ViPNet Policy Manager 4.3. Administratorhandbuch

Transkript

1 ViPNet Plicy Manager 4.3 Administratrhandbuch

2 Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Prdukten. Für die neuesten Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten Sie in jedem Fall zusätzlich unsere Release Ntes lesen insbesndere, wenn Sie ein Sftware- Upgrade zu einem höheren Release-Stand durchführen. Die aktuellsten Release Ntes sind immer zu finden unter Haftung Der Inhalt dieses Handbuchs wurde mit größter Srgfalt erarbeitet. Die Angaben in Ihrem Handbuch gelten jedch nicht als Zusicherung vn Eigenschaften Ihres Prdukts. Der Hersteller haftet nur im Umfang seiner Verkaufs- und Lieferbedingungen und übernimmt keine Gewähr für technische Ungenauigkeiten und/der Auslassungen. Die Infrmatinen in diesem Handbuch können hne Ankündigung geändert werden. Zusätzliche Infrmatinen, swie Änderungen und Release Ntes für ViPNet Prdukte finden Sie unter Der Hersteller übernimmt keine Verantwrtung für Datenverlust und Schäden, die durch den unsachgemäßen Betrieb des Prdukts entstanden sind. Cpyright Inftecs GmbH, Berlin Versin: DEU Dieses Dkument ist Teil des Sftwarepaketes und unterliegt daher denselben Lizenzbestimmungen wie das Sftwareprdukt. Dieses Dkument der Teile davn dürfen nicht hne die vrherige schriftliche Zustimmung der Inftecs GmbH verändert, kpiert, weitergegeben etc. werden. ViPNet ist ein registriertes Warenzeichen des Sftwareherstellers Inftecs GmbH. Marken Alle genannten Markennamen sind Eigentum der jeweiligen Hersteller. Wie Sie Inftecs erreichen Inftecs GmbH Oberwallstr Berlin Deutschland Tel.: +49 (0) Fax: +49 (0) WWW: supprt@inftecs.de

3 Inhalt Einführung... 7 Über dieses Dkument... 8 Zielgruppe... 8 Verwendete Knventinen... 8 Über ViPNet Plicy Manager... 9 Neu in Versin Systemanfrderungen Anfrderungen an den SQL-Server für die Installatin der Datenbank Kmpatibilität mit ViPNet Sftware Lieferumfang Kntakt FAQ und andere Hilfsinfrmatin Kntakt Kapitel 1. Allgemeines Zentrale Verwaltung vn Netzwerkknten-Sicherheitsrichtlinien: Grundlagen und Prinzipien Möglichkeiten vn ViPNet Plicy Manager Lizenzierung vn ViPNet Plicy Manager Kapitel 2. Installatin, Update und Deinstallatin vn ViPNet Plicy Manager Vrgehensweise bei der Installatin vn ViPNet Plicy Manager Infrmatinen für SQL-Administratr Installatin vn ViPNet Plicy Manager Update vn ViPNet Plicy Manager Deinstallatin vn ViPNet Plicy Manager Kapitel 3. Starten und Beenden des ViPNet Plicy Manager Start des Prgramms Benutzerberfläche des Prgramms Das Prgramm beenden Kapitel 4. Schnellstart Beginn der Arbeit Ändern des Passwrts beim integrierten Benutzerknt Erstellen einer Abteilung... 37

4 Erstellen einer Sicherheitsrichtlinienvrlage Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten der Abteilungen Versenden vn Sicherheitsrichtlinien an Netzwerkknten Anzeige der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Erstellen eines Benutzerknts Kapitel 5. Verwaltung vn Benutzerknten und Benutzerrllen Abgrenzung vn Rechten auf Basis vn Benutzerrllen Verwaltung vn Benutzerknten Erstellen und Ändern vn Benutzerknten Löschen vn Benutzerknten Verwaltung vn Benutzerrllen Erstellen und Ändern vn Benutzerrllen Löschen vn Benutzerrllen Wechsel des Benutzerpasswrts Kapitel 6. Arbeiten mit Netzwerkknten Anzeige der Liste verwalteter Knten Anzeige und Änderung allgemeiner Netzwerkkntenptinen Kapitel 7. Verwaltung vn Abteilungen Rlle der Abteilungen Erstellen einer Abteilung Anzeige und Änderung allgemeiner Abteilungsptinen Hinzufügen vn Netzwerkknten in der Abteilung Einen Netzwerkknten zur Abteilung hinzufügen Mehrere Netzwerkknten zur Abteilung hinzufügen Löschen vn Abteilungen Kapitel 8. Verwaltung vn Sicherheitsrichtlinienvrlagen Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen Arbeiten mit Objektgruppen System-Objektgruppen Erstellen und Ändern vn Objektgruppen Hinzufügen vn Netzwerkknten Hinzufügen vn IP-Adressen und DNS-Namen Hinzufügen des Netzwerkadapter-Identifikatrs Hinzufügen vn Prtkllen Hinzufügen vn Zeitplänen... 77

5 Verschachtelung vn Objektgruppen Erstellen einer Sicherheitsrichtlinienvrlage Anzeigen und Ändern der Netzwerkfilter in der Vrlage Erstellen der Netzwerkfilter Erstellen vn lkalen Filtern des ffenen Netzwerks Erstellen vn Transit-Filtern des ffenen Netzwerks Erstellen vn Filtern für getunnelte Knten Erstellen vn Filtern des privaten Netzwerks Empfehlungen zum Erstellen der Netzwerkfilter Anzeigen und Ändern vn NAT-Regeln in der Vrlage Erstellen und Ändern der NAT-Regeln Kpieren der Sicherheitsrichtlinienvrlage Löschen einer Sicherheitsrichtlinienvrlage Zuweisen vn Vrlagen an Netzwerkknten und Abteilungen Zuweisen der Vrlage an einen Netzwerkknten Zuweisen der Vrlage an mehrere Netzwerkknten Zuweisen der Vrlage an eine Abteilung Zuweisen der Vrlage an mehrere Abteilungen Kapitel 9. Versand vn Sicherheitsrichtlinien an Netzwerkknten Regeln zur Bildung der resultierenden Sicherheitsrichtlinie Versand und Empfang vn Sicherheitsrichtlinien Anwendung der Sicherheitsrichtlinien auf die Netzwerkknten Anzeige der resultierenden Sicherheitsrichtlinie Selektiver Versand der Richtlinie Gruppenversand der Richtlinie Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Kapitel 10. Überwachen der Benutzeraktinen Arbeiten im Prgramm mit dem Recht Überwachen Anzeigen der Lgdatei Anhang A. Installatin vn Micrsft SQL Server Anhang B. Reginaleinstellungen Reginaleinstellungen für Windws Windws 7, Server 2008 R Reginaleinstellungen für Windws 8, Server 2012, Windws 8.1, Server 2012 R2, Windws Anhang C. Versinsgeschichte

6 Neu in Versin Neu in Versin Neu in Versin Neu in Versin Neu in Versin Anhang D. Glssar Anhang E. Index

7 Einführung Über dieses Dkument 8 Über ViPNet Plicy Manager 9 Systemanfrderungen 10 Lieferumfang 12 Kntakt 13 ViPNet Plicy Manager 4.3. Administratrhandbuch 7

8 Über dieses Dkument Zielgruppe Das Dkument richtet sich an Administratren, die für die Verwaltung vn Sicherheitsrichtlinien der ViPNet Netzwerkknten mit Hilfe des Prgramms ViPNet Plicy Manager zuständig sind. In diesem Dkument sind Infrmatinen über die Installatin und die Anwendungsmöglichkeiten des Prgramms swie eine kurze Anleitung für den schnellen Start zusammengefasst. Zusätzlich enthält das Dkument allgemeine Infrmatinen zu den Grundlagen der Administratin vn Sicherheitsrichtlinien. Verwendete Knventinen Weiter unten sind Knventinen aufgeführt, die im gegebenen Dkument zur Kennzeichnung wichtiger Infrmatinen verwendet werden. Tabelle 1. Symble, die für Anmerkungen benutzt werden Symbl Beschreibung Achtung! Dieses Symbl weist auf einen Vrgang hin, der für die Daten- der Systemsicherheit wichtig ist. Hinweis. Dieses Symbl weist auf einen Vrgang hin, der es Ihnen ermöglicht, Ihre Arbeit mit dem Prgramm zu ptimieren. Tipp. Dieses Symbl weist auf zusätzliche Infrmatinen hin. Tabelle 2. Ntatinen, die zur Kennzeichnung vn Infrmatinen im Text verwendet werden Ntatin Beschreibung Name Taste+Taste Menü > Untermenü > Befehl Cde Namen vn Elementen der Benutzerberfläche. Beispiele: Fensterüberschriften, Feldnamen, Schaltflächen der Tasten. Tastenkmbinatinen. Zum Betätigen vn Tastenkmbinatinen sllte zunächst die erste Taste gedrückt und dann, hne die erste Taste zu lösen, die zweite Taste gedrückt werden. Hierarchische Abflge vn Elementen. Beispiele: Menüeinträge der Bereiche der Navigatinsleiste. Dateinamen, Pfade, Fragmente vn Textdateien und Cdeabschnitten der Befehle, die aus der Befehlszeile ausgeführt werden. ViPNet Plicy Manager 4.3. Administratrhandbuch 8

9 Über ViPNet Plicy Manager Das Prgramm ViPNet Plicy Manager ist Bestandteil der Sftwarelösung ViPNet. Das Prgramm wird dazu verwendet, Das Prgramm wird dazu verwendet, die Sicherheitsrichtlinien (s. Sicherheitsrichtlinie auf S. 135) der Knten im geschützten ViPNet Netzwerk zentralisiert zu verwalten. ViPNet Plicy Manager ermöglicht es, unterschiedliche Sicherheitsrichtlinien swhl für einzelne Netzwerkknten als auch für Kntengruppen zu definieren und zentralisiert zu versenden. Daten über verwaltete Knten und andere ntwendige Parameter (Benutzerknten, Sicherheitsrichtlinien u. s. w.) werden in einer SQL-Serverdatenbank gespeichert. Zum Erstellen der Datenbank sllte ein SQL- Server vrhanden sein, der entweder zusammen mit ViPNet Plicy Manager auf dem gleichen Cmputer der auf einem separaten Cmputer installiert werden kann. Die Datenbank wird bei der Installatin vn ViPNet Plicy Manager autmatisch erstellt. Neu in Versin In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin gebten. Infrmatinen über Änderungen in den vrherigen Versinen vn ViPNet Plicy Manager sind im Anhang Versinsgeschichte (auf S. 129) geschrieben. Kpieren der Sicherheitsrichtlinienvrlage Nun können Sie neue Vrlagen auf der Grundlage der bestehenden Vrlagen mit Hilfe der Kpierfunktin (s. Kpieren der Sicherheitsrichtlinienvrlage auf S. 96) schnell erstellen, wenn Sie mehrere identische Sicherheitsrichtlinienvrlagen mit geringen Änderungen in den Einstellungen der Netzwerkfilterparameter und der NAT-Regeln zu erstellen haben. Verwendung der Netzwerkadapter-ID des Crdinatrs mit der Sftware ViPNet Crdinatr fr Linux beim Erstellen der Netzwerkfilterparameter Früher knnten Sie beim Erstellen der Objektgruppen bzw. beim Einstellen der Netzwerkfilterparameter für die Netzwerkadapter der Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und ViPNet Crdinatr HW nur die IP-Adressen der Netzwerkadapter verwenden. Nun können Sie als die in den Netzwerkfiltern verwendeten Objekte auch die Netzwerkadapter-IDs angeben (s. Hinzufügen des Netzwerkadapter-Identifikatrs auf S. 75). Da die Netzwerkadapter-IDs, im Gegensatz zu den IP-Adressen, nicht nur einmal vrkmmen müssen, ist dieser Objekttyp dann geeignet, wenn in Ihrem Netzwerk mehrere Crdinatren mit der Sftware ViPNet Crdinatr fr Linux bzw. ViPNet Crdinatr HW und mit identischen Netzwerkadapter-IDs verwendet werden. In diesem Fall ist z.b. für sechs Crdinatren beim Einstellen der Netzwerkfilterparameter nur eine Netzwerkadapter-ID statt sechs IP-Adressen anzugeben. Krrektur der Fehler Es wurden Fehler krrigiert, die während der Anwendung der vrhergehenden Prgrammversin festgestellt wurden. ViPNet Plicy Manager 4.3. Administratrhandbuch 9

10 Systemanfrderungen Flgende Anfrderungen müssen für die Installatin vn ViPNet Plicy Manager erfüllt werden: Przessr: ein Intel Cre 2 Du der ein anderer x86-kmpatible Przessren-mit mindestens zwei Kernen wird empfhlen. Mindestens 1 GB RAM (bei Verwendung einer 64-Bit-Versin vn Windws mindestens 2 GB) Mindestens 250 MB freier Speicherplatz. Netzwerkadapter der Mdem. Betriebssysteme: Windws Server 2008 R2 (64-Bit), Windws Small Business Server 2008 SP2 (64- Bit), Windws 7 (32/64-Bit), Windws 8 (32/64-Bit), Windws 8.1 (32/64-Bit), Windws Small Business Server 2011 (64-Bit), Windws Server 2012 (64-Bit), Windws Server 2012 R2 (64-Bit), Windws 10 (32/64-Bit). Im Betriebssystem sllte das neueste Updatepaket installiert sein. Falls Internet Explrer verwendet wird: Versin 6.0 der höher. Für die Installatin und den rdnungsgemäßen Betrieb vn ViPNet Plicy Manager sllten flgende Anwendungen auf dem Cmputer installiert sein: ViPNet Client Versin 4.0 der höher. Micrsft SQL Server (s. Anfrderungen an den SQL-Server für die Installatin der Datenbank auf S. 10). Anfrderungen an den SQL-Server für die Installatin der Datenbank Zum Speichern aller benötigten Daten verwendet das Prgramm ViPNet Plicy Manager eine Datenbank, die auf einer der flgenden SQL-Serverversinen installiert werden kann: Micrsft SQL Server 2008 R2 SP1 Micrsft SQL Server 2012 SP1 Micrsft SQL Server 2014 SP1 Es kann sich um eine beliebige Editin vn SQL Server handeln, inklusive Express Editin. Hinweis. Das Betriebssystem Windws 10 unterstützt den Micrsft SQL Server 2008 R2 SP1 nicht. ViPNet Plicy Manager 4.3. Administratrhandbuch 10

11 Kmpatibilität mit ViPNet Sftware Sie können das Prgramm ViPNet Plicy Manager in einem ViPNet Netzwerk verwenden, das vn der ViPNet Sftware flgender Versinen verwaltet wird: ViPNet Administratr Versin 4.4 der höher; ViPNet Netwrk Manager Versin 4.5 der höher. Sicherheitsrichtlinien, die in der laufenden Versin des Prgramms ViPNet Plicy Manager erstellt wurden, können auf Netzwerkknten angewendet werden, auf denen eines der flgenden ViPNet Prgramme installiert ist: ViPNet Client fr Windws Versin 4.0 der höher; ViPNet Crdinatr fr Windws Versin 4.0 der höher; ViPNet Crdinatr HW Versin 4.1 der höher; ViPNet Crdinatr Linux Versin 4.0 der höher. ViPNet Plicy Manager 4.3. Administratrhandbuch 11

12 Lieferumfang Zum Lieferumfang vn ViPNet Plicy Manager gehören flgende Kmpnenten: Installatinsdatei. Handbuch ViPNet Plicy Manager. Administratrhandbuch. ViPNet Plicy Manager 4.3. Administratrhandbuch 12

13 Kntakt FAQ und andere Hilfsinfrmatin Infrmatinen über ViPNet Prdukte und Lösungen, gängige Fragen und andere nützliche Hinweise sind auf der Webseite vn Inftecs zusammengefasst. Unter den aufgeführten Links können Sie zahlreiche Antwrten auf mögliche während des Prduktbetriebs auftretenden Fragen finden. Allgemeine Geschäftsbedingungen ViPNet Lösungen im Überblick Frequently Asked Questins ViPNet Wissensdatenbank Kntakt Bei Fragen zur Nutzung vn ViPNet Sftware swie möglichen Wünschen und Anregungen nehmen Sie Kntakt mit den Mitarbeitern der Firma Inftecs GmbH auf. Für die Lösung aufgetretener Prblemfälle wenden Sie sich an den technischen Supprt. Anfrage an den technischen Supprt via Internetseite Supprt Htline +49 (0) (Tel.); +49 (0) (Fax). ViPNet Plicy Manager 4.3. Administratrhandbuch 13

14 1 Allgemeines Zentrale Verwaltung vn Netzwerkknten-Sicherheitsrichtlinien: Grundlagen und Prinzipien 15 Möglichkeiten vn ViPNet Plicy Manager 17 Lizenzierung vn ViPNet Plicy Manager 19 ViPNet Plicy Manager 4.3. Administratrhandbuch 14

15 Zentrale Verwaltung vn Netzwerkknten- Sicherheitsrichtlinien: Grundlagen und Prinzipien Das Prgramm ViPNet Plicy Manager dient der zentralisierten Administratin vn Sicherheitsrichtlinien für die Netzwerkknten (s. Sicherheitsrichtlinie auf S. 135). Das Prgramm wird auf einem der ViPNet Netzwerkknten installiert, der als Manager-Arbeitsplatz eingesetzt werden sll. Die Liste der Netzwerkknten, die vm ViPNet Plicy Manager verwaltet werden sllen, wird im Prgramm ViPNet Netwrk Cntrl Center (im Weiteren NCC ) definiert und kann nur Knten aus demjenigen ViPNet Netzwerk umfassen, in dem sich der ViPNet Plicy Manager-Knten befindet. Mit Hilfe vn ViPNet Plicy Manager können Sicherheitsrichtlinien derjenigen Knten zentralisiert gesteuert werden, auf denen die Sftware ViPNet mit der Trafficschutz-Funktin installiert ist (s. Kmpatibilität mit ViPNet Sftware auf S. 11). Die nachflgende Abbildung stellt das Schema für den Aufbau einer zentralen Verwaltung vn Sicherheitsrichtlinien dar. Abbildung 1. Organisatin der zentralen Verwaltung vn Sicherheitsrichtlinien Die Administratin der Sicherheitsrichtlinien wird mit Hilfe vn Vrlagen durchgeführt, die den verwalteten Knten zugewiesen werden (s. Sicherheitsrichtlinienvrlage auf S. 135). Eine Sicherheitsrichtlinienvrlage stellt die Zusammensetzung vn Sicherheitsptinen dar und kann Netzwerkfilter und NAT-Regeln beinhalten. Aus praktischen Gründen können Knten in Abteilungen (s. Abteilung auf S. 133) zusammengefasst werden, wbei Vrlagen swhl auf einzelne Knten als auch auf Abteilungen angewendet werden können. Auf Basis vn Vrlagen, die auf Knten und Abteilungen angewendet werden, werden entsprechende resultierende Richtlinien (s. Resultierende Sicherheitsrichtlinie auf S. 134) erstellt und an die Knten ViPNet Plicy Manager 4.3. Administratrhandbuch 15

