die unterschiedlichen IP-Adressen, die einem Netzwerkknten vergeben werden können durch die externe IP-Adresse des ViPNet Crdinatr HW/VA ersetzt. Auf dem Rückweg werden die Pakete mit der aktuellen IP-Adresse des Netzwerkkntens versehen und an diesen weitergeleitet. Hinweis. Die Absenderadressen können ausschließlich in eigene IP-Adressen, die auf dem Adapter angegeben sind, umgesetzt werden. Statisches NAT der Frwarding (Umsetzung der Empfängeradresse). Diese Art vn NAT wird eingesetzt, wenn aus dem Internet der Zugriff auf ein Netzwerkknten im geschützten Netzwerk erflgen sll. Bei den IP-Paketen, welche auf die externe IP-Adresse des ViPNet Crdinatr HW/VA eingehen, wird die Empfängeradresse geändert und die Pakete werden auf den entsprechenden Netzwerkknten weitergeleitet. Die Antwrten werden mit der geänderten IP-Adresse des Versenders zurück gesendet. NAT-Regeln werden in der Firewall-Knfiguratinsdatei im Bereich [nat] knfiguriert. Syntax für Regeln der Adressenübersetzung Die NAT-Regel wird immer an der ersten Stelle angegeben, alle weiteren Teile können beliebige Reihenflge haben. Hinweis. Im Gegensatz zu den Filterregeln kann für die NAT-Regeln keine Zeit definiert werden. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 69

70 NAT-Regel wird identisch mit dem Filter aus den Filterregeln definiert (s. Knfiguratin der Filterregeln für ffene IP-Pakete auf S. 60). Aktin wird durch change deklariert mit den Angaben, was und wdurch ersetzt wird. Je nachdem, b es sich um eine dynamische der statische Umsetzung handelt, haben die Regeln flgende Schreibweise: Bei der dynamischen Umsetzung: change src=<adresse>:dynamic <Adresse> ist die IP-Adresse des externen Netzwerkadapters des ViPNet Crdinatr HW/VA. Zum Beispiel: change src= :dynamic. Bei der statischen Umsetzung: change dst=<adresse>:<prt> <Adresse> und <Prt> sind die IP-Adresse und der Prt des Netzwerkkntens im lkalen Netzwerk. Zum Beispiel: change dst= :8080. Bedingung die NAT-Regel hat die gleiche Schreibweise wie die Bedingung der Filterregel, allerdings mit einigen Abweichungen: Beim dynamischen NAT für prt und t muss anyip angegeben werden. Beim dynamischen NAT definiert frm die IP-Adressen des geschützten Netzwerks, welche umgesetzt werden sllen. Dabei können in frm nur einzelne der mehrere gelistete IP-Adressen, IP-Adressen Bereiche und Masken angegeben werden. Es können keine Prts der Prtbereiche definiert werden. Beim statischen NAT sll frm auf anyip gesetzt werden und bei t sllen die externe IP- Adresse und der Prt des ViPNet Crdinatr HW/VA angegeben werden, auf die die IP- Pakete eingehen, welche der Umsetzung unterliegen. In diesem Fall für t können nur einzelne der mehrere gelistete IP-Adressen und Prts angegeben werden. Keine Adressen- Masken- und Prtbereiche sind zugelassen. Beispiele für NAT-Regeln: Dynamische Umsetzung: rule= num 10 change src= :dynamic prt any frm /24 t anyip Statische Umsetzung: rule= num 100 change dst= :8080 prt tcp frm anyip t :80 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 70

71 Zusammenwirken der Filterung und NAT Nachdem die Umsetzung der IP-Adressen erflgte, werden die IP-Pakete gefiltert. Die Regeln für die Filterung sind in Bereichen [lcal] und [frward] festgelegt. In jedem Paket werden die IP-Adresse des Versenders vr der Filterung und die Adresse des Empfängers nach der Filterung überprüft. Beispiel für dynamische Umsetzung: Ein ViPNet Crdinatr HW/VA mit einem lkalen Netzwerk /24 hat die externe IP- Adresse Die Regel im Bereich [nat] dafür ist: rule= num 10 change src= :dynamic prt tcp frm /24 t anyip Im Bereich [frward], sll flgende Regel definiert werden: rule= num 100 pass prt tcp frm /24 t anyip Wenn die internen Netzwerkknten keine TCP Verbindungen mit der externen IP-Adresse aufbauen sllen, muss im Bereich [frward] flgende Regel hinzugefügt werden: rule= num 90 drp prt tcp frm /24 t In frm wird die IP-Adresse des lkalen Netzwerkkntens vr der Umsetzung angegeben und in t die IP-Adresse des Empfänger-Netzwerkkntens aus dem Internet. Beispiel für statische Umsetzung: Alle IP-Pakete, die auf Prt 80 ankmmen, sllen auf den lkalen Netzwerkknten mit dem Prt 8080 weitergeleitet werden. Die Regel im Bereich [nat] dafür ist: rule= num 10 change dst= :8080 prt tcp frm anyip t :80 Die Filterregel im Bereich [frward] dafür ist: rule= num 100 pass prt tcp frm anyip t :8080 Wenn nun die eingehenden Verbindungen zu diesem lkalen Netzwerkknten vn der externen IP-Adresse blckiert werden sllen, muss [frward] um die flgende Regel ergänzt werden: rule= num 90 drp prt tcp frm t :8080 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 71

72 5 Lgdatei der registrierten IP-Pakete Knfiguratin der Lgdatei der IP-Pakete 73 Lgdatei der registrierten IP-Pakete anzeigen 75 ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 72

73 Knfiguratin der Lgdatei der IP-Pakete Daten über Ereignisse, die in Zusammenhang mit der Verarbeitung vn IP-Paketen durch ViPNet Crdinatr HW/VA-Netzwerkadapter stehen, werden in der Registrierungslgdatei erfasst. Für jeden Netzwerkadapter können das Ausmaß der Detalisierung der registrierten Daten und die maximale Größe der Lgdatei festgelegt werden. Führen Sie die flgenden Schritte aus, um die Parameter der Registrierung vn IP-Paketen, die einen bestimmten Netzwerkadapter passieren, zu knfigurieren: 1 Wechseln Sie in der Befehlszeilenschnittstelle in den Administratrmdus mit Hilfe des Befehls enable. 2 Führen Sie den flgenden Befehl aus, um die Knfiguratinsdatei des Netzwerkadapters zu editieren: iplir cnfig <Adaptername> Hinweis. Benutzen Sie den Befehl inet shw interface, um eine Liste aller Netzwerkadapter anzuzeigen. 3 Geben Sie im Bereich [db] die benötigten Werte für die flgenden Parameter an: maxsize: maximale Größe der Lgdatei in MB. Wenn die Größe der Lgdatei den angegebenen maximal Wert erreicht, beginnt das System, die ältesten Einträge durch neue zu ersetzen. Wenn der Wert dieses Parameters gleich Null ist, dann wird für den betrffenen Netzwerkadapter keine Lgdatei geführt. timediff: Zeitintervall (in Sekunden), innerhalb vn welchem Ereignisse mit gleichen Merkmalen in einem Eintrag der Lgdatei zusammengefasst werden. Vrgegebener Standardwert ist 60 Sekunden. Beispiel: Einträge über durchgelassene verschlüsselte IP-Pakete, bei denen die Adressen und Prts des Absenders und de s Empfängers übereinstimmen, werden zusammengefasst. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 73

74 Wenn der Wert dieses Parameters gleich Null ist, dann wird jedes IP-Paket mit einem eigenen Eintrag der Lgdatei registriert. registerall: Parameter, der die Registrierung aller IP-Pakete aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n: alle IP-Pakete registrieren; ff (Standardwert): nur blckierte IP-Pakete swie Ereignisse, die in Zusammenhang mit Änderungen vn IP-Adressen der ViPNet Netzwerkknten stehen, registrieren; registerbradcast: Parameter, der die Registrierung vn Bradcast-IP-Paketen aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n: Bradcast-Pakete registrieren, ff (Standardwert): Bradcast-Pakete nicht registrieren. registertcpserverprt: Parameter, der die Registrierung des Absenderprts des IP- Pakets bei Verbindungen über das TCP-Prtkll aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n: Absenderprt nicht registrieren. In diesem Fall werden die Einträge der Lgdatei nach dem Empfängerprt gruppiert. ff (Standardwert): Absenderprt registrieren. 4 Drücken Sie die Tastenkmbinatin Strg+O, um die Knfiguratinsdatei zu speichern, und drücken Sie anschließend die Taste Eingabe. 5 Drücken Sie die Tastenkmbinatin Strg+X, um die Datei zu schließen. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 74

75 Lgdatei der registrierten IP-Pakete anzeigen Die Lgdatei der registrierten IP-Pakete enthält Infrmatinen über die unverschlüsselten und verschlüsselten IP-Pakete, die vn ViPNet Crdinatr HW/VA-Netzwerkschutztreiber auf allen Netzwerkadaptern des Cmputers bearbeitet wurden. Die Lgdatei für IP-Pakete enthält nur Angaben zu IP-Paketen und nicht zu Verbindungen. Alle erlaubten Transitpakete werden in der Lgdatei zwei Mal angezeigt als eingehende IP-Pakete eines Netzwerkadapters und als ausgehende IP-Pakete des anderen Netzwerkadapters. Alle erlaubten lkalen IP-Pakete werden nur einmal angezeigt als ein- der ausgehende Pakete eines Netzwerkadapters. Alle blckierten IP-Pakete werden nur einmal angezeigt als blckierte Pakete des Netzwerkadapters, auf dem sie blckiert wurden. Dies betrifft swhl die verschlüsselten als auch die unverschlüsselten IP-Pakete. Die Lgdatei für IP-Pakete kann mit dem Befehl iplir view angesehen werden. Die Einträge können wahlweise nach flgenden Kriterien angezeigt werden: Zeitabschnitt; Netzwerkadapter; IP-Prtkll; Paketrichtung eingehende der ausgehende Pakete; Ereignistyp; IP-Adresse der IP-Adressen Bereich des Absenders der des Empfängers des Pakets; Lkaler Prt der Prtbereich für TCP, UDP; Entfernter Prt der Prtbereich für TCP, UDP; Benutzername des Absenders der des Empfängers aus dem geschützten Netzwerk. Nach Eingabe des Befehls iplir view wird flgendes Fenster angezeigt: ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 75

76 Abbildung 4: Einstellung der Suchparameter in der Lgdatei der registrierten IP-Pakete Standardmäßig wird angenmmen, dass in der lkalen Lgdatei gesucht wird. Wenn in der Lgdatei eines entfernten Netzwerkkntens gesucht werden sll, muss die Optin External Nde aktiviert werden, wbei nach der Aktivierung der Benutzer aufgefrdert wird, das Passwrt des ViPNet Netzwerk Administratrs einzugeben. Wenn das Passwrt krrekt ist, erscheint die Schaltfläche Select rechts vn der Optin External Nde. Diese Schaltfläche öffnet ein Fenster mit der Liste der geschützten Netzwerkknten, in dem der benötigte Netzwerkknten ausgewählt werden kann Um eine Verbindung erflgreich herzustellen, muss der entfernte Netzwerkknten auf der TCP/IP-Ebene verfügbar sein und über ein Steuerungsprgramm verfügen. Wenn keine Verbindung hergestellt werden kann, wird eine entsprechende Meldung angezeigt, und das Prgramm wird beendet. Für die Suche können flgende Parameter angegeben werden: Date/time interval Datum- und Zeitintervall im Frmat DD.ММ.YYYY HH:ММ:SS, um nach während dieses Zeitraums registrierten Einträgen zu suchen. Recrds num Anzahl der angezeigten Ergebnisse. Interface Netzwerkadapter (wird aus der Liste der verfügbaren Netzwerkadapter ausgewählt). Als verfügbar gelten Netzwerkadapter, die eine Lgdatei für IP-Pakete haben. Die Suche wird in der Lgdatei des ausgewählten Netzwerkadapters durchgeführt. Als Parameter kann der Name des Netzwerkadapters der der Wert All für alle Netzwerkadapter ausgewählt werden. Prtcl Parameter für die Suche vn Paketen mit ausgewähltem Prtkll. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 76

77 Als Parameter kann ein bestimmtes Prtkll der der Wert All für alle Prtklle angegeben werden. Directin Richtung des Pakets. Der Parameter kann flgende Werte haben: All eingehende und ausgehende Pakete; Incming eingehende Pakete; Outging ausgehende Pakete. Check reverse Kennzeichnet die Registrierung vn Antwrtpaketen (vm Empfänger an den Absender) in der Lgdatei. Sllte nur dann verwendet werden, wenn eine bestimmte IP-Adresse (IP Filter) der ein Netzwerkknten (Nde Filter) als Absender der Empfänger vn Paketen angegeben werden kann. Flag filter Kennzeichnet die Suche nach Paketen, die einem der mehreren der nachflgenden Parameter entsprechen: Drp blckierte Pakete; Encrypted verschlüsselte Pakete; Bradcast Bradcast-Pakete; NAT umgesetzte Pakete; Frward Transitpakete. Event Kennzeichnet die Suche nach allen Paketen mit einem bestimmten Ereignis. Der Wert wird aus der Liste ausgewählt. Standardmäßig sind alle Ereignisse ausgewählt. IP Filter Öffnet ein Fenster für die Angabe flgender Suchparameter: Surce IP address All, gültiger Adressenbereich der eine gültige IP-Adresse des Absenders; Destinatin IP address All, gültiger Adressenbereich der eine gültige IP-Adresse des Empfängers; Surce prt Prtnummer der Prtbereich ( ) des Absenders für Prtklle TCP und UDP; Destinatin prt Prtnummer der Prtbereich ( ) des Empfängers für Prtklle TCP und UDP; Nde Filter öffnet ein Fenster für die Angabe vn Parametern für den Netzwerkknten des Empfängers und/der des Absenders: Surce und/der Destinatin. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 77