16 versendet. Beim Erstellen der resultierenden Richtlinie wird die Prirität vn Vrlagen (Reihenflge der Definitin) beachtet, dppelt vrkmmende Vrlagen werden verhindert. Das Versenden resultierender Richtlinien an die Netzwerkknten wird mit Hilfe des MFTP-Mduls durchgeführt (s. Transprtmdul (MFTP) auf S. 135). Das MFTP-Mdul ist Bestandteil der Sftware ViPNet Client, die gemeinsam mit dem Prgramm ViPNet Plicy Manager auf den Cmputer installiert werden muss (s. Systemanfrderungen auf S. 10). Die im Prgramm ViPNet Plicy Manager erstellten und an die verwalteten Knten versendeten Sicherheitsrichtlinien haben Präferenz vr Richtlinien, die lkal auf den einzelnen Knten definiert sind. Das bedeutet, dass alle Netzwerkfilter aus der übernmmenen Richtlinie vr allen gleichartigen, lkal definierten Filtern eingerdnet werden. Die dadurch erhaltene aktuelle Sicherheitsrichtlinie gilt für alle Benutzer, die auf dem Knten registriert sind, swie für alle Knfiguratinen der ViPNet Sftware, die auf dem Cmputer installiert ist. In der unteren Abbildung wird das Schema der Interaktin unterschiedlicher Knten im Rahmen der Sicherheitsrichtlinien-Administratin vrgestellt: 1 Die Liste der Knten, die mit Hilfe vn ViPNet Plicy Manager verwaltet werden, kann im NCC aktualisiert und an den Knten mit ViPNet Plicy Manager als Bestandteil des Updates der Adresslisten und Schlüssel versendet werden (s. Adresslisten auf S. 133). In diesem Fall wird die Liste verwalteter Knten im ViPNet Plicy Manager gemäß der neuen Liste autmatisch aktualisiert. 2 Die im ViPNet Plicy Manager erstellten Sicherheitsrichtlinien werden an die Netzwerkknten versendet (s. Versand und Empfang vn Sicherheitsrichtlinien auf S. 106). 3 Jeder Netzwerkknten, der eine Sicherheitsrichtlinie erhalten hat, wird versuchen, diese Richtlinie anzuwenden. Anschließend wird vn diesem Knten eine Empfangsbestätigung mit dem Ergebnis der Richtlinienanwendung erstellt und an den ViPNet Plicy Manager-Knten versendet. Die Richtlinie kann angenmmen der abgelehnt werden (s. Versand- und Anwendungslgdatei der Sicherheitsrichtlinien auf S. 112). Abbildung 2. Interaktinsschema der ViPNet Netzwerkknten im Rahmen der Richtlinienverwaltung ViPNet Plicy Manager 4.3. Administratrhandbuch 16

17 Möglichkeiten vn ViPNet Plicy Manager Das Prgramm ViPNet Plicy Manager stellt den Administratren des ViPNet Netzwerks flgende grundlegende Funktinalität zur Verfügung: Zusammenfassung vn Netzwerkknten in Abteilungen, Verwaltung der Abteilungen Netzwerkknten, auf welche die gleiche Sicherheitsrichtlinie angewendet werden sll, können in Abteilungen (s. Abteilung auf S. 133) zusammengefasst werden. Die Bildung einer gemeinschaftlichen Richtlinie für slche Knten erflgt durch Zuweisung vn Vrlagen nicht an einzelne Knten, sndern an die Abteilung insgesamt. Diese Vrgangsweise ermöglicht eine einfachere Verwaltung vn Sicherheitsrichtlinien in Netzwerken mit einer hhen Anzahl an Knten. Zum Verwalten vn Abteilungen stehen alle ntwendigen Funktinen zur Verfügung: Erstellen, Löschen, Ändern der Kntenliste der Abteilung. Verwaltung vn Sicherheitsrichtlinienvrlagen Vrlagen (s. Sicherheitsrichtlinienvrlage auf S. 135) stellen ein grundlegendes Mittel zur Definitin vn Sicherheitsrichtlinien dar. Vrlagen können Netzwerkfilter und NAT-Regeln beinhalten. Zum Verwalten vn Vrlagen stehen alle ntwendigen Funktinen zur Verfügung: Erstellen, Knfigurieren und Löschen vn Vrlagen. Anwendung vn Sicherheitsrichtlinienvrlagen auf Knten und Abteilungen gemäß Vrgaben Die Verwaltung vn Sicherheitsrichtlinien für die Knten wird durch Zuweisung vn Vrlagen an einzelne Knten der Abteilungen bewerkstelligt. Die auf eine Abteilung angewendete Vrlage betrifft alle Knten, die in dieser Abteilung zusammengefasst sind. Die Gesamtanzahl der Vrlagen für einen Knten stellt sich aus Vrlagen zusammen, die entweder dem Knten selbst der der Abteilung des Kntens zugewiesen wurden. Vn der Reihenflge der Anrdnung vn Vrlagen hängt die Prirität der Anwendung vn Sicherheitsptinen ab, die in diesen Vrlagen definiert sind: die Prirität verringert sich gemäß der Psitin der Vrlage in der Liste ausgehend vn der ersten Vrlage. Die Reihenflge der Vrlagen kann swhl für einzelne Knten als auch für gesamte Abteilungen geändert werden. Versand vn resultierenden Sicherheitsrichtlinien an Netzwerkknten Die resultierende Sicherheitsrichtlinie (s. Resultierende Sicherheitsrichtlinie auf S. 134) des Netzwerkkntens stellt eine Zusammenfassung aller Vrlagen dar, die auf diesen Knten der auf seine Abteilung angewendet wurden. Sie wird beim Versand der Sicherheitsrichtlinie an einen Netzwerkknten autmatisch angelegt. Beim Erstellen der resultierenden Richtlinie werden die Priritäten vn Vrlagen berücksichtigt und das dppelte Vrkmmen vn Einträgen wird verhindert. Der Versand vn resultierenden Richtlinien an die Netzwerkknten kann selektiv (an einzelne Knten) der in einem Zug an alle Knten der Abteilung (Gruppenversand) erflgen. Die resultierende Richtlinie wird in Frm einer XML-Datei versendet, die durch eine Prüfsumme geschützt ist. ViPNet Plicy Manager 4.3. Administratrhandbuch 17

18 Kntrlle vn Versand und Anwendung der Sicherheitsrichtlinien auf Netzwerkknten Alle Ereignisse, die mit dem Versand vn Sicherheitsrichtlinien aus dem Prgramm ViPNet Plicy Manager an die Netzwerkknten und mit der Anwendung der Richtlinien auf diese Knten zusammenhängen, werden in einer Lgdatei prtklliert, die zur Einsicht zur Verfügung steht. Die Lgdatei dient dazu, den Empfang vn Sicherheitsrichtlinien auf den Netzwerkknten und ihre Anwendung drt zu überwachen. Aus praktischen Gründen können Ereignisse gemäß vrgegebenen Parametern gefiltert werden. Verwaltung vn Benutzerknten Benutzerknten enthalten Namen, Passwörter, Benutzerdaten und -rllen für das Prgramm ViPNet Plicy Manager. Der Name und das Passwrt werden für die Authentifizierung des Benutzers verwendet. Die Rllen des Benutzers legen die Aktinen fest, die dieser Benutzer im Prgramm ausführen darf. Für die Verwaltung vn Benutzerknten stehen alle wesentlichen Funktinen zur Verfügung: Erstellen, Ändern und Löschen. Verwaltung vn Benutzerrllen Benutzerrllen (s. Benutzerrlle auf S. 133) werden für die Abgrenzung vn Benutzerrechten für das Prgramm ViPNet Plicy Manager verwendet. Jede Rlle repräsentiert eine Zusammensetzung vn zugelassenen Berechtigungen und gestattet dem Benutzer die Durchführung nur jener Aktinen, die vn diesen Berechtigungen vrgesehen sind. Im ViPNet Plicy Manager steht eine Reihe vrinstallierter Benutzerrllen zur Verfügung. Zusätzlich können eigene Benutzerrllen definiert, geändert und gelöscht werden. Überwachen der Benutzeraktinen Die Aktinen der Benutzer im Prgramm ViPNet Plicy Manager werden in der Lgdatei registriert, die zum Audit der Aktinen verwendet werden kann. In der Lgdatei werden die flgenden Ereignisse aufgezeichnet: An- und Abmeldung im Prgramm, Aktinen der Benutzer mit unterschiedlichen Objekten, der Versand vn Sicherheitsrichtlinien an die Netzwerkknten. Beim Anzeigen der Lgdatei können die Ereignisse in Übereinstimmung mit vrgegebenen Parametern gefiltert werden. ViPNet Plicy Manager 4.3. Administratrhandbuch 18

19 Lizenzierung vn ViPNet Plicy Manager Achtung! In diesem Abschnitt wird die Terminlgie der Sftware ViPNet Netwrk Cntrl Center (NCC) Versin 4.0 der höher verwendet. Beachten Sie mögliche Änderungen, falls in Ihrem Netzwerk der NCC einer früheren Versin installiert ist. Das Prgramm ViPNet Plicy Manager kann nur auf einem Netzwerkknten mit der Rlle Plicy Manager eingesetzt werden. Führen Sie die flgenden Schritte aus, um diese Rlle dem Knten zuzuweisen: 1 Stellen Sie sicher, dass die Rlle Plicy Manager in Ihrer Lizenz für das ViPNet Netzwerk erlaubt ist. Fehlt diese Rlle, aktualisieren Sie Ihre Lizenz. Dazu wenden Sie sich an einen Vertreter vn Inftecs GmbH und geben die Nummer Ihres ViPNet Netzwerks bekannt, um eine neue Lizenz zu erhalten. 2 Verwenden Sie das Prgramm ViPNet Netwrk Cntrl Center, wird die Rlle Plicy Manager auf den Knten, der als Manager-Arbeitsplatz auftritt, autmatisch hinzugefügt. Verwenden Sie das Prgramm ViPNet Netwrk Manager, erlauben Sie im Prgramm ViPNet Netwrk Manager die Verwendung vn ViPNet Plicy Manager für alle Clients vm Typ Client Windws. Hinweis. Im Prgramm ViPNet Netwrk Cntrl Center der Versin 4.1 der älter (s. Kmpatibilität mit ViPNet Sftware auf S. 11) knnten Sie die Rlle Plicy Manager jedem beliebigen Client Ihres Netzwerks zurdnen. 3 Knfigurieren Sie die Liste der Knten, die mit Hilfe des Prgramms ViPNet Plicy Manager verwaltet werden sllen: Verwenden Sie das Prgramm ViPNet Netwrk Cntrl Center, definieren Sie die Liste verwalteter Knten in den Eigenschaften der Rlle Plicy Manager. Verwenden Sie das Prgramm ViPNet Netwrk Manager, definieren Sie die Liste verwalteter Knten in der Panel-Ansicht des Clients, dem die Verwendung vn ViPNet Plicy Manager erlaubt ist. Hinweis. Die Verbindungen zwischen dem Netzwerkknten mit der Rlle Plicy Manager und den verwalteten Knten werden autmatisch erstellt. Die Anwesenheit der Rlle auf dem Netzwerkknten wird beim Start des Prgramms ViPNet Plicy Manager anhand der Adresslisten, die gemeinsam mit ViPNet Client installiert wurden, überprüft. Nach einem erflgreichen Start werden im Prgramm in der Liste der verwalteten Knten die im ViPNet Netwrk Cntrl Center knfigurierten Knten angezeigt (s. Anzeige der Liste verwalteter Knten auf S. 54). ViPNet Plicy Manager 4.3. Administratrhandbuch 19

20 2 Installatin, Update und Deinstallatin vn ViPNet Plicy Manager Vrgehensweise bei der Installatin vn ViPNet Plicy Manager 21 Infrmatinen für SQL-Administratr 22 Installatin vn ViPNet Plicy Manager 23 Update vn ViPNet Plicy Manager 25 Deinstallatin vn ViPNet Plicy Manager 26 ViPNet Plicy Manager 4.3. Administratrhandbuch 20

21 Vrgehensweise bei der Installatin vn ViPNet Plicy Manager Führen Sie die in der flgenden Tabelle aufgeführten Schritte aus, um das Prgramm ViPNet Plicy Manager und alle für den Betrieb der Sftware erfrderlichen Kmpnenten zu installieren: Tabelle 3. Installatin vn ViPNet Plicy Manager Aktin Wenn sich der Datenbankserver auf dem gleichen Cmputer wie ViPNet Plicy Manager befinden sll, dann installieren Sie drt die Sftware Micrsft SQL Server. Sie können auch eine bereits installierte Versin vn Micrsft SQL Server nutzen, z. B. einen SQL-Server, der für die Speicherung vn Daten der Sftware ViPNet Administratr der ViPNet Netwrk Manager verwendet wird. Installieren Sie das Prgramm ViPNet Client (Versin 4.0 der höher) und die Schlüsseldistributin des ViPNet Netzwerkkntens mit der hinzugefügten Rlle Plicy Manager auf den Cmputer. Installieren Sie das Prgramm ViPNet Plicy Manager. Verweis Anfrderungen an den SQL-Server für die Installatin der Datenbank (auf S. 10) Installatin vn Micrsft SQL Server (auf S. 118) S. Dkument ViPNet Client fr Windws. Benutzerhandbuch Installatin vn ViPNet Plicy Manager (auf S. 23) Tipp. Wir empfehlen, die Liste auszudrucken, und die einzelnen Schritte nach ihrer Durchführung zu markieren. ViPNet Plicy Manager 4.3. Administratrhandbuch 21

22 Infrmatinen für SQL-Administratr Bei der ersten Installatin des Prgramms ViPNet Plicy Manager wird auf dem SQL-Server, der während des Installatinsvrgangs angegeben wurde, autmatisch eine Datenbank erstellt, die zum Speichern aller benötigten Daten verwendet wird. Die Parameter der neuen Datenbank sind in der Tabelle unten aufgelistet. Tabelle 4. Datenbankparameter Parameter Srtierung (cllatin) Wiederherstellungsmdel (recvery mdel) Wert Cyrillic_General_CI_AS Full Achtung! Es wird davn abgeraten, Datenbankeinstellungen zu ändern der snstige Schritte zur Änderung der Struktur und Daten unmittelbar in der Datenbank vn ViPNet Plicy Manager vrzunehmen. Diese Aktinen können dazu führen, dass in der Arbeit der Sftware ViPNet Plicy Manager unabsehbare Störungen auftreten. Die Firma Inftecs übernimmt keine Verantwrtung für Fehler, die in Flge slcher Aktinen entstanden sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 22

23 Installatin vn ViPNet Plicy Manager Achtung! Falls ViPNet Plicy Manager auf einem Cmputer mit Windws-Betriebssystem installiert wird, das nicht über die deutsche Lkalisierung verfügt, können Prbleme bei der Darstellung vn Umlauten und ß im Interface vn ViPNet Plicy Manager auftreten. Um dies zu vermeiden, ändern Sie bitte die Reginaleinstellungen des Windws-Betriebssystems (s. Reginaleinstellungen auf S. 121). Führen Sie die flgenden Schritte aus, um ViPNet Plicy Manager zu installieren: 1 Starten Sie die Installatinsdatei mit einem Dppelklick. Es wird die Installatin vn ViPNet Plicy Manager begnnen. 2 Flgen Sie den Anweisungen des Installatinsassistenten vn ViPNet Plicy Manager. 3 Geben Sie auf der Seite Installatin der Datenbank auf Micrsft SQL Server die Instanz des SQL- Servers, den Namen der Datenbank und den Authentisierungsmdus für Verbindungen zum SQL- Server an. Geben Sie bei Wahl des Authentisierungsmdus SQL Server-Authentifizierung zusätzlich den Benutzernamen und das Passwrt an. Standardmäßig werden flgende Werte verwendet: SQL-Serverinstanz.\SQLEXPRESS, Datenbankname ViPNetPlicyManager, Authentisierungsmdus Windws-Authentifizierung. Sie können die Angaben zum Verbinden mit dem SQL-Server swie den Benutzernamen und - Passwrt beim Administratr des SQL-Servers erhalten. Abbildung 3. Erstellen der Datenbank Klicken Sie zum Frtsetzen der Installatin auf Weiter. ViPNet Plicy Manager 4.3. Administratrhandbuch 23

24 4 Wenn es sich nicht um eine Erstinstallatin des Prgramms ViPNet Plicy Manager auf dem Cmputer handelt, wird eine Meldung angezeigt, dass die Datenbank bereits existiert. Sie können die bestehende Datenbank verwenden der eine neue Datenbank mit dem gleichen Namen anlegen (d. h. die alte Datenbank überschreiben). Abbildung 4. Überschreiben der vrhandenen Datenbank Wenn Sie eine neue Datenbank erstellen möchten, klicken Sie auf Überschreiben. Wenn Sie die vrhandene Datenbank weiterverwenden möchten, klicken Sie auf Nicht überschreiben. 5 Warten Sie, bis die Installatin abgeschlssen ist, und klicken Sie dann auf die Schaltfläche Fertig. Das Prgramm ViPNet Plicy Manager kann nun verwendet werden. ViPNet Plicy Manager 4.3. Administratrhandbuch 24

25 Update vn ViPNet Plicy Manager Hinweis. Bei einem Update bleiben die vn der aktuellen Versin vn ViPNet Plicy Manager verwendete Datenbank und alle darin enthaltenen Daten erhalten. Wenn Sie eine neue Datenbank erstellen möchten, deinstallieren Sie zunächst die aktuelle Versin des Prgramms gemeinsam mit der Datenbank (s. Deinstallatin vn ViPNet Plicy Manager auf S. 26), und installieren Sie dann eine neue Versin des Prgramms. Zum Aktualisieren der Sftware ViPNet Plicy Manager benötigen Sie die Installatinsdatei mit der neuen Versin des Prgramms. Führen Sie die flgenden Schritte aus, um das Prgramm ViPNet Plicy Manager auf eine neue Versin zu aktualisieren: 1 Beenden Sie das Prgramm ViPNet Plicy Manager. 2 Starten Sie die Installatinsdatei mit einem Dppelklick. Es wird die Installatin vn ViPNet Plicy Manager begnnen. 3 Flgen Sie den Anweisungen des Installatinsassistenten vn ViPNet Plicy Manager. 4 Warten Sie, bis die Installatin abgeschlssen ist, und klicken Sie dann auf die Schaltfläche Fertig. Die neue Versin des Prgramms ViPNet Plicy Manager ist nun einsatzbereit. ViPNet Plicy Manager 4.3. Administratrhandbuch 25

26 Deinstallatin vn ViPNet Plicy Manager Wenn nötig, können Sie das Prgramm ViPNet Plicy Manager auf dem Cmputer deinstallieren und die vm Prgramm verwendete Datenbank auf dem SQL-Server löschen. Achtung! Falls ViPNet Plicy Manager und der Datenbankserver auf verschiedenen Cmputern installiert sind, können Sie die Datenbank mit Hilfe der Installatinsdatei vn ViPNet Plicy Manager nicht löschen. In diesem Fall ist die Datenbank manuell mit den Werkzeugen des SQL- Servers zu löschen. Führen Sie dazu die flgenden Schritte aus: 1 Beenden Sie das Prgramm ViPNet Plicy Manager. 2 Starten Sie die Installatinsdatei mit einem Dppelklick. Warten Sie, bis der Vrgang der Deinstallatinsvrbereitung vn ViPNet Plicy Manager abgeschlssen ist. 3 Klicken Sie auf der Seite zur Auswahl des auszuführenden Vrgangs auf die Schaltfläche Deinstallieren. 4 Aktivieren Sie auf der Seite der Löschvrgang-Vrbereitung das Kntrllkästchen Erstellte Datenbank löschen, wenn Sie möchten, dass die Datenbank gemeinsam mit dem Prgramm gelöscht wird. Abbildung 5. Deinstallatin des Prgramms 5 Klicken Sie auf Deinstallieren, um frtzusetzen. 6 Warten Sie, bis die Deinstallatin abgeschlssen ist. Nach Abschluss der Deinstallatin ist ein Neustart des Cmputers nicht erfrderlich. ViPNet Plicy Manager 4.3. Administratrhandbuch 26