78 Abbildung 5: Angabe vn Parametern für eine Anfrage, die den Netzwerkknten des Empfängers und/der des Absenders berücksichtigt Für die Wahl des Absender- der Empfänger-Netzwerkkntens verwenden Sie die entsprechenden Schaltflächen: Select surce Nde der Select destinatin Nde. Es öffnet sich ein Fenster mit einer Liste vn geschützten Netzwerkknten und Suchfunktin. Abbildung 6: Liste der geschützten Netzwerkknten für die Auswahl des Absenders der Empfängers Das Fenster enthält eine Liste aller geschützten ViPNet Netzwerkknten, die mit dem aktuellen Netzwerkknten verbunden sind. Die Netzwerkknten in der Liste sind in alphabetischer Reihenflge srtiert. Die linke Spalte zeigt die hexadezimale Kennung des ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 78

79 Netzwerkkntens. Zusätzliches Dienstelement All entspricht der Auswahl aller Netzwerkknten. Für die Suche klicken Sie auf die Schaltfläche Search. In einem separaten Fenster können Suchkriterien manuell der durch die Auswahl der früher eingegebenen Kriterien aus der Drpdwnliste festgelegt werden. Als Suchkriterium kann swhl der Name des Netzwerkkntens als auch seine eindeutige Kennung verwendet werden. Bei der Suche nach der eingegebenen Zeichenflge wird swhl der Name als auch die ID des Netzwerkkntens berücksichtigt. Die Schaltfläche Search next wird für die schnelle Suche nach dem nächsten Element der Liste verwendet, das die Suchkriterien erfüllt. Um die Suche mit angegebenen Parametern zu starten klicken Sie auf die Schaltfläche Find im unteren Teil des Hauptfensters (s. Abbildung auf S. 76). Um das Prgramm zu beenden klicken Sie auf die Schaltfläche Exit. Eine Liste vn gefundenen Einträgen wird im Fenster View results (s. Abbildung auf S. 80) angezeigt. Die Einträge sind nach der Registrierungszeit vn Paketen gerdnet. Die Liste besteht aus flgenden Spalten: Datum und Zeit der Paket-Registrierung. Netzwerkadapter, auf dem das Ereignis registriert wurde. Richtung des registrierten Pakets: < ausgehende, > eingehende und das Flag des Ereignisses: C verschlüsseltes Paket; B Bradcast-Paket; D blckiertes Paket; T Transitpaket (rutingfähiges Paket); R das Paket wird nach NAT-Regeln des ffenen Netzwerks umgesetzt; N das Paket wurde nach NAT-Regeln des ffenen Netzwerks umgesetzt. Prtkll. IP-Quelladresse. Lkaler Prt für Prtklle TCP и UDP. IP-Zieladresse. Prt des entfernten Cmputers für Prtklle TCP und UDP. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 79

80 Im unteren Fensterteil werden Infrmatinen über das in der Liste ausgewählte Ereignis angezeigt: Der dem Paket zugewiesene Name des Ereignisses, присвоенного IP-пакету. Prtkll. Paketgröße. Es wird die Gesamtgröße aller zu einem Ereignis gehörenden Pakete angezeigt, wenn der Zähler größer als Eins ist. Für die verschlüsselten Pakete wird ihre Gesamtgröße mit allen Headern angezeigt, die für den Betrieb des geschützten Netzwerks ntwendig sind. Anzahl vn Paketen, die zu einem Ereignis gehören. Netzwerkknten des Absenders. Netzwerkknten des Empfängers. Abbildung 7: Liste der gefundenen Einträge Achtung! Mit der Taste F2 (exprt t file) können auf dem MiniGate keine Lgs in Dateien exprtiert werden. Jedes Ereignis aus der Auflistung kann mit der Taste Enter detailliert angezeigt werden. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 80

81 Abbildung 8: Detaillierte Infrmatin über ein Ereignis Im unteren Teil des Fensters mit Suchergebnissen (s. Abbildung auf S. 80) befinden sich die Felder Ttal In und Ttal Out, welche die Gesamtgröße der ein- und ausgehenden Pakete enthalten. Die Gesamtgröße wird für alle zum Suchergebnis gehörenden Pakete berechnet. Wenn ein Paket keine Infrmatin über seine Größe enthält, wird seine Größe bei der Berechnung der Gesamtgröße nicht berücksichtigt. In diesem Fall wird nach dem Wert der Größe im entsprechenden Feld (Ttal In und/der Ttal Out) ein Sternchen angezeigt. Es bedeutet, dass der Traffic nicht vllständig berücksichtigt wurde. Wenn keiner der Einträge Infrmatinen über die Paketgröße enthält, wird im entsprechenden Feld (Ttal In und/der Ttal Out) der Wert N/A angezeigt. Ein Sternchen wird in diesem Fall nicht angezeigt. Die Maßeinheiten für die Anzeige der Gesamtgröße werden wie flgt gewählt: wenn die Gesamtgröße kleiner als 100 Kilbyte ist, dann wird die Größe in Byte angezeigt und das Suffix B an den Wert angehängt; Wenn die Gesamtgröße größer als 100 Kilbyte und kleiner als 100 Megabyte ist, dann wird die Größe in Kilbyte angezeigt und das Suffix KB an den Wert angehängt; wenn die Gesamtgröße größer als 100 Megabyte ist, dann wird die Größe in Megabyte angezeigt und das Suffix MB an den Wert angehängt. ViPNet Crdinatr HW/VA 3.2. Referenzhandbuch 81

ViPNet Coordinator HW/VA 3.3. Referenzhandbuch

ViPNet Coordinator HW/VA 3.3. Referenzhandbuch ViPNet Crdinatr HW/VA 3.3 Referenzhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

ViPNet Coordinator HW/VA 3.2. Referenzhandbuch

ViPNet Coordinator HW/VA 3.2. Referenzhandbuch ViPNet Crdinatr HW/VA 3.2 Referenzhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