27 Hinweis. Sie können das Prgramm auch deinstallieren, indem Sie auf Alle Prgramme > ViPNet > ViPNet Plicy Manager > Deinstallieren im Menü Start klicken. Bei Auswahl dieser Art der Deinstallatin besteht jedch keine Möglichkeit zum Löschen der Datenbank. ViPNet Plicy Manager 4.3. Administratrhandbuch 27

28 3 Starten und Beenden des ViPNet Plicy Manager Start des Prgramms 29 Benutzerberfläche des Prgramms 30 Das Prgramm beenden 32 ViPNet Plicy Manager 4.3. Administratrhandbuch 28

29 Start des Prgramms Zum Starten des Prgramms ViPNet Plicy Manager: 1 Führen Sie einen der flgenden Schritte aus: Verwenden Sie das Betriebssystem Windws 7, Windws Server 2008 R2 der eine frühere Versin, wählen Sie im Menü Start den Eintrag Alle Prgramme > ViPNet > ViPNet Plicy Manager > ViPNet Plicy Manager (die Psitin des Prgrammeintrags im Menü Start könnte während der Installatin geändert wrden sein). Verwenden Sie das Betriebssystem Windws 8 der Windws Server 2012, öffnen Sie die Apps- Liste auf der Startseite und wählen den Eintrag ViPNet > ViPNet Netwrk Manager. Hinweis. Die Psitin des Prgrammeintrags im Menü Start könnte während der Installatin geändert wrden sein. Es wird das Anmeldefenster des Prgramms geöffnet. Abbildung 6. Anmeldefenster des Prgramms 2 Geben Sie den Benutzernamen und das Passwrt im Fenster Benutzeranmeldung ein. Hinweis. Verwenden Sie bei der ersten Anmeldung nach der Installatin den Benutzernamen Supervisr und das Passwrt Supervisr. 3 Klicken Sie auf die Schaltfläche OK. Wenn die Benutzeranmeldung erflgreich war, wird nun das Hauptfenster des Prgramms geöffnet (s. Benutzerberfläche des Prgramms auf S. 30). Im Fenstertitel wird in Klammern der Benutzername angezeigt. Wenn es sich um die erste Anmeldung nach der Prgramminstallatin handelt, wird zunächst eine Meldung angezeigt, dass das Passwrt des Benutzers Supervisr geändert werden sllte. Diese Meldung wird bei jeder Anmeldung unter Verwendung des Benutzers Supervisr angezeigt, bis das Passwrt geändert wird. ViPNet Plicy Manager 4.3. Administratrhandbuch 29

30 Benutzerberfläche des Prgramms Die Benutzerberfläche des Prgramms ViPNet Plicy Manager ist auf der Abbildung unten dargestellt. Abbildung 7. Prgrammberfläche Flgende Oberflächenelemente werden in der Abbildung durch Zahlen gekennzeichnet: 1 Hauptmenü des Prgramms. Ermöglicht den Zugriff auf unterschiedliche Funktinen des Prgramms. 2 Symblleiste. Enthält die Schaltfläche Richtlinien verteilen zum Versenden der Sicherheitsrichtlinien an die Netzwerkknten. Zum Anzeigen der Ausblenden der Symblleiste klicken Sie im Menü Ansicht auf den Eintrag Symblleiste. 3 Navigatinsleiste. Enthält eine Liste flgender Bereiche: Verwaltete Netzwerkknten: enthält eine Liste vn Netzwerkknten, die mit Hilfe vn ViPNet Plicy Manager verwaltet werden (s. Anzeige der Liste verwalteter Knten auf S. 54). Abteilungen: dient der Verwaltung vn Abteilungen, in denen die Netzwerkknten zusammengefasst sind (s. Verwaltung vn Abteilungen auf S. 57). Richtlinienvrlagen: dient der Verwaltung vn Sicherheitsrichtlinienvrlagen (auf S. 65). Objektgruppen: enthält Unterbereiche mit Gruppen vn Elementen, die beim Definieren der Netzwerkfilter und NAT-Regeln als Objekte eingefügt werden können (s. Arbeiten mit Objektgruppen auf S. 67). ViPNet Plicy Manager 4.3. Administratrhandbuch 30

31 Zugangssteuerung: enthält Unterbereiche zur Steuerung des Zugangs und der Benutzerrechte der Prgrammbenutzer: Benutzer: dient der Verwaltung vn Benutzerknten (auf S. 45). Benutzerrllen: dient der Verwaltung vn Benutzerrllen (auf S. 49). Lgdateien: enthält Unterbereiche für die Anzeige vn Lgdateien: Ereignisse: dient der Anzeige der Lgdatei der prtkllierten Ereignisse (s. Anzeigen der Lgdatei auf S. 116). Versand und Anwendung vn Richtlinien: dient zur Anzeige der Lgdatei für Versand und Anwendung vn Sicherheitsrichtlinien auf den Netzwerkknten (s. Versand- und Anwendungslgdatei der Sicherheitsrichtlinien auf S. 112). Hinweis. Wenn Sie zu einem bestimmten Bereich wechseln möchten, wählen Sie diesen Bereich in der Navigatinsleiste aus der klicken Sie im Menü Ansicht auf den entsprechenden Eintrag. 4 Panel-Ansicht. Dient der Anzeige vn Elementen des in der Navigatinsleiste (3) ausgewählten Bereichs der Unterbereichs. 5 Statusleiste. Dient der Anzeige vn Statusmeldungen. Zum Anzeigen der Ausblenden der Statusleiste klicken Sie im Menü Ansicht auf den Eintrag Statusleiste. ViPNet Plicy Manager 4.3. Administratrhandbuch 31

32 Das Prgramm beenden Wenn Sie das Prgramm beenden möchten: 1 Führen Sie einen der flgenden Schritte aus: Wählen Sie im Hauptfenster des Prgramms im Menü Datei den Eintrag Beenden. Klicken Sie in der rechten beren Ecke des Prgrammfensters auf die Schaltfläche. 2 Falls zu diesem Zeitpunkt nicht versendete Sicherheitsrichtlinien vrliegen, wird eine entsprechende Meldung angezeigt. Abbildung 8. Beenden des Prgramms Wenn Sie das Prgramm trtz dieser Meldung beenden möchten, klicken Sie auf die Schaltfläche Anwendung schließen. Nicht gesendete Sicherheitsrichtlinien können innerhalb der nächsten Prgrammsitzung an die Netzwerkknten weitergeleitet werden. Hinweis. Wenn sich die Prgrammdatenbank auf einem entfernten SQL-Server befindet, dann wird bei fehlender Verbindung während der Durchführung vn Aktinen, die einen Zugriff auf die Datenbank erfrdern, eine Meldung angezeigt, dass die Aktin nicht durchgeführt werden kann. Das Prgramm wird dabei autmatisch beendet. ViPNet Plicy Manager 4.3. Administratrhandbuch 32

33 4 Schnellstart Beginn der Arbeit 34 Ändern des Passwrts beim integrierten Benutzerknt 36 Erstellen einer Abteilung 37 Erstellen einer Sicherheitsrichtlinienvrlage 38 Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten der Abteilungen 39 Versenden vn Sicherheitsrichtlinien an Netzwerkknten 40 Anzeige der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien 41 Erstellen eines Benutzerknts 42 ViPNet Plicy Manager 4.3. Administratrhandbuch 33

34 Beginn der Arbeit Dieser Abschnitt enthält kurze Anleitungen zur Nutzung der Sftware ViPNet Plicy Manager. Die angeführten Infrmatinen helfen Ihnen dabei, die Arbeit mit dem Prgramm hne vrhergehendes genaues Studium des vrliegenden Handbuchs zu beginnen. Starten Sie das Prgramm ViPNet Plicy Manager (s. Start des Prgramms auf S. 29), um die Arbeit zu beginnen. Der erste Start des Prgramms kann ausschließlich unter Verwendung des integrierten Benutzerknts mit dem Namen Supervisr und dem Passwrt Supervisr erflgen. Ändern Sie nach der Anmeldung im Prgramm das Passwrt des Benutzers Supervisr (s. Ändern des Passwrts beim integrierten Benutzerknt auf S. 36). Der Benutzer Supervisr besitzt sämtliche Rechte, d. h. er kann mit beliebigen Objekten arbeiten. Ausführliche Infrmatinen über Benutzerrechte finden Sie im Abschnitt Abgrenzung vn Rechten auf Basis vn Benutzerrllen (auf S. 44). In der flgenden Tabelle ist die Reihenflge der Schritte bei der Arbeit mit ViPNet Plicy Manager sfrt nach der Installatin aufgelistet. Bei diesem Leitfaden wird angenmmen, dass das Benutzerknt Supervisr mit dem maximal möglichen Umfang an Benutzerrechten zur Verfügung steht. Wenn mehrere Benutzer mit unterschiedlichen Rechten im Prgramm arbeiten, kann jeder vn ihnen nur diejenigen Aktinen durchführen, die im Rahmen seiner Rechte zulässig sind. Zum Beispiel kann die Funktin der Verwaltung vn Vrlagen und die Funktin der Zuweisung vn Vrlagen an die Netzwerkknten vn zwei unterschiedlichen Benutzern ausgeführt werden. In diesem Fall erstellt zunächst ein Benutzer die benötigten Vrlagen, und der andere Benutzer weist anschließend diese Vrlagen den einzelnen Netzwerkknten zu. Tabelle 5. Vrgehensweise beim Beginn der Arbeit Aktin Starten Sie ViPNet Plicy Manager unter Verwendung des Benutzerknts Supervisr und ändern Sie das Passwrt dieses Benutzerknts. Erstellen Sie Abteilungen für die Zusammenfassung vn Netzwerkknten mit der gleichen Sicherheitsrichtlinie (sweit slche Knten im Netzwerk vrhanden sind). Erstellen Sie eine Vrlage (Vrlagen), die die erfrderliche Sicherheitsrichtlinie implementiert. Weisen Sie die Sicherheitsrichtlinienvrlage den Netzwerkknten zu. Versenden Sie die Sicherheitsrichtlinie an die Netzwerkknten. Verweis Ändern des Passwrts beim integrierten Benutzerknt (auf S. 36) Erstellen einer Abteilung (auf S. 37) Erstellen einer Sicherheitsrichtlinienvrlage (auf S. 38) Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten der Abteilungen (auf S. 39) Versenden vn Sicherheitsrichtlinien an Netzwerkknten (auf S. 40) ViPNet Plicy Manager 4.3. Administratrhandbuch 34

35 Aktin Kntrllieren Sie mit Hilfe der Lgdatei den Empfang und die Anwendung vn Sicherheitsrichtlinien auf den Netzwerkknten. Erstellen Sie, wenn nötig, Benutzerknten mit den erfrderlichen Rechten. Verweis Anzeige der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien (auf S. 41) Erstellen eines Benutzerknts (auf S. 42) ViPNet Plicy Manager 4.3. Administratrhandbuch 35

36 Ändern des Passwrts beim integrierten Benutzerknt Führen Sie die flgenden Schritte aus, um das Passwrt des integrierten Benutzerknts zu ändern: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager im Menü Datei den Eintrag Benutzerpasswrt ändern. 2 Geben Sie im Fenster Benutzerpasswrt ändern im Feld Aktuelles Passwrt das Passwrt Supervisr ein. Geben Sie anschließend das neue Passwrt und die Passwrtbestätigung in den entsprechenden Feldern ein. 3 Klicken Sie auf die Schaltfläche Passwrt ändern. Verwenden Sie das neue Passwrt bei der nächstmaligen Anmeldung im Prgramm unter dem Knt Supervisr. ViPNet Plicy Manager 4.3. Administratrhandbuch 36

37 Erstellen einer Abteilung Führen Sie die flgenden Schritte durch, um eine Abteilung zu erstellen (s. Abteilung auf S. 133): 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das das Recht Abteilungen verwalten hat. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. Hinweis. In der Liste der Abteilungen in der Panel-Ansicht wird immer eine Abteilung mit dem Namen Verwaltete Netzwerkknten aufgelistet. Diese Abteilung befindet sich immer am Beginn der Hierarchie vn Abteilungen, drt werden standardmäßig alle vm Benutzer erstellten Abteilungen hinzugefügt. 3 Klicken Sie in der Panel-Ansicht auf die Schaltfläche Erstellen. 4 Definieren Sie im Fenster Abteilungsptinen die Parameter der neuen Abteilung: Geben Sie im Bereich Allgemeine Optinen den Namen und die Beschreibung der Abteilung an. Stellen Sie im Bereich Verwaltete Netzwerkknten eine Liste vn Netzwerkknten der Abteilung mit Hilfe der Schaltfläche Hinzufügen zusammen. Stellen Sie im Bereich Richtlinienvrlagen mit Hilfe der Schaltfläche Hinzufügen eine Liste vn Sicherheitsrichtlinienvrlagen zusammen, die dieser Abteilung zugerdnet sind. Hinweis. Wenn Sie nch keine eigenen Sicherheitsrichtlinienvrlagen erstellt haben, können Sie der Abteilung ausschließlich Standardvrlagen vn ViPNet Plicy Manager zuweisen. 5 Klicken Sie im Fenster Abteilungsptinen auf ОK. In der Hierarchie der Abteilungen wird eine neue Abteilung angezeigt. Dieser Abteilung sind die gewählten Knten und Vrlagen zugerdnet. Hinweis. Die erste erstellte Abteilung wird innerhalb der Stammabteilung Verwaltete Netzwerkknten eingerdnet, in der alle verwalteten Netzwerkknten enthalten sind. Beim Erstellen nachflgender Abteilungen kann der jeweilige Standrt innerhalb der Hierarchie durch Wahl einer übergerdneten Abteilung festgelegt werden. Nach dem Anlegen der Abteilung und dem Zurdnen vn Vrlagen können nun Sicherheitsrichtlinien an alle Knten der Abteilung versendet werden (s. Versenden vn Sicherheitsrichtlinien an Netzwerkknten auf S. 40). Die Arbeit mit Abteilungen wird im Abschnitt Verwaltung vn Abteilungen (auf S. 57) ausführlich behandelt. ViPNet Plicy Manager 4.3. Administratrhandbuch 37

38 Erstellen einer Sicherheitsrichtlinienvrlage Im Allgemeinen kann eine Sicherheitsrichtlinienvrlage mehrere Netzwerkfilter und NAT-Regeln enthalten. Ausführliche Infrmatinen über mögliche Kmpnenten der Vrlage s. Abschnitt Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen (auf S. 66). Nachflgend wird ein Beispiel für die Erstellung einer Vrlage mit einem Filter, der beliebige Verbindungen zu allen geschützten Knten erlaubt, vrgestellt. Führen Sie die flgenden Schritte durch, um eine slche Sicherheitsrichtlinienvrlage zu erstellen: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das über das Recht Vrlagen verwalten verfügt. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 3 Klicken Sie in der Panel-Ansicht auf die Schaltfläche Erstellen. 4 Wählen Sie im Fenster Richtlinienvrlagenptinen den Bereich Allgemeine Optinen und geben Sie den Namen und die Beschreibung der neuen Vrlage an. 5 Wählen Sie im Fenster Richtlinienvrlagenptinen den Bereich Filter des privaten Netzwerks und fügen Sie der Vrlage einen Filter hinzu: 5.1 Klicken Sie auf die Schaltfläche Erstellen. 5.2 Geben Sie im Fenster Optinen für Filter des privaten Netzwerks den Namen des Filters an und aktivieren Sie in Gruppe Aktin das Optinsfeld IP-Traffic erlauben. 5.3 Klicken Sie auf die Schaltfläche OK. 6 Klicken Sie im Fenster Richtlinienvrlagenptinen auf ОK. In der Vrlagenliste wird die neue Vrlage mit dem definierten Filter angezeigt. Die erstellte Sicherheitsrichtlinienvrlage kann swhl auf einzelne Knten als auch auf Abteilungen angewendet werden (s. Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten der Abteilungen auf S. 39). Ausführliche Infrmatinen über Vrlagen sind im Abschnitt Verwaltung vn Sicherheitsrichtlinienvrlagen (auf S. 65) enthalten. ViPNet Plicy Manager 4.3. Administratrhandbuch 38

39 Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten der Abteilungen Führen Sie die flgenden Schritte durch, um eine Sicherheitsrichtlinienvrlage einzelnen Netzwerkknten der Abteilungen zuzuweisen: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das über das Recht Vrlagen anwenden verfügt. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 3 Wählen Sie die benötigte Vrlage in der Panel-Ansicht aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Vrlage. 4 Zum Zuweisen der Vrlage an Netzwerkknten: 4.1 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Netzwerkknten und klicken Sie auf die Schaltfläche Hinzufügen. 4.2 Wählen Sie einen der mehrere Knten in der Liste aus und klicken Sie auf OK. 5 Zum Zuweisen der Vrlage an Abteilungen: 5.1 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Abteilungen. 5.2 Aktivieren Sie die Kntrllkästchen jener Abteilungen, denen die Vrlage zugewiesen werden sll. 6 Klicken Sie auf OK, um die Liste vn Knten und Abteilungen, denen die Vrlage zugerdnet ist, zu speichern. Nach dem Zuweisen der Vrlage an Netzwerkknten und (der) Abteilungen können die Sicherheitsrichtlinien nun an die Netzwerkknten versendet werden (s. Versenden vn Sicherheitsrichtlinien an Netzwerkknten auf S. 40). ViPNet Plicy Manager 4.3. Administratrhandbuch 39

40 Versenden vn Sicherheitsrichtlinien an Netzwerkknten Führen Sie die flgenden Schritte durch, um Sicherheitsrichtlinien an einzelne Netzwerkknten zu versenden: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das über das Recht Richtlinien verteilen verfügt. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 3 Wählen Sie in der Panel-Ansicht einen der mehrere Knten mit dem Richtlinienstatus Verteilung erfrderlich aus. 4 Klicken Sie auf die Schaltfläche Richtlinien verteilen. 5 Geben Sie im Fenster Richtlinie verteilen die Zeit der Anwendung der Richtlinie auf die Knten an und klicken Sie auf OK. Die Sicherheitsrichtlinien werden an die gewählten Knten verteilt und zur gegebenen Zeit angewendet. Die Sicherheitsrichtlinien können auch an alle Knten einer Abteilung gleichzeitig gesendet werden. Dazu: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das über das Recht Richtlinien verteilen verfügt. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 3 Wählen Sie in der Panel-Ansicht eine der mehrere Abteilungen der Verwaltete Netzwerkknten aus. 4 Klicken Sie auf die Schaltfläche Richtlinien verteilen. 5 Geben Sie im Fenster Richtlinie verteilen die Zeit der Anwendung der Richtlinie auf die Knten an und klicken Sie auf OK. Die Sicherheitsrichtlinien werden an die Knten der gewählten Abteilungen (der an alle verwalteten Knten) verteilt und zur gegebenen Zeit angewendet. Ausführliche Infrmatinen zum Versand vn Richtlinien an die Netzwerkknten s. Kapitel Versand vn Sicherheitsrichtlinien an Netzwerkknten (auf S. 103). ViPNet Plicy Manager 4.3. Administratrhandbuch 40

41 Anzeige der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Führen Sie die flgenden Schritte aus, um die Lgdatei für den Versand und die Anwendung vn Sicherheitsrichtlinien anzuzeigen: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter einem Benutzerknt, das über das Recht Überwachen verfügt. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste im Bereich Lgdateien den Unterbereich Versand und Anwendung vn Richtlinien. 3 Überprüfen Sie die Einträge der Lgdatei in der Panel-Ansicht. Ein Eintrag mit Ereignis An Knten zugestellt weist darauf hin, dass die Sicherheitsrichtlinie vm Netzwerkknten empfangen wurde. Ein Eintrag mit Ereignis Angenmmen weist darauf hin, dass die Sicherheitsrichtlinie auf dem Knten angewendet wurde. Weitere Details zur Arbeit mit der Lgdatei s. Versand- und Anwendungslgdatei der Sicherheitsrichtlinien (auf S. 112). ViPNet Plicy Manager 4.3. Administratrhandbuch 41

42 Erstellen eines Benutzerknts Führen Sie die flgenden Schritte aus, um ein neues Benutzerknt zu erstellen: 1 Starten Sie das Prgramm ViPNet Plicy Manager unter Verwendung eines Benutzerknts mit der Berechtigung Benutzer verwalten. 2 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste im Bereich Zugangssteuerung den Unterbereich Benutzer. 3 Klicken Sie in der Panel-Ansicht auf die Schaltfläche Erstellen. 4 Definieren Sie im Fenster Benutzerkntptinen die Parameter des neuen Benutzerknts: Geben Sie im Bereich Allgemeine Optinen die Anmeldeinfrmatinen des Benutzers ein: Benutzername (Lgin), Passwrt und Passwrtbestätigung. Hinweis. Der Kntname darf ausschließlich lateinische Buchstaben und Ziffern enthalten. Das Passwrt muss mindestens neun Zeichen enthalten. Wenn Sie die Gültigkeitsdauer des Passwrts begrenzen möchten, aktivieren Sie das entsprechende Kntrllkästchen und geben Sie das Ablaufdatum des Passwrts ein. Geben Sie im Bereich Zusätzliche Optinen die persönlichen Daten des Benutzers ein. Definieren Sie im Bereich Benutzerrllen die Rechte des Benutzers: klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie in der Liste die Rllen aus, die über die benötigten Berechtigungen verfügen, und klicken Sie dann auf OK. 5 Klicken Sie im Fenster Benutzerkntptinen auf OK. In der Liste der Benutzerknten wird ein neuer Eintrag angezeigt. Das erstellte Benutzerknt kann dazu verwendet werden, sich im Prgramm anzumelden und Aktinen ausschließlich im Rahmen der im Benutzerknt festgelegten Rechte durchzuführen. Ausführliche Infrmatinen über Benutzerrechte s. Abschnitt Abgrenzung vn Rechten auf Basis vn Benutzerrllen (auf S. 44). ViPNet Plicy Manager 4.3. Administratrhandbuch 42

43 5 Verwaltung vn Benutzerknten und Benutzerrllen Abgrenzung vn Rechten auf Basis vn Benutzerrllen 44 Verwaltung vn Benutzerknten 45 Verwaltung vn Benutzerrllen 49 Wechsel des Benutzerpasswrts 52 ViPNet Plicy Manager 4.3. Administratrhandbuch 43

44 Abgrenzung vn Rechten auf Basis vn Benutzerrllen Zur Abgrenzung vn Benutzerrechten bei der Arbeit mit ViPNet Plicy Manager werden Benutzerrllen verwendet (s. Benutzerrlle auf S. 133). Jede Rlle bestimmt die Aktinen, die ein Benutzer des Prgramms ausführen darf, und kann aus einer der mehreren zulässigen Berechtigungen bestehen: Benutzer verwalten: Recht zum Erstellen, Knfigurieren und Löschen vn Benutzerknten. Benutzerrllen verwalten: Recht zum Erstellen, Knfigurieren und Löschen vn Benutzerrllen. Abteilungen verwalten: Recht zum Erstellen, Knfigurieren und Löschen vn Abteilungen. Vrlagen verwalten: Recht zum Erstellen, Knfigurieren und Löschen vn Sicherheitsrichtlinienvrlagen und Objektgruppen. Vrlagen anwenden: Recht zum Zuweisen vn Sicherheitsrichtlinienvrlagen an Netzwerkknten und Abteilungen. Richtlinien verteilen: Recht zum Versenden vn resultierenden Sicherheitsrichtlinien. Überwachen: Recht zur Anzeige vn Abteilungen, Vrlagen, Objektgruppen, resultierenden Richtlinien und Lgdateien für Versand und Anwendung vn Richtlinien. In ViPNet Plicy Manager sind eine Reihe vn vrdefinierten Benutzerrllen vrgesehen: Supervisr: besitzt alle Benutzerrechte. Auditr: besitzt das Benutzerrecht Überwachen. Verteilugsadministratr: besitzt die Benutzerrechte Vrlagen anwenden und Richtlinien verteilen. Richtlinienadministratr: besitzt die Benutzerrechte Abteilungen verwalten, Vrlagen verwalten und Vrlagen anwenden. Die Verwaltung vn Benutzerrechten wird durch Zuweisung vn Rllen bei der Knfiguratin vn Benutzerknten durchgeführt (s. Erstellen und Ändern vn Benutzerknten auf S. 45). Jedem Benutzer kann eine der mehrere Rllen zugerdnet werden. Die Rechte des Benutzers, dem mehrere Rllen zugewiesen wurden, können als Gesamtheit der Rechte all seiner Benutzerrllen betrachtet werden. Die Zuweisung der Rllen an die Benutzer hängt vn der Anzahl und der Qualifikatin der Mitarbeiter ab, die für die Verwaltung des ViPNet Netzwerks eingesetzt werden. Falls die vm Administratr vrgegebenen Benutzerknten nicht ausreichen, kann das integrierte Benutzerknt Supervisr mit der Rlle Supervisr verwendet werden, das über alle Berechtigungen verfügt. ViPNet Plicy Manager 4.3. Administratrhandbuch 44

45 Verwaltung vn Benutzerknten Ein Benutzerknt enthält den Namen, das Passwrt und die persönlichen Daten des Benutzers swie die zugerdneten Benutzerrllen. Nach der Installatin vn ViPNet Plicy Manager wird das integrierte Benutzerknt mit dem Namen Supervisr und dem Passwrt Supervisr für die Anmeldung verwendet. Dieses ermöglicht es Ihnen, andere Knten zu erstellen, bestehende Benutzerknten und -rllen zu verwalten und mit anderen Objekten zu arbeiten. Das integrierte Benutzerknt kann nicht gelöscht werden. Achtung! Es wird nachdrücklich empfhlen, das Passwrt des integrierten Benutzerknts nach der Installatin des Prgramms zu ändern (s. Wechsel des Benutzerpasswrts auf S. 52). Im Prgramm ViPNet Plicy Manager wird die Liste der Benutzerknten im Bereich Zugangssteuerung im Unterbereich Benutzer abgebildet. Dieser Unterbereich wird nur dann in der Navigatinsleiste eingeblendet, wenn der aktuelle Prgrammbenutzer über das Recht Benutzer verwalten verfügt. Abbildung 9. Liste vn Benutzerknten Erstellen und Ändern vn Benutzerknten Damit die Prgrammbenutzer Abteilungen und Vrlagen verwalten, Vrlagen zuweisen und Sicherheitsrichtlinien an die Netzwerkknten versenden können, sllten zunächst Benutzerknten mit entsprechenden Benutzerrechten erstellt werden. Am Beginn wird das integrierte Benutzerknt Supervisr zum Erstellen vn neuen Benutzerknten verwendet. In weiterer Flge können die Benutzerknten vn einem anderen Benutzer mit dem Recht Benutzer verwalten verwaltet werden. ViPNet Plicy Manager 4.3. Administratrhandbuch 45

46 Zum Erstellen eines neuen Benutzerknts: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste im Bereich Zugangssteuerung den Unterbereich Benutzer. 2 Klicken Sie in der Panel-Ansicht (s. Abbildung 9 auf S. 45) auf die Schaltfläche Erstellen. Abbildung 10. Fenster zum Erstellen eines neuen Benutzerknts 3 Führen Sie flgende Schritte im Fenster Benutzerkntptinen im Bereich Allgemeine Optinen aus: Definieren Sie den Namen des Benutzerknts (Lgin). Der Kntname darf ausschließlich lateinische Buchstaben und Ziffern enthalten. Geben Sie das Passwrt ein und bestätigen es. Das Passwrt muss mindestens neun Zeichen enthalten. Ist es erfrderlich, die Gültigkeitsdauer des Passwrts einzuschränken, aktivieren Sie das entsprechende Kntrllkästchen und geben das Ablaufdatum des Passwrts ein. 4 Geben Sie im Fenster Benutzerkntptinen im Bereich Zusätzliche Optinen die persönlichen Daten des Benutzers in den entsprechenden Feldern ein. Abbildung 11. Zusätzliche Optinen des Benutzerknts 5 Stellen Sie im Fenster Benutzerkntptinen im Bereich Benutzerrllen mit Hilfe der Schaltflächen Hinzufügen und Löschen die Liste der Benutzerrllen zusammen. ViPNet Plicy Manager 4.3. Administratrhandbuch 46

47 Abbildung 12. Liste vn Rllen, die dem Benutzer zugerdnet sind Achtung! Dem Benutzer sllte zumindest eine Rlle zugewiesen werden. Anderenfalls kann das Benutzerknt nicht gespeichert werden. 6 Klicken Sie auf die Schaltfläche OK. In der Liste der Benutzerknten wird ein neuer Eintrag angezeigt. Zum Ändern eines vrhandenen Benutzerknts (mit Ausnahme des integrierten Benutzerknts Supervisr): 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Benutzer. 2 Wählen Sie das benötigte Benutzerknt in der Panel-Ansicht (s. Abbildung 9 auf S. 45) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf das Benutzerknt. 3 Ändern Sie im Fenster Benutzerkntptinen die Knteigenschaften der die Liste der Benutzerrllen auf die gleiche Weise, wie beim Erstellen des Benutzerknts. Hinweis. Das Benutzerknt des aktuellen Prgrammbenutzers kann nicht geändert werden. Wenn Sie gerade dieses Benutzerknt ändern möchten, beenden Sie das Prgramm und starten Sie es dann neu unter Verwendung eines anderen Benutzerknts, das über die Berechtigung Benutzer verwalten verfügt. Löschen vn Benutzerknten Nicht verwendete der nicht benötigte Benutzerknten können gelöscht werden. Zum Beispiel kann beim Entlassen eines Mitarbeiters sein Benutzerknt gelöscht werden, falls dies vn den Sicherheitsvrschriften der Firma vrgeschrieben wird. Zum Löschen eines Benutzerknts sllte ein Benutzer über Rechte zum Verwalten vn Benutzerknten verfügen. Zum Löschen eines Benutzerknts: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Benutzer. ViPNet Plicy Manager 4.3. Administratrhandbuch 47

48 2 Wählen Sie in der Panel-Ansicht (s. Abbildung 9 auf S. 45) das benötigte Benutzerknt (der mehrere Benutzerknten) und klicken Sie auf die Schaltfläche Löschen. 3 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Benutzerknten werden gelöscht. ViPNet Plicy Manager 4.3. Administratrhandbuch 48

49 Verwaltung vn Benutzerrllen Die Benutzerrllen (s. Benutzerrlle auf S. 133) werden dazu verwendet, die Berechtigungen der Benutzer im Prgramm ViPNet Plicy Manager zu verwalten. Eine Rlle kann einer bestimmten Berechtigung entsprechen der mehrere Berechtigungen zusammenfassen (s. Abgrenzung vn Rechten auf Basis vn Benutzerrllen auf S. 44). Aktinen, die ein Benutzer in einem bestimmten Prgramm ausführen darf, sind durch Rllen begrenzt, die diesem Benutzer zugewiesen sind. Im Prgramm ViPNet Plicy Manager wird die Liste der Benutzerrllen im Bereich Zugangssteuerung im Unterbereich Benutzerrllen angezeigt. Dieser Unterbereich wird in der Navigatinsleiste nur dann eingeblendet, wenn der aktuelle Prgrammbenutzer über die Berechtigung Benutzerrllen verwalten verfügt. Abbildung 13. Liste der Benutzerrllen Erstellen und Ändern vn Benutzerrllen In ViPNet Plicy Manager gibt es eine Reihe vn vrinstallierten Benutzerrllen (s. Abgrenzung vn Rechten auf Basis vn Benutzerrllen auf S. 44). Daneben besteht die Möglichkeit, eigene Benutzerrllen mit beliebigen Kmbinatinen an Benutzerrechten zu definieren. Zum Erstellen einer neuen Benutzerrlle: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste im Bereich Zugangssteuerung den Unterbereich Benutzerrllen. 2 Klicken Sie in der Panel-Ansicht (s. Abbildung 13 auf S. 49) auf die Schaltfläche Erstellen. ViPNet Plicy Manager 4.3. Administratrhandbuch 49

50 Abbildung 14. Fenster zum Erstellen einer neuen Benutzerrlle 3 Geben Sie im Fenster Benutzerrllenptinen im Bereich Allgemeine Optinen den Rllennamen und die Rllenbeschreibung in den entsprechenden Feldern ein. 4 Aktivieren Sie im Fenster Benutzerrllenptinen im Bereich Benutzerrechte die Kntrllkästchen der Benutzerrechte, über welche die neue Benutzerrlle verfügen sll. Abbildung 15. Benutzerrechte, die in der Benutzerrlle definiert sind 5 Klicken Sie auf die Schaltfläche OK. In der Liste der Benutzerrllen wird der neue Eintrag angezeigt. Hinweis. Wenn für eine Rlle keine Berechtigungen definiert wurden, wird eine entsprechende Meldung angezeigt. Eine slche Rlle kann nicht gespeichert werden. Zum Ändern einer vrhandenen Benutzerrlle: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Benutzerrllen. 2 Wählen Sie die benötigte Benutzerrlle in der Panel-Ansicht (s. Abbildung 13 auf S. 49) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Benutzerrlle. 3 Ändern Sie im Fenster Benutzerrllenptinen die Rllenparameter der die Liste der Benutzerrechte auf die gleiche Weise, wie beim Erstellen der Benutzerrlle. ViPNet Plicy Manager 4.3. Administratrhandbuch 50

51 Löschen vn Benutzerrllen Eine nicht verwendete Benutzerrlle kann auch gelöscht werden. Dazu: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Benutzerrllen. 2 Wählen Sie die benötigte Benutzerrlle (der mehrere Benutzerrllen) in der Panel-Ansicht (s. Abbildung 13 auf S. 49) aus und klicken Sie auf die Schaltfläche Löschen. 3 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Benutzerrllen werden gelöscht. ViPNet Plicy Manager 4.3. Administratrhandbuch 51

52 Wechsel des Benutzerpasswrts Beim Arbeiten mit ViPNet Plicy Manager kann der Benutzer sein aktuelles Passwrt ändern. Ein Passwrtwechsel sllte in flgenden Fällen durchgeführt werden: Bei der erstmaligen Anmeldung im Prgramm, die ausschließlich unter Verwendung des integrierten Benutzerknts Supervisr erflgen kann. Eine Meldung über die Ntwendigkeit eines Passwrtwechsels wird slange angezeigt, bis das standardmäßig definierte Passwrt geändert wird. Nach Ablauf der Gültigkeitsdauer des aktuellen Passwrts (falls die Gültigkeitsdauer des Passwrts zeitlich begrenzt wurde). Zur Erhöhung der Sicherheit des Passwrts (der Benutzer, der das Benutzerknt angelegt hat, wird das Passwrt nach einem Wechsel nicht mehr kennen). Zum Ändern des Passwrts: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager im Menü Datei den Eintrag Benutzerpasswrt ändern. 2 Geben Sie im Fenster Passwrt ändern im Feld Aktuelles Passwrt das aktuelle Passwrt ein. Geben Sie dann das neue Passwrt und die Passwrtbestätigung in den entsprechenden Feldern ein. Abbildung 16. Benutzerpasswrt ändern 3 Klicken Sie auf die Schaltfläche Passwrt ändern. Verwenden Sie das neue Passwrt für die nächste Anmeldung im Prgramm. ViPNet Plicy Manager 4.3. Administratrhandbuch 52

53 6 Arbeiten mit Netzwerkknten Anzeige der Liste verwalteter Knten 54 Anzeige und Änderung allgemeiner Netzwerkkntenptinen 56 ViPNet Plicy Manager 4.3. Administratrhandbuch 53

54 Anzeige der Liste verwalteter Knten ViPNet Netzwerkknten (auf S. 136) stellen Cmputer mit installierter ViPNet Sftware dar, die in einem ViPNet Netzwerk (auf S. 136) untergebracht sind. Mit Hilfe des Prgramms ViPNet Plicy Manager können Sicherheitsrichtlinien vn Netzwerkknten, die sich im gleichen ViPNet Netzwerk befinden, gesteuert werden. Die Liste der Netzwerkknten, die auf diese Weise verwaltet werden können, wird im Bereich Verwaltete Netzwerkknten angezeigt. Abbildung 17. Liste verwalteter Netzwerkknten Für jeden Netzwerkknten werden Daten angezeigt, die in der nachflgenden Tabelle zusammengefasst sind. Tabelle 6. Angezeigte Daten über ViPNet Netzwerkknten Spalte Typ Beschreibung Symbl mit Kennzeichnung des Netzwerkknten-Typs: Crdinatr; Client. Name Indentifikatr (ID) Abteilungen Richtlinienvrlagen Kntenname. ID des Kntens im ViPNet Netzwerk. Anzahl an Abteilungen, in denen der gegebene Knten enthalten ist. Anzahl an Vrlagen, die dem gegebenen Knten zugewiesen sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 54

55 Spalte Richtlinienstatus Beschreibung Status der resultierenden Richtlinie, die für den gegebenen Knten im Prgramm ViPNet Plicy Manager definiert wurde (s. Resultierende Sicherheitsrichtlinie auf S. 134): Undefiniert: Richtlinie ist nicht definiert, da dem Knten keine einzige Vrlage zugewiesen wurde; Verteilung erfrderlich: es liegen nicht versendete Richtlinien vr; Versendet: Richtlinie wurde an den Knten versendet; Ergebnis der Verarbeitung der Richtlinie auf dem Knten: Zugestellt, Angenmmen, Abgelehnt u. s. w. Änderungsdatum des Richtlinienstatus Beschreibung Datum der Zuweisung des aktuellen Status an die resultierende Sicherheitsrichtlinie. Beschreibung des Kntens. Die Zusammensetzung der abgebildeten Spalten kann geändert werden. Damit eine bestimmte Spalte ein- der ausgeblendet wird, klicken Sie mit der rechten Maustaste auf die Tabellenüberschrift und setzen der entfernen Sie im Menü das Häkchen neben dem entsprechenden Menüeintrag. Hinweis. Die Spalte mit dem Kntennamen kann nicht ausgeblendet werden. Die dargestellten Netzwerkkntendaten können nach jeder beliebigen Spalte srtiert werden. Klicken Sie dazu auf die Überschrift der betreffenden Spalte. Beim ersten Klick wird die Spalte aufsteigend, beim nachflgenden Klick absteigend srtiert. Die Liste der verwalteten Netzwerkknten kann im Prgramm ViPNet Netwrk Cntrl Center geändert und im Rahmen eines Updates der Adresslisten und Schlüssel an einen Knten mit installiertem ViPNet Plicy Manager gesendet werden. Die Liste der verwalteten Knten im Prgramm ViPNet Plicy Manager wird beim Erhalt eines slchen Updates autmatisch aktualisiert. ViPNet Plicy Manager 4.3. Administratrhandbuch 55