ViPNet Security Gateway 3.1. Referenzhandbuch

ViPNet Security Gateway 3.1. Referenzhandbuch ViPNet Security Gateway 3.1 Referenzhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

Gemeinsame Verwendung von ViPNet VPN und Cisco IP-Telefonie. Anhang zum ViPNet VPN Benutzerhandbuch

Gemeinsame Verwendung von ViPNet VPN und Cisco IP-Telefonie. Anhang zum ViPNet VPN Benutzerhandbuch Gemeinsame Verwendung vn ViPNet VPN und Cisc IP-Telefnie Anhang zum ViPNet VPN Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten

Mehr

Szenarien für den Aufbau eines ViPNet VPN Netzwerks. Anhang zum ViPNet VPN Benutzerhandbuch

Szenarien für den Aufbau eines ViPNet VPN Netzwerks. Anhang zum ViPNet VPN Benutzerhandbuch Szenarien für den Aufbau eines ViPNet VPN Netzwerks Anhang zum ViPNet VPN Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten

Mehr

ViPNet VPN 4.4. Schnellstart

ViPNet VPN 4.4. Schnellstart ViPNet VPN 4.4 Schnellstart Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten

Mehr

ViPNet Coordinator HW/VA 3.2. Failover-System. Administratorhandbuch

ViPNet Coordinator HW/VA 3.2. Failover-System. Administratorhandbuch ViPNet Crdinatr HW/VA 3.2. Failver-System Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum

Mehr

ViPNet Coordinator HW/VA 3.2. Administratorhandbuch

ViPNet Coordinator HW/VA 3.2. Administratorhandbuch ViPNet Crdinatr HW/VA 3.2 Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Crdinatr HW/VA. Für neueste Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

ViPNet Coordinator HW/VA 3.3. Administratorhandbuch

ViPNet Coordinator HW/VA 3.3. Administratorhandbuch ViPNet Crdinatr HW/VA 3.3 Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Crdinatr HW/VA. Für neueste Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

ViPNet ThinClient 3.4. Benutzerhandbuch

ViPNet ThinClient 3.4. Benutzerhandbuch ViPNet ThinClient 3.4 Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

Gängige Szenarien der Administration von ViPNet VPN. Anhang zum Benutzerhandbuch

Gängige Szenarien der Administration von ViPNet VPN. Anhang zum Benutzerhandbuch Gängige Szenarien der Administratin vn ViPNet VPN Anhang zum Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen

Mehr

ViPNet ThinClient 3.4. Administratorhandbuch

ViPNet ThinClient 3.4. Administratorhandbuch ViPNet ThinClient 3.4 Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

Kurzanleitung E-Mail-System

Kurzanleitung E-Mail-System Kurzanleitung E-Mail-System E-Mail mit Outlk abrufen:...2 E-Mail mit Outlk Express abrufen:... 3 Was bedeutet die Fehlermeldung "550 - relay nt permitted"?... 4 Welche Größe darf eine einzelne E-Mail maximal

Mehr

Mac OS X Anleitung für den Endgerätenutzer

Mac OS X Anleitung für den Endgerätenutzer Vdafne Secure Device Manager Mac OS X Anleitung für den Endgerätenutzer Release 3 Juli 2013. Alle Rechte reserviert. Dieses Dkument enthält urheberrechtlich geschütztes Material und vertrauliche Infrmatinen

Mehr

ViPNet VPN 4.4. Benutzerhandbuch

ViPNet VPN 4.4. Benutzerhandbuch ViPNet VPN 4.4 Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten

Mehr

ViPNet Coordinator für Windows 4.3. Administratorhandbuch

ViPNet Coordinator für Windows 4.3. Administratorhandbuch ViPNet Crdinatr für Windws 4.3 Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen

Mehr

Einführung in MindManager Server

Einführung in MindManager Server Einführung in MindManager Server Mindjet Crpratin Service-Htline: +49 (0)6023 9645 0 1160 Battery Street East San Francisc CA 94111 USA Telefn: 415-229-4200 Fax: 415-229-4201 www.mindjet.cm 2014 Mindjet.

Mehr

ViPNet MFTP. Administratorhandbuch

ViPNet MFTP. Administratorhandbuch ViPNet MFTP Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten

Mehr

ViPNet VPN 4.4. Benutzerhandbuch

ViPNet VPN 4.4. Benutzerhandbuch ViPNet VPN 4.4 Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten

Mehr

ViPNet Client für Windows 4.3. Benutzerhandbuch

ViPNet Client für Windows 4.3. Benutzerhandbuch ViPNet Client für Windws 4.3 Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

Nachricht der Kundenbetreuung

Nachricht der Kundenbetreuung BETREFF: Cisc WebEx: Standard-Patch wird am [[DATE]] für [[WEBEXURL]] angewandt Cisc WebEx: Standard-Patch am [[DATE]] Cisc WebEx sendet diese Mitteilung an wichtige Geschäftskntakte unter https://[[webexurl]].

Mehr

Neue Möglichkeiten von ViPNet VPN 4.2. Anhang zum ViPNet VPN Benutzerhandbuch

Neue Möglichkeiten von ViPNet VPN 4.2. Anhang zum ViPNet VPN Benutzerhandbuch Neue Möglichkeiten von ViPNet VPN 4.2 Anhang zum ViPNet VPN Benutzerhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installation und Konfiguration von ViPNet Produkten. Für die neuesten Informationen

Mehr

ADVANTER E-MAIL INTEGRATION

ADVANTER E-MAIL INTEGRATION Allgemeine technische Infrmatinen Die Verbindung zwischen Ihren E-Mail Server Knten und advanter wird über ein dazwischen verbundenes Outlk erflgen. An dem Windws-Client, auf dem in Zukunft die advanter

Mehr

Softwaresystem ViPNet StateWatcher 4.3 zur Überwachung geschützter Netzwerke. Monitoring-Server. Administratorhandbuch

Softwaresystem ViPNet StateWatcher 4.3 zur Überwachung geschützter Netzwerke. Monitoring-Server. Administratorhandbuch Sftwaresystem ViPNet StateWatcher 4.3 zur Überwachung geschützter Netzwerke. Mnitring-Server Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn Sftwaresystem

Mehr

Installation der Webakte Rechtsschutz

Installation der Webakte Rechtsschutz Installatin der Webakte Rechtsschutz Kstenfreie zusätzliche Funktin für WinMACS Sankt-Salvatr-Weg 7 91207 Lauf Tel. 09123/18 30-0 Fax 09123/18 30-183 inf@rummel-ag.de www.rummel-ag.de Inhaltsverzeichnis