56 Anzeige und Änderung allgemeiner Netzwerkkntenptinen Zu den allgemeinen Optinen des Netzwerkkntens gehören der Name und die Beschreibung des Kntens swie seine ID und die Adresse im ViPNet Netzwerk. Zum Anzeigen und Ändern der allgemeinen Optinen des Netzwerkkntens: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 2 Wählen Sie den Netzwerkknten in der Panel-Ansicht (s. Abbildung 17 auf S. 54) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf den Netzwerkknten. 3 Wählen Sie im Fenster Netzwerkknten-Eigenschaften in der linken Leiste den Bereich Allgemeine Optinen. Abbildung 18. Allgemeine Netzwerkkntenptinen 4 Ändern Sie, wenn nötig, die Beschreibung des Netzwerkkntens im entsprechenden Feld. Hinweis. Die im ViPNet Netwrk Cntrl Center definierten Kntenparameter können im Prgramm ViPNet Plicy Manager nicht geändert werden: Kntenname, Knten-ID, Adresse im ViPNet Netzwerk. 5 Klicken Sie auf OK, um die Änderungen zu speichern. Für den Netzwerkknten wird die neue Beschreibung eingeblendet. ViPNet Plicy Manager 4.3. Administratrhandbuch 56

57 7 Verwaltung vn Abteilungen Rlle der Abteilungen 58 Erstellen einer Abteilung 59 Anzeige und Änderung allgemeiner Abteilungsptinen 60 Hinzufügen vn Netzwerkknten in der Abteilung 61 Löschen vn Abteilungen 64 ViPNet Plicy Manager 4.3. Administratrhandbuch 57

58 Rlle der Abteilungen Die Abteilungen werden dazu verwendet, mehrere Netzwerkknten, auf welche die gleiche Sicherheitsrichtlinie angewendet werden sll, in einer Gruppe zusammen zu fassen. Die Bildung einer gemeinschaftlichen Richtlinie für slche Knten erflgt durch Zuweisung vn Vrlagen nicht an einzelne Knten, sndern an die Abteilung insgesamt. Das Versenden der Sicherheitsrichtlinie an die Netzwerkknten kann dabei swhl selektiv (s. Selektiver Versand der Richtlinie auf S. 110) als auch gruppenweise an alle Knten der Abteilung erflgen (s. Gruppenversand der Richtlinie auf S. 111). Die Abteilungen können hierarchisch rganisiert werden, indem innerhalb vn Abteilungen Unterabteilungen gebildet werden. An der Wurzel der Hierarchie befindet sich die Stammabteilung Verwaltete Netzwerkknten, die alle verwalteten Netzwerkknten enthält. Die Namen vn Abteilungen müssen im Rahmen der übergerdneten Abteilung eindeutig sein. Zum Beispiel müssen Unterabteilungen, die sich unmittelbar innerhalb der Stammabteilung befinden, über unterschiedliche Namen verfügen. Im Prgramm ViPNet Plicy Manager wird die hierarchische Struktur der Abteilungen im Bereich Abteilungen abgebildet. Für jede Abteilung wird die Anzahl der darin enthaltenen Knten und zugerdneten Vrlagen angezeigt. Abbildung 19. Abteilungen Hinweis. Die Stammabteilung Verwaltete Netzwerkknten wird autmatisch angelegt und ist in der Hierarchie der Abteilungen standardmäßig integriert. Diese Abteilung enthält alle Netzwerkknten, die vm ViPNet Plicy Manager verwaltet werden, unabhängig davn, in welchen weiteren Abteilungen diese Knten enthalten sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 58

59 Erstellen einer Abteilung Zum Erstellen einer neuen Abteilung: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Klicken Sie in der Panel-Ansicht (s. Abbildung 19 auf S. 58) auf die Schaltfläche Erstellen. 3 Geben Sie im Fenster Abteilungsptinen im Bereich Allgemeine Optinen die flgenden Parameter an: Geben Sie im Feld Name den Namen der Abteilung ein. Geben Sie im Feld Gruppenhierarchie den Standrt der neuen Abteilung innerhalb der Abteilungshierarchie an. Standardmäßig wird die neue Abteilung in der aktuell ausgewählten Abteilung untergebracht. Wenn Sie einen anderen Standrt angeben möchten, klicken Sie auf die Schaltfläche und wählen Sie die benötigte Abteilung aus. Geben Sie im Feld Beschreibung eine Beschreibung der neuen Abteilung ein. Abbildung 20. Allgemeine Abteilungsptinen 4 Definieren Sie im Fenster Abteilungsptinen im Bereich Verwaltete Netzwerkknten die Liste der Netzwerkknten, die in der Abteilung enthalten sein sllen (s. Mehrere Netzwerkknten zur Abteilung hinzufügen auf S. 62). 5 Weisen Sie der neuen Abteilung im Fenster Abteilungsptinen im Bereich Richtlinienvrlagen die benötigten Sicherheitsrichtlinienvrlagen zu (s. Zuweisen der Vrlage an eine Abteilung auf S. 101). 6 Klicken Sie auf die Schaltfläche OK. Die neue Abteilung wird in der Hierarchie der Abteilungen eingeblendet. ViPNet Plicy Manager 4.3. Administratrhandbuch 59

60 Anzeige und Änderung allgemeiner Abteilungsptinen Zu den allgemeinen Optinen der Abteilung gehören der Name und die Beschreibung der Abteilung swie ihr Standrt innerhalb der Abteilungshierarchie. Diese Parameter werden beim Erstellen der Abteilung definiert (s. Erstellen einer Abteilung auf S. 59), können aber bei Bedarf geändert werden. Zum Anzeigen und Ändern der allgemeinen Parameter der Abteilung: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie die Abteilung in der Panel-Ansicht (s. Abbildung 19 auf S. 58) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Abteilung. 3 Wählen Sie im Fenster Abteilungsptinen in der linken Leiste den Bereich Allgemeine Optinen (s. Abbildung 20 auf S. 59). 4 Ändern Sie, wenn nötig, den Namen und die Beschreibung der Abteilung in den entsprechenden Feldern. 5 Wenn der Standrt der Abteilung in der Hierarchie geändert werden sll, klicken Sie auf die Schaltfläche rechts vm Feld Gruppenhierarchie und wählen Sie diejenige Abteilung aus, in welche die betrffene Abteilung verschben werden sll. 6 Klicken Sie auf OK, um die Änderungen zu speichern. Der Name der die Beschreibung der Abteilung ändern sich, die Abteilung nimmt ihren neuen Platz in der Hierarchie ein (falls die Abteilung verschben wurde). ViPNet Plicy Manager 4.3. Administratrhandbuch 60

61 Hinzufügen vn Netzwerkknten in der Abteilung Jeder Netzwerkknten kann in einer der mehreren Abteilungen enthalten sein. In diesem Fall wird die Sicherheitsrichtlinie des Kntens unter Berücksichtigung der den Abteilungen zugewiesenen Vrlagen definiert (s. Regeln zur Bildung der resultierenden Sicherheitsrichtlinie auf S. 104). Die Netzwerkknten können auf eine der zwei nachflgenden Arten zu einer Abteilung hinzugefügt werden: Der Abteilung einen einzelnen Knten hinzufügen (s. Einen Netzwerkknten zur Abteilung hinzufügen auf S. 61). Auf diese Weise ist auch das Hinzufügen eines Kntens zu mehreren Abteilungen gleichzeitig möglich. Der Abteilung mehrere Knten gleichzeitig hinzufügen (s. Mehrere Netzwerkknten zur Abteilung hinzufügen auf S. 62). Einen Netzwerkknten zur Abteilung hinzufügen Führen Sie die flgenden Schritte aus, um der Abteilung einen Netzwerkknten hinzuzufügen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 2 Wählen Sie den Netzwerkknten in der Panel-Ansicht (s. Abbildung 17 auf S. 54) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf den Netzwerkknten. 3 Wählen Sie im Fenster Netzwerkknten-Eigenschaften in der linken Leiste den Bereich Abteilungen. In der rechten Leiste wird die Hierarchie der Abteilungen angezeigt. Die Kntrllkästchen der Abteilungen, denen der aktuelle Netzwerkknten bereits zugerdnet ist, sind aktiviert. ViPNet Plicy Manager 4.3. Administratrhandbuch 61

62 Abbildung 21. Abteilungen,in denen der Knten enthalten ist 4 Aktivieren Sie die Kntrllkästchen jener Abteilungen, denen der aktuelle Knten hinzugefügt werden sll, und deaktivieren Sie die Kntrllkästchen jener Abteilungen, aus denen der Knten entfernt werden sll. 5 Klicken Sie auf OK, um die Änderungen zu speichern. Mehrere Netzwerkknten zur Abteilung hinzufügen Einer Abteilung können auch mehrere Netzwerkknten gleichzeitig hinzugefügt werden. Dazu: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie die Abteilung in der Panel-Ansicht (s. Abbildung 19 auf S. 58) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Abteilung. 3 Wählen Sie im Fenster Abteilungsptinen in der linken Leiste den Bereich Netzwerkknten. Abbildung 22. Liste der Netzwerkknten, die in der Abteilung enthalten sind ViPNet Plicy Manager 4.3. Administratrhandbuch 62

63 4 Klicken Sie auf die Schaltfläche Hinzufügen. 5 Wählen Sie im eingeblendeten Fenster einen der mehrere Knten aus der Liste aus und klicken Sie auf OK. Die gewählten Knten werden zur Liste der Abteilungsknten hinzugefügt. 6 Klicken Sie auf OK, um die Änderungen zu speichern. Führen Sie die flgenden Schritte aus, wenn irgendwelche Knten aus der Abteilung entfernt werden sllen: 1 Wählen Sie einen der mehrere Knten aus der Liste der Abteilungsknten aus und klicken Sie auf die Schaltfläche Entfernen. 2 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Knten werden aus der Kntenliste gelöscht. 3 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 63

64 Löschen vn Abteilungen Jede Abteilung innerhalb der Hierarchie kann gelöscht werden. Eine Ausnahme bildet die Stammabteilung Verwaltete Netzwerkknten, die alle verwalteten Knten enthält, die im ViPNet Netwrk Cntrl Center der ViPNet Netwrk Manager definiert wurden. Zum Löschen einer Abteilung: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie in der Panel-Ansicht (s. Abbildung 19 auf S. 58) eine der mehrere Abteilungen aus und klicken Sie auf die Schaltfläche Löschen. 3 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Abteilungen löschen. Abbildung 23. Löschen vn Abteilungen Die gewählten Abteilungen werden gelöscht. Dabei werden auch alle innerhalb der Abteilung enthaltenen Unterabteilungen gelöscht. Hinweis. Netzwerkknten, die in der gelöschten Abteilung enthalten waren, und Vrlagen, die der gelöschten Abteilung zugewiesen wurden, werden dabei nicht gelöscht. ViPNet Plicy Manager 4.3. Administratrhandbuch 64

65 8 Verwaltung vn Sicherheitsrichtlinienvrlagen Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen 66 Arbeiten mit Objektgruppen 67 Erstellen einer Sicherheitsrichtlinienvrlage 79 Anzeigen und Ändern der Netzwerkfilter in der Vrlage 80 Anzeigen und Ändern vn NAT-Regeln in der Vrlage 92 Kpieren der Sicherheitsrichtlinienvrlage 96 Löschen einer Sicherheitsrichtlinienvrlage 97 Zuweisen vn Vrlagen an Netzwerkknten und Abteilungen 98 ViPNet Plicy Manager 4.3. Administratrhandbuch 65

66 Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen Eine Sicherheitsrichtlinienvrlage besteht aus einer Gruppe vn Netzwerkfiltern und NAT-Regeln, die eine bestimmte Sicherheitsrichtlinie verwirklichen sllen. Die Sicherheitsrichtlinie eines Kntens wird durch Zuweisen vn Vrlagen an Knten und Abteilungen gebildet. Anhand der zugewiesenen Vrlagen werden resultierende Sicherheitsrichtlinien erstellt und an die Knten verteilt. Die vn den Knten erhaltenen resultierenden Richtlinien bestimmen gemeinsam mit den lkal definierten Filtern die Regeln der Traffic-Filterung. Eine Vrlage kann die flgenden Elemente enthalten: Netzwerkfilter (s. Anzeigen und Ändern der Netzwerkfilter in der Vrlage auf S. 80): lkale Filter des ffenen Netzwerks; Transit-Filter des ffenen Netzwerks; Filter für getunnelte Knten; Filter des privaten Netzwerks. NAT-Regeln (s. Anzeigen und Ändern vn NAT-Regeln in der Vrlage auf S. 92). Im Prgramm ViPNet Plicy Manager wird die Liste der Vrlagen im Bereich Richtlinienvrlagen aufgeführt. Für jede Vrlage wird die Anzahl an Knten und Abteilungen, denen die Vrlage zugewiesen ist, angezeigt. Abbildung 24. Liste der Sicherheitsrichtlinienvrlagen Hinweis. In der Vrlagenliste werden auch die Standardvrlagen für Sicherheitsrichtlinien aufgeführt, die als Bestandteil der ViPNet Plicy Manager-Sftware geliefert werden. ViPNet Plicy Manager 4.3. Administratrhandbuch 66

67 Arbeiten mit Objektgruppen Objektgruppen dienen dazu, die Definitin vn Netzwerkfiltern und NAT-Regeln in Sicherheitsrichtlinienvrlagen zu vereinfachen. In Objektgruppen werden mehrere Werte eines Typs zusammengefasst, wdurch sie beim Einstellen der Parameter vn Filter- der NAT-Regeln anstatt einzelner knkreter Objekte verwendet werden können. Es existieren flgende Arten vn Objektgruppen: System-Objektgruppen. Benutzerdefinierte Objektgruppen. System-Objektgruppen: im Prgramm ViPNet Plicy Manager integrierte Objekte mit festen Namen. Diese Objektgruppen können in neu zu erstellenden Netzwerkfiltern zur Angabe der Sender und Empfänger vn IP-Paketen swie in benutzerdefinierten Objektgruppen verwendet werden. System- Objektgruppen werden in Gruppenlisten nicht angezeigt und können nicht geändert der gelöscht werden. Eine Liste der System-Objektgruppen finden Sie im Abschnitt System-Objektgruppen (auf S. 68). Benutzerdefinierte Objektgruppen: Gruppen vn Objekten, die vm Benutzer unmittelbar im Prgramm ViPNet Plicy Manager erstellt werden. Jede Objektgruppe wird unterschiedlich zusammengestellt, dabei können für jeden Inhalt der Gruppe Ausnahmen definiert werden. In die Inhalts- und Ausnahmeliste einer Gruppe können andere Objektgruppen desselben Typs der bestimmte System-Objektgruppen integriert werden. Mit benutzerdefinierten Objektgruppen wird im Bereich Objektgruppen gearbeitet. Abbildung 25. Группы объектов ViPNet Plicy Manager 4.3. Administratrhandbuch 67

68 Benutzerdefinierte Objektgruppen werden in flgende Typen unterteilt: ViPNet Knten: Gruppe vn Knten im geschützten Netzwerk. Wird in Filtern des geschützten Netzwerks und der getunnelten Knten verwendet. IP-Adressen: eine beliebige Kmbinatin einzelner IP-Adressen und IP-Adressbereiche der DNS- Namen. Wird in NAT-Regeln und Netzwerkfiltern verwendet (mit Ausnahme der Filter des privaten Netzwerks). Netzwerkadapter: eine beliebige Kmbinatin einzelner Netzwerkadapter der IP-Adressen der Netzwerkadapter. Wird in Netzwerkfiltern auf Crdinatren verwendet (mit Ausnahme der Filter des privaten Netzwerks). Für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux swie ViPNet Crdinatr HW können in den Netzwerkfiltern auch die IDs ihrer Netzwerkadapter verwendet werden. Prtklle: eine beliebige Kmbinatin vn Prtkllen und Prts. Wird in allen Filtern und NAT- Regeln verwendet. Zeitpläne: eine beliebige Kmbinatin vn Anwendungsregeln für Netzwerkfilter gemäß Uhrzeit und Wchentag. Wird in allen Filtern verwendet. Sie können eine Objektgruppe beliebigen Typs erstellen. Es macht Sinn, Gruppen vn Objekten aus häufig verwendeten Elementen zu erstellen. Weitere Details zur Definitin vn Gruppen s. Abschnitt Erstellen und Ändern vn Objektgruppen (auf S. 69). System-Objektgruppen. In der nachflgenden Tabelle wird eine Liste vn System-Objektgruppen mitsamt ihrer Beschreibung vrgestellt. Tabelle 7. System-Objektgruppen. Name der Objektgruppe Alle Clients Alle Crdinatren Alle Objekte Bradcast-Adressen Beschreibung Alle Clients aus der Adressliste des Kntens Alle Crdinatren aus der Adressliste des Kntens Gesamtheit aller Objekte in einer Gruppe bestimmten Typs; wird nur als Bestandteil vn Objektgruppen verwendet und dient dazu, Gruppen zu erstellen, die alle Objekte mit nur wenigen Ausnahmen umfassen. Alle Bradcast-Adressen Werden beim Erstellen vn Bradcast-Filtern verwendet Mein Knten Eigener Knten Kann nur als Quelle der IP-Pakete angegeben werden. In diesem Fall wird der Filter auch auf ausgehende Verbindungen des Kntens angewendet. ViPNet Plicy Manager 4.3. Administratrhandbuch 68

69 Name der Objektgruppe Andere Knten Beschreibung Andere Netzwerkknten (alle Knten mit Ausnahme des eigenen) Kann nur als Quelle der IP-Pakete angegeben werden. In diesem Fall wird der Filter auch auf eingehende Verbindungen des Kntens angewendet. Getunnelte IP-Adressen Alle IP-Adressen, die vm Crdinatr-Knten getunnelt werden. Gruppenadressen Adressbereich für den Gruppenversand ( ) Kann nur als Ziel für ffene Verbindungen angegeben werden. Erstellen und Ändern vn Objektgruppen Führen Sie die flgenden Schritte aus, um eine neue Objektgruppe zu erstellen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Objektgruppen. 2 Klicken Sie in der Panel-Ansicht auf den Link mit dem Typ der Objektgruppe, die Sie erstellen möchten, der wählen Sie den entsprechenden Unterbereich in der Navigatinsleiste aus. 3 Klicken Sie in der Panel-Ansicht auf die Schaltfläche Erstellen. Es wird das Fenster mit den Objektgruppenptinen geöffnet, in dem Sie die Parameter der neuen Gruppe definieren können. 4 Geben Sie im Bereich Allgemeine Optinen den Namen und die Beschreibung der Objektgruppe an. Der Name der Objektgruppe sllte eindeutig sein. 5 Legen Sie die Elemente der neuen Gruppe im Bereich Inhalt fest. Beim Definieren des Inhalts einzelner Gruppentypen sllten Sie Flgendes beachten: ViPNet Knten: geben Sie die geschützten Knten an, die in die neue Gruppe aufgenmmen werden sllen. Details s. Abschnitt Hinzufügen vn Netzwerkknten (auf S. 73). Zur Gruppe der Knten des privaten Netzwerks können Sie auch die System-Objektgruppen Alle Crdinatren, Alle Clients und Alle Objekte hinzufügen (s. System-Objektgruppen. auf S. 68). ViPNet Plicy Manager 4.3. Administratrhandbuch 69

70 Abbildung 26. Festlegen des Inhalts einer Netzwerkknten-Gruppe IP-Adressen: geben Sie hier einzelne IP-Adressen, Adressbereiche, Subnetze der DNS-Namen an. Details s. Abschnitt Hinzufügen vn IP-Adressen und DNS-Namen (auf S. 74). Als Teil der Adress-Gruppe können Sie auch die Systemgruppe Alle Objekte verwenden. Abbildung 27. Festlegen des Inhalts einer Adress-Gruppe Netzwerkadapter: geben Sie hier die IP-Adresse eines Netzwerkadapters der einer Netzwerkadaptergruppe an. Details zum Hinzufügen vn IP-Adressen vn Netzwerkadaptern s. Abschnitt Hinzufügen vn IP-Adressen und DNS-Namen (auf S. 74). Falls erfrderlich, geben Sie die Netzwerkadapter-IDs (s. Hinzufügen des Netzwerkadapter- Identifikatrs auf S. 75) für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux swie für die Crdinatren ViPNet Crdinatr HW vr. Als Teil der Netzwerkadapter-Gruppe können Sie auch die Systemgruppe Alle Objekte verwenden. ViPNet Plicy Manager 4.3. Administratrhandbuch 70

71 Abbildung 28. Festlegen des Inhalts einer Netzwerkadapter-Gruppe Prtklle: geben Sie hier die Prtklle und, wenn nötig, die Prtnummern an. Details s. Abschnitt Hinzufügen vn Prtkllen (auf S. 76). Als Teil der Prtkll-Gruppe können Sie auch die Systemgruppe Alle Objekte verwenden. Abbildung 29. Festlegen des Inhalts einer Prtkll-Gruppe Zeitpläne: geben Sie hier einen Zeitplan an, den Sie durch Angabe vn Wchentagen der Zeitbereichen definieren. In der Flge können slche Zeitpläne zur Begrenzung der Gültigkeitsdauer vn Netzwerkfiltern verwendet werden. Details s. Abschnitt Hinzufügen vn Zeitplänen (auf S. 77). Als Teil der Zeitplan-Gruppe können Sie auch die Systemgruppe Alle Objekte verwenden. ViPNet Plicy Manager 4.3. Administratrhandbuch 71

72 Abbildung 30. Festlegen des Inhalts einer Planungs-Gruppe Hinweis. Jede Objektgruppe kann weitere Objektgruppen des selben Typs beinhalten, d. h. es kann eine geschachtelte Struktur vn Objektgruppen des gleichen Typs erstellt werden. 6 Geben Sie im Bereich Ausnahmen die Ausnahmen aus der Objektgruppe an, d. h. jene Elemente, die nicht zur Gruppe gehören sllen. Beispiel: wenn Sie eine Gruppe geschützter Knten erstellen möchten, die alle Crdinatren mit Ausnahme eines einzigen Crdinatrs umfasst, dann fügen Sie der Gruppe die Systemgruppe Alle Crdinatren hinzu und legen Sie den betrffenen Crdinatr-Knten als Ausnahme fest. Es können auch andere Objektgruppen des gleichen Typs als Ausnahmen definiert werden. Die Definitin der Ausnahmen wird auf die gleiche Weise wie die Definitin der Objektgruppeninhalte durchgeführt. Hinweis. Es ist nicht nötig, im Bereich Verwendung irgendwelche Objekte zu definieren. Hier wird eine Liste vn Filtern eingeblendet, in denen die gegebene Objektgruppe verwendet wird. Beim Anlegen einer Objektgruppe bleibt dieser Bereich leer. 7 Wenn Sie fertig sind, klicken Sie auf OK. Die neue Gruppe wird in der Liste der Objektgruppen des gewählten Typs eingeblendet. Wenn der Gruppeninhalt beim Erstellen einer Objektgruppe nicht definiert wird, dann gilt eine slche Gruppe als leer. Es wird davn abgeraten, leere Gruppen in den Netzwerkfiltern zu verwenden, da die Filter in diesem Fall nicht angewendet werden. Wenn Sie die Parameter der Objektgruppe ändern möchten, wählen Sie die Gruppe im entsprechenden Bereich aus und dppelklicken Sie darauf der klicken Sie auf Optinen. Nachdem Sie alle erfrderlichen Änderungen an den allgemeinen Optinen der Gruppe der am Gruppeninhalt vrgenmmen haben, klicken Sie im Gruppenptinen-Fenster auf OK. Zum Löschen einer Objektgruppe wählen Sie die Gruppe im entsprechenden Bereich aus und klicken Sie auf die Schaltfläche Löschen. Bestätigen Sie den Löschvrgang im eingeblendeten Meldungsfenster. Wenn die zu löschende Objektgruppe in irgendwelchen Netzwerkfiltern der NAT-Regeln verwendet ViPNet Plicy Manager 4.3. Administratrhandbuch 72

73 wird der in anderen Objektgruppen enthalten ist, dann wird eine entsprechende Meldung angezeigt und die Gruppe wird nicht gelöscht. In diesem Fall können Sie mit Hilfe der Schaltfläche Details einblenden im Meldungsfenster alle Elemente anzeigen lassen, vn denen die Gruppe verwendet wird. Anschließend können Sie die Zurdnung der Gruppe zu diesen Elementen aufheben und den Löschvrgang wiederhlen. Abbildung 31. Fehler beim Löschen vn Objektgruppen Hinzufügen vn Netzwerkknten Netzwerkknten können zum Inhalt und zu den Ausnahmen vn Netzwerkknten-Gruppen hinzugefügt werden. Zusätzlich können Netzwerkknten beim Erstellen vn Filtern des privaten Netzwerks der vn Filtern der getunnelten Knten flgendermaßen als Quelle der Ziel definiert werden: Beim Erstellen einer Kntengruppe der eines Filters können dem Objekt bestimmte Mengen vn Netzwerkknten hinzugefügt werden. Klicken Sie dazu im Optinenfenster der Kntengruppe der des Filters im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag ViPNet Netzwerkknten. Wählen Sie dann im eingeblendeten Fenster einen der mehrere Knten aus der Liste aus und klicken Sie auf OK. Abbildung 32. Wahlweises Hinzufügen vn Netzwerkknten Dadurch werden die gewählten Knten in der Liste hinzugefügt. ViPNet Plicy Manager 4.3. Administratrhandbuch 73

74 Beim Erstellen einer Kntengruppe können der Gruppe alle Netzwerkknten eines bestimmten ViPNet Netzwerks hinzugefügt werden. Klicken Sie dazu im Optinenfenster der Kntengruppe im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag ViPNet Netzwerknummer. Geben Sie die Nummer des benötigten Netzwerks im eingeblendeten Fenster ein. Dadurch werden alle Knten des gewählten Netzwerks in der Liste hinzugefügt. Beim Erstellen einer Kntengruppe können der Gruppe Netzwerkknten hinzugefügt werden, deren Namen einer bestimmten Maske entsprechen. Klicken Sie dazu im Optinenfenster der Kntengruppe im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag ViPNet Netzwerkknten-Namensvrlage. Geben Sie die Maske für die Kntennamen im eingeblendeten Fenster ein. Die Maske wird auf gewhnte Weise unter Verwendung der Zeichen * und? definiert. Dadurch werden alle Knten, deren Namen der angegebenen Maske entsprechen, in der Liste hinzugefügt. Hinzufügen vn IP-Adressen und DNS-Namen IP-Adressen und DNS-Namen können zum Inhalt und zu den Ausnahmen vn IP-Adressgruppen hinzugefügt werden. Zusätzlich können IP-Adressen und DNS-Namen beim Festlegen vn Quellen und Zielen in Netzwerkfiltern (mit Ausnahme der Filter des privaten Netzwerks) und NAT-Regeln verwendet werden. IP-Adressen können zusätzlich auch zum Inhalt und zu den Ausnahmen vn Netzwerkadaptergruppen hinzugefügt werden. In diesem Fall darf es sich bei den IP-Adressen um unmittelbare IP-Adressen der Netzwerkadapter handeln. Zum Hinzufügen vn IP-Adressen in einem der ben aufgeführten Fälle: 1 Klicken Sie im Optinenfenster der IP-Adressgruppe, des Netzwerkfilters der der NAT-Regel im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag IP- Adresse der Adressbereich. Im Optinenfenster der Netzwerkadaptergruppe, des Filters der der Regel (bei Definitin vn Schnittstellen) verwenden Sie dazu den Menüeintrag Adapter mit IP- Adresse. 2 Führen Sie im eingeblendeten Fenster die flgenden Schritte aus: Wenn eine bestimmte IP-Adresse hinzugefügt werden sll (und die Adresse bekannt ist), klicken Sie auf IP-Adresse und geben Sie im Feld daneben die benötigte IP-Adresse ein. Wenn IP-Adressen eines bestimmten Subnetzes angegeben werden sllen, aktivieren Sie die Optin Subnetz und geben Sie in den entsprechenden Feldern die Adresse und die Maske des benötigten Subnetzes ein. Wenn ein IP-Adressbereich angegeben werden sll, dann aktivieren Sie die Optin IP- Adressbereich und geben Sie in den entsprechenden Feldern die Start- und Endadresse des Adressbereichs ein. ViPNet Plicy Manager 4.3. Administratrhandbuch 74

75 Abbildung 33. Hinzufügen vn IP-Adressen Klicken Sie nach Eingabe aller erfrderlichen Daten auf OK. Alle angegebenen IP-Adressen werden der IP-Adressgruppe hinzugefügt. Wenn Sie einen DNS-Namen hinzufügen möchten, klicken Sie im Optinenfenster der IP-Adressgruppe der des Netzwerkfilters im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag DNS-Name. Geben Sie im eingeblendeten Fenster den DNS-Namen ein und klicken Sie auf OK. Der benötigte DNS-Name wird der Gruppe hinzugefügt. Hinzufügen des Netzwerkadapter-Identifikatrs Beim Erstellen der Netzwerkfilter für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und für die Appliances ViPNet Crdinatr HW können Sie die IDs der Netzwerkadapter dieser Crdinatren als Objekte benutzen. S können Sie die Filterparameter für identische Netzwerkadapter verschiedener Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und der Appliances ViPNet Crdinatr HW einstellen. Netzwerkadapter-Identifikatren können zum Inhalt und zu den Ausnahmen vn Netzwerkadapter- Gruppen hinzugefügt werden. Zusätzlich können IP-Adressen und DNS-Namen beim Festlegen vn Quellen und Zielen in Netzwerkfiltern (mit Ausnahme der Filter des privaten Netzwerks). Zum Hinzufügen der Netzwerkadapter-Identifikatren in einem der ben aufgeführten Fälle: Achtung! Überprüfen Sie vr dem Verwenden der Netzwerkadapter-ID als Objekt für den Netzwerkfilter, dass auf den Crdinatren, für die Sie diesen Netzwerkfilter erstellen, Netzwerkadapter mit entsprechenden IDs bestehen. Ansnsten wird der Netzwerkfilter nicht übernmmen. 1 Klicken Sie im Optinenfenster der Netzwerkadapter-Gruppe der des Netzwerkfilters im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag Identifikatr des Netzwerkadapters. 2 Geben Sie im eingeblendeten Fenster den Netzwerkadapter-Identifikatr ein und klicken Sie auf OK. ViPNet Plicy Manager 4.3. Administratrhandbuch 75

76 Abbildung 34. Hinzufügen des Netzwerkadapter-Identifikatrs Dadurch wird die angegebene Netzwerkadapter-ID hinzugefügt. Hinzufügen vn Prtkllen Prtklle können zum Inhalt und zu den Ausnahmen vn Prtkll-Gruppen hinzugefügt werden. Zusätzlich können Prtklle beim Erstellen beliebiger Netzwerkfilter und NAT-Regeln angegeben werden. Zum Hinzufügen vn Prtkllen in einem der erwähnten Fälle klicken Sie im Optinenfenster der Prtkll-Gruppe, des Netzwerkfilters der der NAT-Regel im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im eingeblendeten Menü einen der flgenden Einträge aus: TCP/UDP-Prtkll: zum Hinzufügen vn TCP- der UDP-Prtkllen mit Prtnummer der Quelle und des Ziels. Führen Sie im eingeblendeten Fenster die flgenden Schritte aus: Aktivieren Sie in Abhängigkeit davn, welches Prtkll hinzugefügt werden sll, die entsprechende Optin im Bereich Prtkll. Abbildung 35. Hinzufügen eines TCP- der UDP-Prtklls Wenn nötig, geben Sie die Prtnummern der Quelle an. Wählen Sie dazu eine der flgenden Optinen: Alle Prts: zum Hinzufügen aller Prts (wenn Sie zum Beispiel keine knkrete Prtnummer kennen). Prtnummer: zum Hinzufügen einer bestimmten Prtnummer. Wählen Sie die benötigte Nummer in der Liste daneben aus. ViPNet Plicy Manager 4.3. Administratrhandbuch 76

77 Bereich: zum Hinzufügen eines Prtnummernbereichs. Geben Sie die Start- und die Endadresse des Bereichs in den Feldern daneben an. Wenn nötig, geben Sie die Zielprts auf die gleiche Art und Weise an. Klicken Sie nach Eingabe aller erfrderlichen Daten auf OK. ICMP-Nachricht: zum Hinzufügen eines ICMP-Prtklls. Wählen Sie im eingeblendeten Fenster den Typ und den Cde der ICMP-Nachricht (wenn nötig) aus den entsprechenden Listen aus und klicken Sie auf OK. IP-Prtkll: zum Hinzufügen anderer Prtklle. Wählen Sie im eingeblendeten Fenster das erfrderliche Prtkll aus der Liste aus der geben Sie den Cde des Prtklls an (falls bekannt) und klicken Sie auf OK. Hinzufügen vn Zeitplänen Die Zeitpläne für die Netzwerkfilter können zum Inhalt und zu den Ausnahmen vn Planungs-Gruppen hinzugefügt werden. Zusätzlich können Zeitpläne beim Erstellen beliebiger Netzwerkfilter angegeben werden (wenn der Filter zu einer bestimmten Zeit der in bestimmten Zeitbereichen aktiv werden sll). Zum Hinzufügen vn Zeitplänen in einem der ben aufgeführten Fälle: 1 Klicken Sie im Optinenfenster der Planungs-Gruppe der des Netzwerkfilters im entsprechenden Bereich auf die Schaltfläche Hinzufügen und wählen Sie im Menü den Eintrag Zeitbereich. 2 Geben Sie im eingeblendeten Fenster die Parameter des Zeitplans ein: Geben Sie in Gruppe Zeitpunkt der Filteraktivierung die Zeitperide an, während welcher der Netzwerkfilter aktiv sein sll. Abbildung 36. Hinzufügen eines Zeitplans Aktivieren Sie eine der flgenden Optinen: Täglich, wenn der Netzwerkfilter täglich zur angegebenen Zeit aktiv sein sll. Wenn diese Regelung nur innerhalb einer beschränkten Zeitperide gelten sll (zum Beispiel innerhalb der nächsten zwei Wchen), dann aktivieren Sie das entsprechende Kntrllkästchen und geben Sie die erfrderliche Zeitperide an. ViPNet Plicy Manager 4.3. Administratrhandbuch 77

78 Wöchentlich, wenn der Netzwerkfilter an bestimmten Wchentagen aktiv sein sll. Aktivieren Sie die Kntrllkästchen neben den benötigten Wchentagen. 3 Klicken Sie nach Eingabe aller erfrderlichen Daten auf OK. Der Zeitplan mit den erfrderlichen Parametern wird der Gruppe hinzugefügt. Verschachtelung vn Objektgruppen Jede Objektgruppe kann weitere Objektgruppen des selben Typs beinhalten, d. h. es kann eine geschachtelte Struktur vn Objektgruppen des gleichen Typs erstellt werden. Betrachten wir anhand eines Beispiels, in welchen Fällen eine slche Struktur erfrderlich der nützlich sein kann. Nehmen wir an, es gibt eine Organisatin, die aus mehreren Abteilungen besteht: Finanzabteilung, Verkaufsabteilung und IT-Abteilung. In jeder Abteilung ist eine bestimmte Anzahl an Mitarbeitern beschäftigt. Die Anzahl der Netzwerkknten richtet sich an der Anzahl der Mitarbeiter. Es sllen flgende Bedingungen geschaffen werden: 1 Die IT-Abteilung sll beliebige Verbindungen aufbauen können. 2 Alle Mitarbeiter der Organisatin sllen über einen Internetzugang verfügen. 3 Die Finanzabteilung sll über einen Zugang zum SAP-Server verfügen. In allen drei Fällen sllen Netzwerkfilter knfiguriert werden. Um das Erstellen vn grßen Mengen gleicher Netzwerkfilter für jeden der aufgeführten Fälle zu vermeiden, wird es empfhlen, die Netzwerkknten in passenden Kntengruppen zusammenzufassen und für diese Kntengruppen entsprechende Netzwerkfilter zu definieren. Dabei scheint die flgende Zusammenstellung der Gruppen zweckmäßig: es sll jeweils eine Kntengruppe für jede Abteilung und zusätzlich eine allgemeine Gruppe, die alle drei Abteilungsgruppen umfasst, erstellt werden. Die Kntengruppen der IT- und der Finanzabteilung werden beim Erstellen der Filter für den ersten und den dritten Fall verwendet. Die allgemeine Gruppe wird beim Erstellen eines Transitfilters im Zuge der Einrichtung eines DMZ für den zweiten Fall verwendet. Diese Art der Organisatin vn Kntengruppen und Netzwerkfiltern bietet wesentliche Vrteile. Wenn zum Beispiel in irgendeiner Abteilung ein neuer Mitarbeiter hinzukmmt, dann genügt es, den neuen Mitarbeiterknten der jeweiligen Abteilungsgruppe hinzuzufügen. Dadurch kann der neue Knten Verbindungen in Übereinstimmung mit vrhandenen Netzwerkfiltern aufbauen, hne dass weitere Schritte ntwendig wären. ViPNet Plicy Manager 4.3. Administratrhandbuch 78

79 Erstellen einer Sicherheitsrichtlinienvrlage Auf ViPNet Netzwerkknten sind standardmäßig Netzwerkfilter definiert, die in den Standardvrlagen der Sicherheitsrichtlinie enthalten sind. Wenn die Sicherheitsrichtlinie des Netzwerks die Knfiguratin weiterer Filter der NAT-Regeln erfrdert, dann sllten benutzerdefinierte Vrlagen für Sicherheitsrichtlinien erstellt werden. Zum Erstellen einer neuen Vrlage: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Klicken Sie in der Panel-Ansicht (s. Abbildung 24 auf S. 66) auf die Schaltfläche Erstellen. 3 Geben Sie im Fenster Richtlinienvrlagenptinen im Bereich Allgemeine Optinen die flgenden Parameter an: Geben Sie im Feld Name den Namen der Vrlage ein. Geben Sie im Feld Beschreibung eine Beschreibung der Vrlage ein. Abbildung 37. Allgemeine Parameter einer Sicherheitsrichtlinienvrlage 4 Wenn Netzwerkfilter in der Vrlage enthalten sein sllen, dann geben Sie im Fenster Richtlinienvrlagenptinen in entsprechenden Bereichen die benötigten Filter an (s. Anzeigen und Ändern der Netzwerkfilter in der Vrlage auf S. 80). 5 Wenn NAT-Regeln in der Vrlage enthalten sein sllen, dann wählen Sie im Fenster Richtlinienvrlagenptinen den Bereich Netzwerkadressenübersetzung (NAT) und geben Sie die benötigten Regeln an (s. Anzeigen und Ändern vn NAT-Regeln in der Vrlage auf S. 92). 6 Klicken Sie auf die Schaltfläche OK. In der Liste der Vrlagen wird eine neue Vrlage angezeigt. ViPNet Plicy Manager 4.3. Administratrhandbuch 79