Mehr

ViPNet Coordinator Linux. Administratorhandbuch

ViPNet Coordinator Linux. Administratorhandbuch ViPNet Crdinatr Linux Administratrhandbuch Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Crdinatr Linux. Für neueste Infrmatinen und Hinweise zum aktuellen Sftware-Release

Mehr

Handbuch DigiStore24 für Contao Version 1.0

Handbuch DigiStore24 für Contao Version 1.0 Handbuch DigiStre24 für Cnta Versin 1.0 1. Knfiguratin 2. Prdukte 3. Kundenübersicht 4. API-Abfrage 5. DigiStre-Lg Allgemeines Die Vielen-Dank Seite die bei jedem Prdukt im DigiStre anzugeben ist, kann

Mehr

Android Anleitung für den Endgerätenutzer

Android Anleitung für den Endgerätenutzer Vdafne Secure Device Manager Andrid Anleitung für den Endgerätenutzer Release 3 Juli 2013. Alle Rechte reserviert. Dieses Dkument enthält urheberrechtlich geschütztes Material und vertrauliche Infrmatinen

Mehr

ToshibaEdit - Software zum Bearbeiten von TV-Kanallisten für PC

ToshibaEdit - Software zum Bearbeiten von TV-Kanallisten für PC TshibaEdit - Sftware zum Bearbeiten vn TV-Kanallisten für PC Inhalt: 1. Bevr Sie starten 2. Installatin 3. Kpieren Ihrer TV Kanalliste auf einen USB-Stick 4. Laden und bearbeiten vn TV Kanälen mit TshibaEdit

Mehr

Installationsanweisungen für Microsoft SharePoint 2013

Installationsanweisungen für Microsoft SharePoint 2013 Installatinsanweisungen für Micrsft SharePint 2013 Mindjet Crpratin Service-Htline: +49 (0)6023 9645 0 1160 Battery Street East San Francisc CA 94111 USA Telefn: 415-229-4200 Fax: 415-229-4201 www.mindjet.cm

Mehr

Setup WebCardManagement

Setup WebCardManagement Setup WebCardManagement Versin: 1.1 Datum: 29 January 2014 Autr: Stefan Strbl ANA-U GmbH 2014 Alle Rechte vrbehalten. Über den urheberrechtlich vrgesehenen Rahmen hinausgehende Vervielfältigung, Bearbeitung

Mehr

KUNDENINFORMATION ZU SICHERHEITSRELEVANTER MASSNAHME IM FELD: HAEMONETICS TEG -ANALYSESOFTWARE

KUNDENINFORMATION ZU SICHERHEITSRELEVANTER MASSNAHME IM FELD: HAEMONETICS TEG -ANALYSESOFTWARE KUNDENINFORMATION ZU SICHERHEITSRELEVANTER MASSNAHME IM FELD: HAEMONETICS TEG -ANALYSESOFTWARE 24 Oktber 2012 Sehr geehrte Kundin, sehr geehrter Kunde, (Mail-Zusammenführung mit Oracle-Datenbank) mit diesem

Mehr

App Orchestration 2.5 Setup Checklist

App Orchestration 2.5 Setup Checklist App Orchestratin 2.5 Setup Checklist Bekannte Prbleme in App Orchestratin 2.5 Vrbereitet vn: Jenny Berger Letzte Aktualisierung: 22. August 2014 2014 Citrix Systems, Inc. Alle Rechte vrbehalten. Bekannte

Mehr

Diese Dokument soll Ihnen helfen, Ihre Software für die Verwendung unserer Webdienste zu konfigurieren.

Diese Dokument soll Ihnen helfen, Ihre Software für die Verwendung unserer Webdienste zu konfigurieren. Knfiguratinshilfe Diese Dkument sll Ihnen helfen, Ihre Sftware für die Verwendung unserer Webdienste zu knfigurieren. MailAdmin Mit dem Webtl Mailadmin können Sie Ihre Emailknten verwalten. Hier können

Mehr

Systemvoraussetzungen

Systemvoraussetzungen Systemvraussetzungen BETRIEBSSYSTEME Windws 2000 und Windws Server 2000 (ab Servicepack 4 - nur nch unter Vrbehalt, da Micrsft den Supprt hierfür zum 13.07.2010 eingestellt hat) Windws XP Windws Vista

Mehr

ViPNet ThinClient 3.3

ViPNet ThinClient 3.3 ViPNet Client 4.1. Быстрый старт ViPNet ThinClient 3.3 Schnellstart ViPNet ThinClient ist ein erweiterter Client, der Schutz für Terminalsitzungen gewährleistet. ViPNet ThinClient erlaubt einen geschützten

Mehr

1KONFIGURATION VON WIRELESS LAN MIT WPA PSK

1KONFIGURATION VON WIRELESS LAN MIT WPA PSK 1KONFIGURATION VON WIRELESS LAN MIT WPA PSK Copyright 26. August 2005 Funkwerk Enterprise Communications GmbH bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

Shavlik Patch for Microsoft System Center

Shavlik Patch for Microsoft System Center Shavlik Patch fr Micrsft System Center Benutzerhandbuch Zur Verwendung mit Micrsft System Center Cnfiguratin Manager 2012 Cpyright- und Markenhinweise Cpyright Cpyright 2014 Shavlik. Alle Rechte vrbehalten.

Mehr

MACHMIT BRUCHSAL. Organisation Einführung. Grundlagen für Organisationen

MACHMIT BRUCHSAL. Organisation Einführung. Grundlagen für Organisationen MACHMIT BRUCHSAL Organisatin Einführung Grundlagen für Organisatinen 2011 egghead Medien GmbH INHALT EINLEITUNG... 4 Lernziele... 4 Oberfläche... 4 Vraussetzungen... 5 Weitere Infrmatinen... 5 BÖRSE KENNENLERNEN...

Mehr

Einrichtungsanleitung MRT150N & fixed.ip+

Einrichtungsanleitung MRT150N & fixed.ip+ Einrichtungsanleitung MRT150N & fixed.ip+ (Stand: 2 Juli 2013) Mini-VPN-Router MRT150N Diese Anleitung steht auch im mdex Support Wiki als PDF-Datei zum Download bereit: https://wiki.mdex.de/ mdexanleitungen

Mehr

Auf unserer Homepage (ASSA ABLOY Schweiz) können Sie die aktuelle Dokumentation und Software downloaden.