80 Anzeigen und Ändern der Netzwerkfilter in der Vrlage Netzwerkfilter werden dazu verwendet, IP-Pakete in Abhängigkeit vn ihren Parametern wie Sender-IP- Adresse, Empfänger-IP-Adresse, verwendetes Prtkll der Prtnummer zu erlauben der zu blckieren. In den Filtern werden Bedingungen definiert, die vn den IP-Paketen erfüllt werden müssen, um weitere Aktinen mit diesen Paketen durchführen zu können. Zusätzlich kann ein Zeitplan für die Anwendung der Filter definiert werden. In ViPNet Sftware werden flgende Typen vn Netzwerkfiltern unterstützt: Lkale Filter des ffenen Netzwerks: filtern IP-Pakete, die zwischen ViPNet Netzwerkknten und Knten ffener Netzwerke (d. h. Knten, auf denen keine ViPNet Sftware mit der Funktinalität der Traffic-Verschlüsselung installiert ist) ausgetauscht werden. Transit-Filter des ffenen Netzwerks: filtern ffene IP-Pakete, die den Crdinatr passieren. Diese Filter werden ausschließlich auf Crdinatr-Netzwerkknten angewendet. Filter für getunnelte Knten: filtern IP-Pakete, die vm Crdinatr zwischen getunnelten Knten und ViPNet Netzwerkknten weitergeleitet werden. Diese Filter werden ausschließlich auf Crdinatr-Netzwerkknten angewendet. Filter des privaten Netzwerks: filtern IP-Pakete, die zwischen den ViPNet Netzwerkknten ausgetauscht werden. In der Sicherheitsrichtlinienvrlage wird jeder Typ vn Netzwerkfiltern in einem gleichnamigen Bereich definiert. Zum Anzeigen der Ändern der Netzwerkfilter in der Vrlage: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie die benötigte Vrlage in der Panel-Ansicht (s. Abbildung 24 auf S. 66) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Vrlage. 3 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den erfrderlichen Bereich aus (zum Beispiel Lkale Filter des ffenen Netzwerks). ViPNet Plicy Manager 4.3. Administratrhandbuch 80

81 Abbildung 38. Optinen der Sicherheitsrichtlinienvrlage 4 Zum Hinzufügen eines neuen Filters: 4.1 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen. 4.2 Knfigurieren Sie im Fenster der Filterptinen die Parameter des Filters und klicken Sie auf OK (s. Erstellen der Netzwerkfilter auf S. 81). In der Liste lkaler Filter des ffenen Netzwerks wird der neue Filter angezeigt. 5 Zum Ändern eines Filters: 5.1 Wählen Sie den benötigten Filter in der rechten Leiste aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf den Filter. 5.2 Ändern Sie die Filterparameter. 6 Zum Löschen eines Filters aus der Vrlage: 6.1 Wählen Sie einen der mehrere Filter in der rechten Leiste aus und klicken Sie auf die Schaltfläche Löschen. 6.2 Klicken Sie im Bestätigungsfenster erneut auf Löschen. Die gewählten Filter werden aus der Liste lkaler Filter des ffenen Netzwerks entfernt. 7 Zum Ändern der Reihenflge der Filterauflistung in der Vrlage: 7.1 Wählen Sie einen der mehrere Filter in der rechten Leiste aus. 7.2 Ändern Sie die Psitin der Regel in der Liste mit Hilfe der Schaltflächen und. 8 Klicken Sie auf OK, um die Änderungen zu speichern. Die Vrlage enthält nun die in der Liste definierten Filter in der angegebenen Reihenflge. Erstellen der Netzwerkfilter Führen Sie die flgenden Schritte aus, um einen neuen Netzwerkfilter zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich des benötigten Filtertyps aus. ViPNet Plicy Manager 4.3. Administratrhandbuch 81

82 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen. Es wird das Fenster mit den Netzwerkfilterptinen geöffnet, in dem Sie die Parameter des neuen Filters knfigurieren können. 3 Führen Sie im Bereich Allgemeine Optinen die flgenden Schritte durch: Geben Sie den Namen des Filters im entsprechenden Feld ein. Definieren Sie das Verhalten des Filters (Traffic blckieren der erlauben), indem Sie in Gruppe Aktin die benötigte Optin aktivieren. Standardmäßig ist die Optin IP-Traffic blckieren aktiviert. 4 Geben Sie im Bereich Quellen den Sender vn IP-Paketen an, die vm Filter erfasst werden sllen. 5 Geben Sie im Bereich Ziele den Empfänger vn IP-Paketen an, die vm Filter erfasst werden sllen. Hinweis. In den Bereichen Quellen und Ziele sllten unterschiedliche IP-Adressen der IP-Adressbereiche angegeben werden; anderenfalls wird das Speichern des Filters nicht möglich sein. 6 Geben Sie im Bereich Prtkll die Prtklle für die Filterung an. Vm Filter werden nur diejenigen IP-Pakete verarbeitet, die mit Hilfe des angegebenen Prtklls weitergeleitet wurden. 7 Definieren Sie im Bereich Zeitpläne einen Zeitplan für die Anwendung des Filters. 8 Klicken Sie auf OK, um die Parameter des neuen Filters zu speichern. In der Liste der Filter des gewählten Typs wird nun der neue Filter eingeblendet. Der neu erstellte Filter ist aktiv, wenn beim Knfigurieren seiner allgemeinen Optinen das entsprechende Kntrllkästchen nicht deaktiviert wurde. Wenn der Filter deaktiviert werden sll, deaktivieren Sie das Kntrllkästchen rechts neben seinem Namen. Weitere Infrmatinen zur Erstellung vn Filtern unterschiedlicher Typen finden Sie in den entsprechenden Abschnitten weiter unten. Erstellen vn lkalen Filtern des ffenen Netzwerks Führen Sie die flgenden Schritte aus, um einen Filter für den lkalen ffenen Traffic zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich Lkale Filter des ffenen Netzwerks. 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen und geben Sie im eingeblendeten Fenster die Parameter des neuen Filters an. 3 Legen Sie im Bereich Allgemeine Optinen den Namen des Filters und sein Verhalten (Traffic blckieren der erlauben) fest. ViPNet Plicy Manager 4.3. Administratrhandbuch 82

83 Abbildung 39. Definitin allgemeiner Parameter für lkale Filter des ffenen Netzwerks 4 Geben Sie im Bereich Quellen den Sender der IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: IP-Adresse der DNS-Namen des Senders der einen Adressbereich, falls es sich um mehrere IP-Adressen handelt (s. Hinzufügen vn IP-Adressen und DNS-Namen auf S. 74); Adress-Gruppen der Sender, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). System-Objektgruppe Mein ViPNet Knten, falls der Filter für ausgehende ffene Verbindungen des Netzwerkkntens gelten sll; System-Objektgruppe Andere Knten, falls der Filter für eingehende ffene Verbindungen des Netzwerkkntens gelten sll. Wenn kein Sender angegeben wird, dann werden vm Filter alle IP-Pakete erfasst, die vn beliebigen ffenen Knten gesendet wurden. Abbildung 40. Definitin der Sender ffener IP-Pakete 5 Wenn der Filter für einen Crdinatr bestimmt ist, dann kann zusätzlich der Netzwerkadapter festgelegt werden, auf dem die ffenen IP-Pakete aus angegebenen Quellen empfangen der vn dem die ffenen IP-Pakete versendet werden sllen (falls als Sender Mein ViPNet Knten gewählt wurde). Aktivieren Sie dazu das Kntrllkästchen Netzwerkadapter und fügen Sie flgende Elemente hinzu: Einzelne IP-Adresse der IP-Adressbereich der Netzwerkadapter; ViPNet Plicy Manager 4.3. Administratrhandbuch 83

84 Netzwerkadapter-ID für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und für ViPNet Crdinatr HW. Netzwerkadaptergruppe, falls eine slche Gruppe definiert wurde. 6 Geben Sie im Bereich Ziele den Empfänger der IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: IP-Adresse der DNS-Namen des Empfängers der einen Adressbereich, falls es sich um mehrere IP-Adressen handelt. Adress-Gruppen der Empfänger, falls slche Gruppen erstellt wurden. System-Objektgruppe Mein ViPNet Knten, wenn der Filter für alle eingehenden ffenen Verbindungen des Netzwerkkntens gelten sll. System-Objektgruppe Andere Knten, wenn der Filter für alle ausgehenden ffenen Verbindungen des Netzwerkkntens gelten sll. System-Objektgruppe Bradcast-Adressen, falls der Filter für Bradcast-Pakete gelten sll. System-Objektgruppe Gruppenadressen, falls der Filter für Gruppenversand gelten sll. Wenn kein Empfänger angegeben wird, dann werden vm Filter alle IP-Pakete erfasst, die an beliebige ffene Knten gesendet wurden. Abbildung 41. Definitin der Empfänger ffener IP-Pakete 7 Wenn der Filter für einen Crdinatr bestimmt ist, dann kann zusätzlich der Netzwerkadapter festgelegt werden, vn dem die IP-Pakete an die angegebenen Empfänger versendet werden sllen. Der Netzwerkadapter kann wie in Punkt 5 beschrieben festgelegt werden. 8 Geben Sie im Bereich Prtkll die Prtklle für die Filterung an. Sie können einzelne Prtklle (s. Hinzufügen vn Prtkllen auf S. 76) der Prtkll-Gruppen angeben, falls slche Gruppen definiert wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 9 Definieren Sie im Bereich Zeitpläne einen Zeitplan für die Anwendung des Filters. Sie können einen neuen Zeitplan hinzufügen (s. Hinzufügen vn Zeitplänen auf S. 77) der eine Planungs-Gruppe angeben, falls eine slche Gruppe definiert wurde (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 10 Klicken Sie auf die Schaltfläche OK. In der Liste der in der Vrlage enthaltenen lkalen Filter des ffenen Netzwerks wird nun der neue Filter eingeblendet. ViPNet Plicy Manager 4.3. Administratrhandbuch 84

85 Erstellen vn Transit-Filtern des ffenen Netzwerks Führen Sie die flgenden Schritte aus, um einen Filter für den ffenen Transit-Traffic, der den Crdinatr passiert, zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich Transit-Filter des ffenen Netzwerks. 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen und geben Sie im eingeblendeten Fenster die Parameter des neuen Filters an. 3 Legen Sie im Bereich Allgemeine Optinen den Namen des Filters und sein Verhalten (Traffic blckieren der erlauben) fest. Abbildung 42. Definitin allgemeiner Parameter für Transit-Filter des ffenen Netzwerks 4 Geben Sie im Bereich Quellen den Sender der IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: IP-Adresse der DNS-Namen des Senders der einen Adressbereich, falls es sich um mehrere IP-Adressen handelt (s. Hinzufügen vn IP-Adressen und DNS-Namen auf S. 74); Adress-Gruppen der Sender, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). Wenn kein Sender angegeben wird, dann werden vm Filter alle Transit-Pakete erfasst, die vn beliebigen ffenen Knten über den Crdinatr weitergeleitet wurden. Abbildung 43. Definitin der Sender der Transit-Pakete ViPNet Plicy Manager 4.3. Administratrhandbuch 85

86 5 Zusätzlich kann der Netzwerkadapter festgelegt werden, auf dem die Transit-Pakete aus angegebenen Quellen empfangen werden sllen. Aktivieren Sie dazu das Kntrllkästchen Netzwerkadapter und fügen Sie flgende Elemente hinzu: Einzelne IP-Adresse der IP-Adressbereich der Netzwerkadapter; Netzwerkadapter-ID für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und für ViPNet Crdinatr HW. Netzwerkadaptergruppe, falls eine slche Gruppe definiert wurde. 6 Geben Sie im Bereich Ziele den Empfänger der IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: IP-Adresse der DNS-Namen des Empfängers der einen Adressbereich, falls es sich um mehrere IP-Adressen handelt. Adress-Gruppen der Empfänger, falls slche Gruppen erstellt wurden. Wenn Sie keinen Empfänger definieren, dann werden vm Filter alle Transit-Pakete erfasst, die an beliebige ffene Knten über den Crdinatr weitergeleitet wurden. 7 Zusätzlich kann der Netzwerkadapter festgelegt werden, vn dem die Transit-Pakete an die angegebenen Empfänger versendet werden sllen. Der Netzwerkadapter kann wie in Punkt 5 beschrieben festgelegt werden. 8 Geben Sie im Bereich Prtkll die Prtklle für die Filterung an. Sie können einzelne Prtklle (s. Hinzufügen vn Prtkllen auf S. 76) der Prtkll-Gruppen angeben, falls slche Gruppen definiert wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 9 Definieren Sie im Bereich Zeitpläne einen Zeitplan für die Anwendung des Filters. Sie können einen neuen Zeitplan hinzufügen (s. Hinzufügen vn Zeitplänen auf S. 77) der eine Planungs-Gruppe angeben, falls eine slche Gruppe definiert wurde (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 10 Klicken Sie auf die Schaltfläche OK. In der Liste der in der Vrlage enthaltenen Transit-Filter des ffenen Netzwerks wird nun der neue Filter angezeigt. Erstellen vn Filtern für getunnelte Knten Führen Sie die flgenden Schritte aus, um einen Filter für den Traffic zwischen getunnelten Knten des Crdinatrs und den geschützten Knten zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich Filter für getunnelte Knten. 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen und geben Sie im eingeblendeten Fenster die Parameter des neuen Filters an. 3 Legen Sie im Bereich Allgemeine Optinen den Namen des Filters und sein Verhalten (Traffic blckieren der erlauben) fest. ViPNet Plicy Manager 4.3. Administratrhandbuch 86

87 Abbildung 44. Definitin allgemeiner Parameter für Filter getunnelter Knten 4 Geben Sie im Bereich Quellen den Sender der IP-Pakete bei getunnelten Verbindungen an: Wenn der getunnelte Knten als Sender auftritt, dann können Sie flgende Elemente zur Liste hinzufügen: IP-Adresse der IP-Adressbereich, falls es sich um mehrere IP-Adressen handelt (s. Hinzufügen vn IP-Adressen und DNS-Namen auf S. 74); Adress-Gruppen der getunnelten Knten, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69); Alle IP-Adressen der vm Crdinatr getunnelten Knten, indem Sie die System- Objektgruppe Getunnelte IP-Adressen auswählen. Wenn ein geschützter ViPNet Netzwerkknten als Sender auftritt, dann können Sie flgende Elemente zur Liste hinzufügen: Einen der mehrere Knten des privaten Netzwerks (s. Hinzufügen vn Netzwerkknten auf S. 73); Eine der mehrere ViPNet Netzwerkknten-Gruppen, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69); Alle Crdinatren, die mit dem Knten verbunden sind, indem Sie die System- Objektgruppe Alle Crdinatren auswählen; Alle Clients, die mit dem Knten verbunden sind, indem Sie die System-Objektgruppe Alle Clients auswählen. Hinweis. Wenn der getunnelte Knten als Sender auftritt, dann kann nur ein Knten (der mehrere Knten) des geschützten Netzwerks als Empfänger festgelegt werden und umgekehrt. Wenn kein Sender angegeben wird, dann werden vm Filter alle IP-Pakete erfasst, die vn beliebigen getunnelten Knten der vn beliebigen geschützten Knten gesendet wurden (in Abhängigkeit davn, welche Knten als Empfänger auftreten). ViPNet Plicy Manager 4.3. Administratrhandbuch 87

88 Abbildung 45. Definitin der Sender getunnelter IP-Pakete 5 Zusätzlich kann der Netzwerkadapter festgelegt werden, auf dem bei getunnelten Verbindungen die IP-Pakete aus angegebenen Quellen empfangen werden sllen. Aktivieren Sie dazu das Kntrllkästchen Netzwerkadapter und fügen Sie flgende Elemente hinzu: Einzelne IP-Adresse der IP-Adressbereich der Netzwerkadapter; Netzwerkadapter-ID für die Crdinatren mit der Sftware ViPNet Crdinatr fr Linux und für ViPNet Crdinatr HW. Netzwerkadaptergruppe, falls eine slche Gruppe definiert wurde. 6 Geben Sie im Bereich Ziele den Empfänger der IP-Pakete einer getunnelten Verbindung an. Wenn der getunnelte Knten als Sender auftritt, dann kann nur ein (der mehrere) ViPNet Knten als Empfänger ausgewählt werden. Wenn ein ViPNet Knten als Sender ausgewählt wurde, dann kann nur der getunnelte Knten als Empfänger auftreten. Das Hinzufügen der Empfänger wird auf die gleiche Weise durchgeführt wie das Hinzufügen der Sender (s. Punkt 4). Wenn Sie keinen Empfänger definieren, dann werden vm Filter alle IP-Pakete erfasst, die an beliebige getunnelte Knten der an beliebige geschützte Knten gesendet wurden (in Abhängigkeit davn, welche Knten als Sender auftreten). 7 Zusätzlich kann der Netzwerkadapter festgelegt werden, vn dem die IP-Pakete bei getunnelten Verbindungen an die angegebenen Empfänger versendet werden sllen. Der Netzwerkadapter kann wie in Punkt 5 beschrieben festgelegt werden. 8 Geben Sie im Bereich Prtkll die Prtklle für die Filterung an. Sie können einzelne Prtklle (s. Hinzufügen vn Prtkllen auf S. 76) der Prtkll-Gruppen angeben, falls slche Gruppen definiert wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 9 Definieren Sie im Bereich Zeitpläne einen Zeitplan für die Anwendung des Filters. Sie können einen neuen Zeitplan hinzufügen (s. Hinzufügen vn Zeitplänen auf S. 77) der eine Planungs-Gruppe angeben, falls eine slche Gruppe definiert wurde (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 10 Klicken Sie auf die Schaltfläche OK. In der Liste der in der Vrlage enthaltenen Filter für getunnelte Knten wird nun der neue Filter angezeigt. ViPNet Plicy Manager 4.3. Administratrhandbuch 88

89 Erstellen vn Filtern des privaten Netzwerks Führen Sie die flgenden Schritte aus, um einen Filter für den verschlüsselten Traffic zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich Filter des privaten Netzwerks. 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen und geben Sie im eingeblendeten Fenster die Parameter des neuen Filters an. 3 Legen Sie im Bereich Allgemeine Optinen den Namen des Filters und sein Verhalten (Traffic blckieren der erlauben) fest. Abbildung 46. Definitin allgemeiner Parameter für Filter des verschlüsselten Traffics 4 Geben Sie im Bereich Quellen den Sender der IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: Einen der mehrere Knten des privaten Netzwerks (s. Hinzufügen vn Netzwerkknten auf S. 73); Eine der mehrere ViPNet Netzwerkknten-Gruppen, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69); System-Objektgruppe Mein ViPNet Knten, falls der Filter für ausgehende Verbindungen des Netzwerkkntens gelten sll; System-Objektgruppe Andere Knten, falls der Filter für eingehende Verbindungen des Netzwerkkntens gelten sll; Alle Crdinatren, die mit dem Knten verbunden sind, indem Sie die System-Objektgruppe Alle Crdinatren auswählen; Alle Clients, die mit dem Knten verbunden sind, indem Sie die System-Objektgruppe Alle Clients auswählen. Wenn kein Sender angegeben wird, dann werden vm Filter alle IP-Pakete erfasst, die vn beliebigen geschützten Knten gesendet wurden. ViPNet Plicy Manager 4.3. Administratrhandbuch 89