Auf unserer Homepage (ASSA ABLOY Schweiz) können Sie die aktuelle Dokumentation und Software downloaden. FAQ K-Entry - W finde ich aktuelle KESO Sftware zum Dwnlad? Auf unserer Hmepage (ASSA ABLOY Schweiz) können Sie die aktuelle Dkumentatin und Sftware dwnladen. Unter http://www.kes.cm/de/site/keso/dwnlads/sftware/

Mehr

Business Voice SIP Leistungsbeschreibung

Business Voice SIP Leistungsbeschreibung Business Vice SIP Leistungsbeschreibung Stand: Jänner 2015 1. Einleitung 2. Beschreibung 3. Features 4. Endgeräte 5. Vraussetzungen für den Betrieb 6. Sicherheit 7. Knfiguratin 8. Mindestvertragsbindung

Mehr

Achtung: Führen Sie die Installation nicht aus, wenn die aufgeführten Voraussetzungen nicht erfüllt sind.

Achtung: Führen Sie die Installation nicht aus, wenn die aufgeführten Voraussetzungen nicht erfüllt sind. IInsttallllattiinslleiittffaden EGVP Cllassiic Dieses Dkument beschreibt die Installatin der EGVP-Sftware auf Ihrem Arbeitsplatz. Detaillierte Infrmatinen finden Sie bei Bedarf in der Anwenderdkumentatin.

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

1KONFIGURATION EINER DMZ

1KONFIGURATION EINER DMZ 1KONFIGURATION EINER DMZ Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

Vereins- und Kreis-Homepages auf der TTVSA-Sharepoint-Plattform

Vereins- und Kreis-Homepages auf der TTVSA-Sharepoint-Plattform Vereins- und Kreis-Hmepages auf der TTVSA-Sharepint-Plattfrm Einleitung Die TTVSA-Hmepage läuft bereits seit einiger Zeit auf einer Sharepint-Plattfrm. Da dieses System sich bewährt hat und die bisherigen

Mehr

Kaspersky Endpoint Security 10 Maintenance Release 1 für Windows. Build 10.2.1.23, 12.12.2013

Kaspersky Endpoint Security 10 Maintenance Release 1 für Windows. Build 10.2.1.23, 12.12.2013 Kaspersky Endpint Security 10 Maintenance Release 1 für Windws Build 10.2.1.23, 12.12.2013 Kaspersky Endpint Security 10 für Windws (im Flgenden auch "Prgramm" der "Kaspersky Endpint Security" genannt)

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Leistungsbeschreibung Infinigate Direct Support

Leistungsbeschreibung Infinigate Direct Support Leistungsbeschreibung Infinigate Direct Supprt Infinigate Deutschland GmbH Grünwalder Weg 34 D-82041 Oberhaching/München Telefn: 089 / 89048 400 Fax: 089 / 89048-477 E-Mail: supprt@infinigate.de Internet:

Mehr

Einrichtungsanleitung für E-Mailkonten Freemail@Kalbsiedlung.de

Einrichtungsanleitung für E-Mailkonten Freemail@Kalbsiedlung.de Inhaltsverzeichnis 1. Einleitung...2 2. Einrichtung vn E-Mail-Clients...2 2.1 Outlk Express Knfiguratin (POP3 der IMAP)... 2 2.3 Outlk 2003 Knfiguratin (POP3 / IMAP)... 6 2.4 Thunderbird Knfiguratin (POP3

Mehr

Datenschutz- und Nutzungsbestimmungen zur mobilen Anwendung Meine EGK

Datenschutz- und Nutzungsbestimmungen zur mobilen Anwendung Meine EGK Datenschutz- und Nutzungsbestimmungen zur mbilen Anwendung Meine EGK (EGK-App) Versin 1.1 vm 31.07.2013 Wir bedanken uns für Ihr Interesse an der mbilen Anwendung Meine EGK und freuen uns, dass Sie diese

Mehr

Advanced und Customized Net Conference powered by Cisco WebEx Technology

Advanced und Customized Net Conference powered by Cisco WebEx Technology Benutzerhandbuch: Advanced und Custmized Net Cnference pwered by Cisc WebEx Technlgy Prductivity Tls BENUTZERHANDBUCH Verizn Net Cnferencing h l M ti C t Advanced und Custmized Net Cnference pwered by

Mehr

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0. 1KONFIGURATION VON NETWORK ADDRESS TRANSLATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

Inhalt 1 Inbetriebnahme 2 Erläuterungen zum Gateway 3 Bedienung der App 4 Hinweise zur Fehlerbehebung. 1 - Inbetriebnahme. 1.1 - Gateway anschließen

Inhalt 1 Inbetriebnahme 2 Erläuterungen zum Gateway 3 Bedienung der App 4 Hinweise zur Fehlerbehebung. 1 - Inbetriebnahme. 1.1 - Gateway anschließen Inhalt 1 Inbetriebnahme 2 Erläuterungen zum Gateway 3 Bedienung der App 4 Hinweise zur Fehlerbehebung 1 - Inbetriebnahme Nachdem Sie die WeatherHub App von TFA Dostmann aus dem Apple App Store oder dem

Mehr

Das Netzwerk einrichten

Das Netzwerk einrichten Das Netzwerk einrichten Für viele Dienste auf dem ipad wird eine Internet-Verbindung benötigt. Um diese nutzen zu können, müssen Sie je nach Modell des ipads die Verbindung über ein lokales Wi-Fi-Netzwerk

Mehr

Schnellstart-Anleitung - Deutsch. ServerView Schnellstart-Anleitung

Schnellstart-Anleitung - Deutsch. ServerView Schnellstart-Anleitung Schnellstart-Anleitung - Deutsch ServerView Schnellstart-Anleitung Ausgabe Juli 2014 Kritik...Anregungen...Krrekturen... Die Redaktin ist interessiert an Ihren Kmmentaren zu diesem Handbuch. Ihre Rückmeldungen

Mehr

Bitrix24 Self-hosted Version Technische Anforderungen

Bitrix24 Self-hosted Version Technische Anforderungen Bitrix24 Self-hsted Versin Technische Anfrderungen Bitrix24 Self-hsted Versin: Technische Anfrderungen Bitrix24 ist eine sichere, schlüsselfertige Intranet-Lösung für kleine und mittlere Unternehmen, die

Mehr

LOGDAT MOBILE ANDROID APP FÜR FERANABLESEUNG UND DATENERFASSUNG UND MESSHAUBENSTATIV FÜR VOLUMENSTROMMESSHAUBE PH731 PROHOOD CAPTURE HOOD

LOGDAT MOBILE ANDROID APP FÜR FERANABLESEUNG UND DATENERFASSUNG UND MESSHAUBENSTATIV FÜR VOLUMENSTROMMESSHAUBE PH731 PROHOOD CAPTURE HOOD LOGDAT MOBILE ANDROID APP FÜR FERANABLESEUNG UND DATENERFASSUNG UND MESSHAUBENSTATIV FÜR VOLUMENSTROMMESSHAUBE PH731 PROHOOD CAPTURE HOOD APPLICATION NOTE AF-157 (A4-DE) LgDat Mbile Andrid-App zur Remte-Abfrage

Mehr

A U S G A N G S R E C H N U N G S - P R O G R A M M

A U S G A N G S R E C H N U N G S - P R O G R A M M A U S G A N G S R E C H N U N G S - P R O G R A M M Prgrammname: Ausgangsrechnungsprgramm Dkumentname: Handbuch Versin / vm: V3 27.04.2009 Erstellt vn: Mag. Gabriela Lreth Geändert vn: Bettina Niederleitner

Mehr

6.8.3.8 Übung - Konfiguration eines WLAN-Routers in Windows 7

6.8.3.8 Übung - Konfiguration eines WLAN-Routers in Windows 7 IT Essentials 5.0 6.8.3.8 Übung - Konfiguration eines WLAN-Routers in Windows 7 Einführung Drucken Sie die Übung aus und führen Sie sie durch. In dieser Übung werden Sie WLAN-Einstellungen auf dem Linksys

Mehr

FUJITSU Software ServerView Suite ServerView PrimeCollect

FUJITSU Software ServerView Suite ServerView PrimeCollect Benutzerhandbuch - Deutsch FUJITSU Sftware ServerView Suite ServerView PrimeCllect Ausgabe Februar 2015 Kritik...Anregungen...Krrekturen... Die Redaktin ist interessiert an Ihren Kmmentaren zu diesem Handbuch.

Mehr

Kapitel 5 Excel VII. Tabellen drucken

Kapitel 5 Excel VII. Tabellen drucken 1.0 Mit der Seitenansicht arbeiten Bevr Sie eine Exceltabelle ausdrucken, sllten Sie mit der Seitenansicht die auszudruckende Seite und deren Frmat kntrllieren. In der Seitenansicht wird Ihnen angezeigt,

Mehr

Benutzungsanleitung für die DVD Wenn mir die Worte fehlen

Benutzungsanleitung für die DVD Wenn mir die Worte fehlen Wenn mir die Wrte fehlen DVD 3. Versin Seite 1/10 Benutzungsanleitung für die DVD Wenn mir die Wrte fehlen Inhalt Prgrammstart Seite 1 Startseite Seite 1 Benutzungsanleitung Seite 1 Standard Mdus Seite

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

bintec Workshop Konfiguration von Wireless LAN mit WDS Link Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.

bintec Workshop Konfiguration von Wireless LAN mit WDS Link Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0. bintec Workshop Konfiguration von Wireless LAN mit WDS Link Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

App Orchestration 2.5

App Orchestration 2.5 App Orchestratin 2.5 App Orchestratin 2.5 Terminlgie Letzte Aktualisierung: 22. August 2014 Seite 1 2014 Citrix Systems, Inc. Alle Rechte vrbehalten. Terminlgie Inhalt Elemente vn App Orchestratin... 3

Mehr

Avaya Unified Communications-Lösung für kleine Unternehmen

Avaya Unified Communications-Lösung für kleine Unternehmen Avaya Unified Cmmunicatins-Lösung für kleine Unternehmen 15-602858 IND3963GE Versin 1 Ausgabe 1 Februar 2008 2008 Avaya Inc. Alle Rechte vrbehalten. Hinweis Die Infrmatinen in diesem Dkument wurden vr

Mehr

Kunden-Nr.: Kd-Nr. eintragen. Vertrags-Nr.: Vertrags-Nr. eintragen

Kunden-Nr.: Kd-Nr. eintragen. Vertrags-Nr.: Vertrags-Nr. eintragen Anlage Versin: 2.0 Leistungsbeschreibung E-Mail- und Telefn-Supprt zwischen (Auftraggeber) und secunet Security Netwrks AG Krnprinzenstraße 30 45128 Essen (secunet der Auftragnehmer) Kunden-Nr.: Kd-Nr.

Mehr

4-441-095-42 (1) Network Camera

4-441-095-42 (1) Network Camera 4-441-095-42 (1) Network Camera SNC easy IP setup-anleitung Software-Version 1.0 Lesen Sie diese Anleitung vor Inbetriebnahme des Geräts bitte genau durch und bewahren Sie sie zum späteren Nachschlagen

Mehr

Datensicherung und Wiederherstellung von virtuellen Umgebungen

Datensicherung und Wiederherstellung von virtuellen Umgebungen Datensicherung und Wiederherstellung vn virtuellen Umgebungen Wie werden virtuelle Maschinen gesichert und wieder hergestellt Inhalt Vraussetzungen...2 Allgemein - Datensicherungen Typ Vllsicherung...2

Mehr

Benutzerhandbuch bintec R230a / R230aw / R232b / R232bw Gateway Management

Benutzerhandbuch bintec R230a / R230aw / R232b / R232bw Gateway Management Benutzerhandbuch bintec R230a / R230aw / R232b / R232bw Gateway Management Copyright 26. April 2006 Funkwerk Enterprise Communications GmbH Version 2.0 Ziel und Zweck Haftung Marken Copyright Richtlinien

Mehr

bintec Workshop Konfiguration von DynDNS Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Konfiguration von DynDNS Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Konfiguration von DynDNS Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

MwSt. Luxemburg ab 01/2015 Stand: 28. November 2014

MwSt. Luxemburg ab 01/2015 Stand: 28. November 2014 MwSt. Luxemburg ab 01/2015 Stand: 28. Nvember 2014 Inhalt 1. Vrwrt... 2 2. Vraussetzungen... 2 3. Wer ist betrffen?... 2 4. Umstellung der neuen MwSt.-Cdes... 2 5. Umstellung im Detail... 4 6. Beispiele...

Mehr

Service Level Agreement (SLA) für OS4X Suite der c-works GmbH

Service Level Agreement (SLA) für OS4X Suite der c-works GmbH Seite 1 vn 6 Service Level Agreement (SLA) für OS4X Suite der Datum des Inkrafttretens: 19-10-2011 Dkument-Eigentümer: Versin Versin Datum Beschreibung Autr 1.0 10.10.2011 Service Level Agreement H. Latzk

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

ZESy Zeiterfassungssystem. Webbasiertes Zeitmanagement

ZESy Zeiterfassungssystem. Webbasiertes Zeitmanagement ZESy Zeiterfassungssystem Webbasiertes Zeitmanagement Inhaltsverzeichnis Systembeschreibung ZESy Basic Zeiterfassung Webclient ZESy Premium Tagesarbeitszeitpläne Schichtplanung Smartphne Zutrittskntrlle

Mehr

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.

Mehr

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen:

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen: Default Gateway: 172.16.22.254 Ein häufiger Fehler in den Konfigurationen liegt darin, dass der Netzanteil des Default Gateway nicht mit dem Netzanteil der IP-Adresse des Rechners übereinstimmt. 4.4 DHCP-Service

Mehr

progecad NLM Benutzerhandbuch

progecad NLM Benutzerhandbuch progecad NLM Benutzerhandbuch Rel. 10.2 Inhaltsverzeichnis Inhaltsverzeichnis...2 Einführung...3 Wie Sie beginnen...3 Installieren des progecad NLM-Servers...3 Registrieren des progecad NLM-Servers...3

Mehr

S Y S T E M V O R A U S S E T Z U N G E N

S Y S T E M V O R A U S S E T Z U N G E N Infnea S Y S T EMVORAU S S E T Z U N GE N Impressum Urheberrechte Cpyright Cmma Sft AG, Bnn (Deutschland). Alle Rechte vrbehalten. Text, Bilder, Grafiken swie deren Anrdnung in dieser Dkumentatin unterliegen

Mehr

Browser in the Box Bedienungsanleitung. Eine virtuelle Surfumgebung für Behörden, Unternehmen und Privatanwender

Browser in the Box Bedienungsanleitung. Eine virtuelle Surfumgebung für Behörden, Unternehmen und Privatanwender Brwser in the Bx Bedienungsanleitung Eine virtuelle Surfumgebung für Behörden, Unternehmen und Privatanwender Cpyright Ntice 2014 by Sirrix AG security technlgies. All rights reserved. This dcument is

Mehr

AppStore: Durchsuchen Sie den Apple AppStore nach Mitel MC und installieren Sie die Software. Die Mitel MC Software ist kostenlos verfügbar.

AppStore: Durchsuchen Sie den Apple AppStore nach Mitel MC und installieren Sie die Software. Die Mitel MC Software ist kostenlos verfügbar. QUICK REFERENCE GUIDE MITEL MC FÜR IPHONE IN FUNKTIONSÜBERSICHT Der Aastra Mbile Client AMC für iphne (im Flgenden Client ) macht eine Reihe vn Kmmunikatinsdiensten verfügbar, für die Sie nrmalerweise

Mehr

Microsoft Internet Security & Acceleration Server 2000 Enterprise Edition - Leitfaden zur Installation und Bereitstellung

Microsoft Internet Security & Acceleration Server 2000 Enterprise Edition - Leitfaden zur Installation und Bereitstellung Micrsft Internet Security & Acceleratin Server 2000 Enterprise Editin - Leitfaden zur Installatin und Bereitstellung (Engl. Originaltitel: Micrsft Internet Security and Acceleratin Server 2000 Enterprise

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Systembeschreibung. Masterplan Auftragscenter. ASEKO GmbH. Version 1.0 Status: Final

Systembeschreibung. Masterplan Auftragscenter. ASEKO GmbH. Version 1.0 Status: Final Systembeschreibung Masterplan Auftragscenter ASEKO GmbH Versin 1.0 Status: Final 0 Inhaltsverzeichnis 1 Masterplan Auftragscenter V2.0... 2 1.1 Allgemeines... 2 1.2 Single-Sign-On... 2 1.2.1 Stammdatenverwaltung...

Mehr

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160 HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160 [Voraussetzungen] 1. DWS-4026/3160 mit aktueller Firmware - DWS-4026/ 3160 mit Firmware (FW) 4.1.0.2 und

Mehr

Technicolor TWG870. Betriebsanleitung für Ihr Kabelmodem. Version 2.0

Technicolor TWG870. Betriebsanleitung für Ihr Kabelmodem. Version 2.0 Technicolor TWG870 Betriebsanleitung für Ihr Kabelmodem Version 2.0 Your ambition. Our commitment. Tel. 0800 888 310 upc-cablecom.biz Corporate Network Internet Phone TV 1. Beschreibung Das Kabelmodem

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

S A P S O L U T I O N M A N A G E R. Incident Management

S A P S O L U T I O N M A N A G E R. Incident Management S A P S O L U T I O N M A N A G E R Incident Management Release 7.0 SP 21 Cpyright Cpyright 2009 SAP AG. Alle Rechte vrbehalten. Weitergabe und Vervielfältigung dieser Publikatin der vn Teilen daraus sind,

Mehr

LAN-Zugang für Bewohner der Gästehäuser / LAN Access for visitors of the guest houses

LAN-Zugang für Bewohner der Gästehäuser / LAN Access for visitors of the guest houses LAN-Zugang für Bewhner der Gästehäuser / LAN Access fr visitrs f the guest huses Kurzanleitung für den Anschluss eines PC an das Datennetz des Gästehauses. [English versin see belw.] [Dwnlad der Anleitung

Mehr

Benutzerhandbuch Avigilon Control Center Client

Benutzerhandbuch Avigilon Control Center Client Benutzerhandbuch Avigiln Cntrl Center Client Versin: 4.12 Enterprise PDF-CLIENT-E-F-Rev1_DE Cpyright 2012 Avigiln. Alle Rechte vrbehalten. Die vrliegenden Infrmatinen können hne vrherige Ankündigung geändert

Mehr

bintec Workshop Content Filterung Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Content Filterung Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Content Filterung Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Mobile Security Configurator

Mobile Security Configurator Mobile Security Configurator 970.149 V1.1 2013.06 de Bedienungsanleitung Mobile Security Configurator Inhaltsverzeichnis de 3 Inhaltsverzeichnis 1 Einführung 4 1.1 Merkmale 4 1.2 Installation 4 2 Allgemeine

Mehr

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung 2. Wireless LAN Client zum Access Point mit WPA-TKIP 2.1 Einleitung Im Folgenden wird die Wireless LAN Konfiguration als Access Point beschrieben. Zur Verschlüsselung wird WPA-TKIP verwendet. Im LAN besitzen

Mehr

BackupAssist for Rsync. Zehn Gründe für Backups for Rsync. Vertraulich nur für den internen Gebrauch

BackupAssist for Rsync. Zehn Gründe für Backups for Rsync. Vertraulich nur für den internen Gebrauch fr Rsync Zehn Gründe für Backups fr Rsync Vertraulich nur für den internen Gebrauch Inhaltsverzeichnis Warum Internet Backups? 3 10 Gründe für BackupAssist fr Rsync 3 1. Kstengünstig 3 2. Sicher 4 3. Schneller

Mehr

Software-Installationsanleitung

Software-Installationsanleitung Software-Installationsanleitung In dieser Anleitung wird beschrieben, wie die Software über einen USB- oder Netzwerkanschluss installiert wird. Für die Modelle SP 200/200S/203S/203SF/204SF ist keine Netzwerkverbindung

Mehr