90 Abbildung 47. Definitin der Sender verschlüsselter IP-Pakete 5 Geben Sie im Bereich Ziele den Empfänger der verschlüsselten IP-Pakete an. Dazu können Sie flgende Elemente hinzufügen: Einen der mehrere Knten des privaten Netzwerks; Eine der mehrere ViPNet Netzwerkknten-Gruppen, falls slche Gruppen erstellt wurden; System-Objektgruppe Mein ViPNet Knten, falls der Filter für ausgehende Verbindungen des Netzwerkkntens gelten sll; System-Objektgruppe Andere Knten, falls der Filter für eingehende Verbindungen des Netzwerkkntens gelten sll. Alle Crdinatren, die mit dem Knten verbunden sind, indem Sie die System-Objektgruppe Alle Crdinatren auswählen; Alle Clients, die mit dem Knten verbunden sind, indem Sie die System-Objektgruppe Alle Clients auswählen. Bradcast-Adressen, indem Sie die System-Objektgruppe Bradcast-Adressen auswählen. In diesem Fall wird der Filter auch für alle Bradcast-Pakete gelten. Tipp. Wenn als Empfänger Bradcast-Adressen und als Sender Mein ViPNet Knten der Andere Knten (s. Punkt 4) festgelegt wurden, dann werden dementsprechende Filter für ein- der ausgehende Bradcast-IP-Pakete erstellt. Wenn kein Empfänger angegeben wird, dann werden vm Filter alle IP-Pakete erfasst, die an beliebige geschützte Knten gesendet wurden. ViPNet Plicy Manager 4.3. Administratrhandbuch 90

91 Abbildung 48. Definitin der Empfänger verschlüsselter IP-Pakete 6 Geben Sie im Bereich Prtkll die Prtklle für die Filterung an. Sie können einzelne Prtklle (s. Hinzufügen vn Prtkllen auf S. 76) der Prtkll-Gruppen angeben, falls slche Gruppen definiert wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 7 Definieren Sie im Bereich Zeitpläne einen Zeitplan für die Anwendung des Filters. Sie können einen neuen Zeitplan hinzufügen (s. Hinzufügen vn Zeitplänen auf S. 77) der eine Planungs-Gruppe angeben, falls eine slche Gruppe definiert wurde (s. Erstellen und Ändern vn Objektgruppen auf S. 69). 8 Klicken Sie auf die Schaltfläche OK. In der Liste der in der Vrlage enthaltenen Filter des privaten Netzwerks wird nun der neue Filter angezeigt. Empfehlungen zum Erstellen der Netzwerkfilter Um sicheren Betrieb vn ViPNet Sftware sicherzustellen, ist die Anzahl vn erstellten Filtern zu kntrllieren, da diese vn der Anzahl vn Netzwerkknten abhängt, für die jeder Filter gilt. Wir empfehlen, flgende Beschränkungen zu beflgen: Falls erstellte Filter für einen Netzwerkknten der IP-Adresse gelten, sllte die Gesamtanzahl der Filter 3000 nicht überschreiten. Falls erstellte Filter für zwei der mehr Netzwerkknten bzw. IP-Adresse gelten, sllte die Gesamtanzahl der Netzwerkknten bzw. IP-Adressen, für die alle erstellten Filter gelten, 700 nicht überschreiten. Dabei sllte ein Filter für höchstens 500 Netzwerkknten bzw. IP-Adressen gelten. ViPNet Plicy Manager 4.3. Administratrhandbuch 91

92 Anzeigen und Ändern vn NAT- Regeln in der Vrlage Mit Hilfe vn NAT-Regeln werden die Grundsätze der Übersetzung vn IP-Adressen auf dem Crdinatr definiert. Diese Regeln werden ausschließlich auf Netzwerkknten angewendet, die als Crdinatren auftreten. Zum Anzeigen der Ändern der NAT-Regeln in der Vrlage: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie die benötigte Vrlage in der Panel-Ansicht (s. Abbildung 24 auf S. 66) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Vrlage. 3 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Netzwerkadressenübersetzung (NAT) aus. Abbildung 49. NAT-Regeln 4 Zum Hinzufügen einer neuen NAT-Regel: 4.1 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen. 4.2 Knfigurieren Sie im Fenster Optinen für NAT-Regeln die Parameter der Regel und klicken Sie auf OK (s. Erstellen und Ändern der NAT-Regeln auf S. 93). In der Liste der NAT-Regeln wird die neue Regel angezeigt. 5 Zum Ändern einer NAT-Regel: 5.1 Wählen Sie die erfrderliche Regel in der rechten Leiste aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Regel. 5.2 Ändern Sie die Regelparameter (s. Erstellen und Ändern der NAT-Regeln auf S. 93). 6 Zum Löschen einer NAT-Regel aus der Vrlage: ViPNet Plicy Manager 4.3. Administratrhandbuch 92

93 6.1 Wählen Sie eine der mehrere NAT-Regeln in der rechten Leiste aus und klicken Sie auf die Schaltfläche Löschen. 6.2 Klicken Sie im Bestätigungsfenster erneut auf Löschen. Die gewählten Regeln werden aus der Liste der NAT-Regeln entfernt. 7 Zum Ändern der Reihenflge der Regelauflistung in der Vrlage: 7.1 Wählen Sie eine der mehrere Regeln in der rechten Leiste aus. 7.2 Ändern Sie die Psitin der Regel in der Liste mit Hilfe der Schaltflächen und. 8 Klicken Sie auf OK, um die Änderungen zu speichern. Die Vrlage enthält nun die in der Liste definierten Regeln in der angegebenen Reihenflge. Erstellen und Ändern der NAT-Regeln Führen Sie die flgenden Schritte aus, um eine neue NAT-Regel zu erstellen: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen (s. Abbildung 38 auf S. 81) in der linken Leiste den Bereich Netzwerkadressenübersetzung (NAT) aus. 2 Klicken Sie in der rechten Leiste auf die Schaltfläche Erstellen. 3 Geben Sie im Fenster Optinen für NAT-Regeln im Bereich Allgemeine Optinen den Namen der neuen Regel ein. Abbildung 50. Allgemeine Optinen der NAT-Regel 4 Wenn die IP-Adressen der Paketabsender übersetzt werden sllen, dann geben Sie im Bereich Quellen die benötigten Adressen an. Klicken Sie dazu auf die Schaltfläche Hinzufügen und wählen Sie den passenden Menüeintrag: IP-Adresse der Adressbereich, falls es sich um mehrere IP-Adressen handelt (s. Hinzufügen vn IP-Adressen und DNS-Namen auf S. 74). Adress-Gruppen der Sender, falls slche Gruppen erstellt wurden (s. Erstellen und Ändern vn Objektgruppen auf S. 69). ViPNet Plicy Manager 4.3. Administratrhandbuch 93

94 Abbildung 51. Definitin der Sender verschlüsselter IP-Pakete 5 Wenn die IP-Adressen der Paketempfänger übersetzt werden sllen, dann geben Sie im Bereich Ziele die benötigten Adressen an. Das Hinzufügen der Empfänger wird auf die gleiche Weise durchgeführt wie das Hinzufügen der Sender (s. Punkt 4). Abbildung 52. Quellen der NAT-Regel 6 Definieren Sie im Bereich Netzwerkadressenübersetzung (NAT) eine Regel zur Übersetzung vn IP- Adressen. 6.1 Wenn Sie die Übersetzung vn Absender-IP-Adressen knfigurieren möchten: Aktivieren Sie in Parametergruppe Quellübersetzung das Kntrllkästchen Quelladresse ersetzen durch. Aktivieren Sie die Optin IP-Adresse der ausgehenden Schnittstelle. In diesem Fall wird die Absenderadresse durch die Adresse des externen Netzwerkadapters auf dem Crdinatr ersetzt. Diese IP-Adresse wird autmatisch ermittelt. Wenn stattdessen eine bestimmte IP-Adresse verwendet werden sll, aktivieren Sie die Optin Andere IP-Adresse und geben Sie im Feld rechts davn die benötigte IP-Adresse ein. 6.2 Wenn Sie die Übersetzung vn Empfänger-IP-Adressen knfigurieren möchten: ViPNet Plicy Manager 4.3. Administratrhandbuch 94

95 Aktivieren Sie in Parametergruppe Zielübersetzung das Kntrllkästchen Zieladresse ersetzen durch und geben Sie im Feld rechts davn die erfrderliche IP-Adresse ein. Wenn der Prt ersetzt werden sll, aktivieren Sie das Kntrllkästchen Zielprt ersetzen durch und wählen Sie den benötigten Prt aus der Liste aus. Abbildung 53. Netzwerkadressenübersetzung (NAT) 7 Klicken Sie auf OK, um die Regel zu speichern. Führen Sie die flgenden Schritte aus, um eine NAT-Regel zu ändern: 1 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Netzwerkadressenübersetzung (NAT) aus. 2 Wählen Sie die erfrderliche Regel in der rechten Leiste aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Regel. 3 Ändern Sie im Fenster Optinen für NAT-Regeln die Parameter der Regel auf die gleiche Weise wie beim Erstellen einer neuen Regel. 4 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 95

96 Kpieren der Sicherheitsrichtlinienvrlage Sie können eine bestehende Vrlage kpieren und ntwendige Änderungen vrnehmen, falls es erfrderlich ist, für einzelne Netzwerkknten auf der Grundlage einer bestehenden Sicherheitsrichtlinienvrlage eine andere Vrlage mit geringen Änderungen in den Einstellungen der Netzwerkfilterparameter und der NAT-Regeln zu erstellen. Führen Sie die flgenden Schritte durch, um eine Sicherheitsrichtlinienvrlage zu kpieren: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie die zu kpierende Vrlage aus und wählen Sie den Befehl Kpie erstellen im Kntextmenü aus. Abbildung 54. Kpieren der Vrlage 3 Ändern Sie den Namen und die Beschreibung der Vrlage im Fenster Richtlinienvrlagenptinen. 4 Falls erfrderlich, ändern Sie die Netzwerkfilterparameter und die NAT-Regeln nach den Empfehlungen aus den flgenden Abschnitten: Anzeigen und Ändern der Netzwerkfilter in der Vrlage (auf S. 80). Anzeigen und Ändern vn NAT-Regeln in der Vrlage (auf S. 92). 5 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 96

97 Löschen einer Sicherheitsrichtlinienvrlage Eine nicht gebrauchte Vrlage kann gelöscht werden. Dazu: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie eine der mehrere Vrlagen in der Panel-Ansicht (s. Abbildung 24 auf S. 66) aus und klicken Sie auf die Schaltfläche Löschen. 3 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Vrlagen werden aus der Vrlagenliste gelöscht. ViPNet Plicy Manager 4.3. Administratrhandbuch 97

98 Zuweisen vn Vrlagen an Netzwerkknten und Abteilungen Sicherheitsrichtlinienvrlagen können swhl an einzelne Netzwerkknten als auch an Abteilungen zugewiesen werden. Vrlagen, die an Abteilungen zugewiesen werden, gelten für alle Netzwerkknten, die in der Abteilung enthalten sind. Die Zuweisung vn Sicherheitsrichtlinienvrlagen kann auf mehrere Arten erflgen: Zuweisung der Vrlage an einen bestimmten Netzwerkknten (s. Zuweisen der Vrlage an einen Netzwerkknten auf S. 98). Auf diese Weise können dem Knten auch mehrere Vrlagen gleichzeitig zugewiesen werden. Zuweisung der Vrlage an mehrere Netzwerkknten gleichzeitig (s. Zuweisen der Vrlage an mehrere Netzwerkknten auf S. 100). Zuweisung der Vrlage an eine bestimmte Abteilung (s. Zuweisen der Vrlage an eine Abteilung auf S. 101). Auf diese Weise können der Abteilung auch mehrere Vrlagen gleichzeitig zugewiesen werden. Zuweisung der Vrlage an mehrere Abteilungen gleichzeitig (s. Zuweisen der Vrlage an mehrere Abteilungen auf S. 102). Zuweisen der Vrlage an einen Netzwerkknten Führen Sie die flgenden Schritte aus, um eine Sicherheitsrichtlinienvrlage an einen bestimmten Netzwerkknten zuzuweisen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 2 Wählen Sie den Netzwerkknten in der Panel-Ansicht (s. Abbildung 17 auf S. 54) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf den Netzwerkknten. 3 Wählen Sie im Fenster Netzwerkkntenptinen in der linken Leiste den Bereich Richtlinienvrlagen. In der rechten Leiste wird eine Liste vn Vrlagen angezeigt, die dem Knten bereits zugewiesen sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 98

99 Abbildung 55. Liste vn Richtlinienvrlagen, die dem Knten zugewiesen sind 4 Klicken Sie auf die Schaltfläche Hinzufügen. 5 Wählen Sie im eingeblendeten Fenster eine der mehrere Vrlagen aus der Liste aus und klicken Sie auf OK. Die gewählten Vrlagen werden der Vrlagenliste des Kntens hinzugefügt. 6 Wenn nötig, ändern Sie die Psitin der Vrlage in der Liste mit Hilfe der Schaltflächen Nach ben und Nach unten. Hinweis. Die Reihenflge der Anrdnung der Vrlagen in der Liste bestimmt die Prirität der Vrlagen: diese verringert sich gemäß der Psitin der Vrlage in der Liste vn ben nach unten. 7 Klicken Sie auf OK, um die Änderungen zu speichern. Wenn irgendwelche Vrlagen aus der Liste der zugewiesenen Vrlagen gelöscht werden sllen, dann führen Sie dazu die flgenden Schritte aus: 1 Wählen Sie eine der mehrere Vrlagen in der Vrlagenliste aus und klicken Sie auf die Schaltfläche Löschen. 2 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Vrlagen werden aus der Vrlagenliste gelöscht. 3 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 99

100 Zuweisen der Vrlage an mehrere Netzwerkknten Eine Sicherheitsrichtlinienvrlage kann an mehrere Netzwerkknten gleichzeitig zugewiesen werden. Dazu: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie die benötigte Vrlage in der Panel-Ansicht aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Vrlage. 3 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Verwaltete Netzwerkknten. In der rechten Leiste wird eine Liste vn Knten angezeigt, denen die betrffene Vrlage bereits zugewiesen ist. Abbildung 56. Netzwerkknten, denen die Vrlage zugewiesen ist 4 Klicken Sie auf die Schaltfläche Hinzufügen. 5 Wählen Sie im eingeblendeten Fenster einen der mehrere Knten aus der Liste aus und klicken Sie auf OK. Die gewählten Knten werden zur Kntenliste der Vrlage hinzugefügt. 6 Klicken Sie auf OK, um die Änderungen zu speichern. Wenn aus der Liste der Knten, denen die Vrlage zugewiesen wurde, irgendwelche Knten wieder gelöscht werden sllen, dann führen Sie dazu die flgenden Schritte aus: 1 Wählen Sie einen der mehrere Knten in der Kntenliste aus und klicken Sie auf die Schaltfläche Löschen. 2 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Knten werden aus der Kntenliste gelöscht. 3 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 100

101 Zuweisen der Vrlage an eine Abteilung Führen Sie die flgenden Schritte aus, um eine Sicherheitsrichtlinienvrlage an eine bestimmte Abteilung zuzuweisen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie die Abteilung in der Panel-Ansicht (s. Abbildung 19 auf S. 58) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Abteilung. 3 Wählen Sie im Fenster Abteilungsptinen in der linken Leiste den Bereich Richtlinienvrlagen. In der rechten Leiste wird eine Liste vn Vrlagen angezeigt, die der Abteilung bereits zugewiesen sind. Abbildung 57. Liste vn Richtlinienvrlagen, die der Abteilung zugewiesen sind 4 Klicken Sie auf die Schaltfläche Hinzufügen. 5 Wählen Sie im eingeblendeten Fenster eine der mehrere Vrlagen aus der Liste aus und klicken Sie auf OK. Die gewählten Vrlagen werden der Vrlagenliste der Abteilung hinzugefügt. 6 Wenn nötig, ändern Sie die Psitin der Vrlage in der Liste mit Hilfe der Schaltflächen Nach ben und Nach unten. Hinweis. Die Reihenflge der Anrdnung der Vrlagen in der Liste bestimmt die Prirität der Vrlagen: diese verringert sich gemäß der Psitin der Vrlage in der Liste vn ben nach unten. 7 Klicken Sie auf OK, um die Änderungen zu speichern. Wenn irgendwelche Vrlagen aus der Liste der zugewiesenen Vrlagen gelöscht werden sllen, dann führen Sie dazu die flgenden Schritte aus: 1 Wählen Sie eine der mehrere Vrlagen in der Vrlagenliste aus und klicken Sie auf die Schaltfläche Löschen. ViPNet Plicy Manager 4.3. Administratrhandbuch 101

102 2 Klicken Sie im Bestätigungsfenster auf die Schaltfläche Löschen. Die gewählten Vrlagen werden aus der Vrlagenliste gelöscht. 3 Klicken Sie auf OK, um die Änderungen zu speichern. Zuweisen der Vrlage an mehrere Abteilungen Eine Sicherheitsrichtlinienvrlage kann an mehrere Abteilungen gleichzeitig zugewiesen werden. Dazu: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Richtlinienvrlagen. 2 Wählen Sie die benötigte Vrlage in der Panel-Ansicht aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Vrlage. 3 Wählen Sie im Fenster Richtlinienvrlagenptinen in der linken Leiste den Bereich Abteilungen. In der rechten Leiste wird die Hierarchie der Abteilungen angezeigt. Abteilungen, denen die betrffene Vrlage bereits zugewiesen ist, werden durch aktivierte Kntrllkästchen gekennzeichnet. Abbildung 58. Abteilungen, denen die Vrlage zugewiesen ist 4 Aktivieren Sie die Kntrllkästchen neben jenen Abteilungen, denen die Vrlage zugewiesen werden sll. Deaktivieren Sie die Kntrllkästchen neben jenen Abteilungen, denen die Vrlage nicht zugewiesen werden sll. 5 Klicken Sie auf OK, um die Änderungen zu speichern. ViPNet Plicy Manager 4.3. Administratrhandbuch 102

103 9 Versand vn Sicherheitsrichtlinien an Netzwerkknten Regeln zur Bildung der resultierenden Sicherheitsrichtlinie 104 Versand und Empfang vn Sicherheitsrichtlinien 106 Anwendung der Sicherheitsrichtlinien auf die Netzwerkknten 107 Anzeige der resultierenden Sicherheitsrichtlinie 108 Selektiver Versand der Richtlinie 110 Gruppenversand der Richtlinie 111 Versand- und Anwendungslgdatei der Sicherheitsrichtlinien 112 ViPNet Plicy Manager 4.3. Administratrhandbuch 103

104 Regeln zur Bildung der resultierenden Sicherheitsrichtlinie Die resultierende Sicherheitsrichtlinie wird autmatisch beim Versenden vn Sicherheitsrichtlinien an die Netzwerkknten erstellt. Zum Versenden vn Sicherheitsrichtlinien an einzelne Knten der an eine begrenzte Anzahl an Knten wird der selektive Versand verwendet (s. Selektiver Versand der Richtlinie auf S. 110). Der Versand vn Sicherheitsrichtlinien an alle Knten der Abteilung der an alle verwalteten Knten wird mit Hilfe des Gruppenversands durchgeführt (s. Gruppenversand der Richtlinie auf S. 111). Die resultierende Sicherheitsrichtlinie des Kntens bildet die Gesamtheit aller Vrlagen (unter Beachtung vn Priritäten), die dem Knten swie allen Abteilungen, in denen der betrffene Knten enthalten ist, zugewiesen wurden. Wenn es dppelt vrkmmende Vrlagen gibt, wird in der resultierenden Richtlinie nur eine Vrlage berücksichtigt, und zwar diejenige, die über eine höhere Prirität verfügt. Beim Erstellen der resultierenden Richtlinie werden nicht nur die Vrlagen der Abteilung berücksichtigt, in welcher der betrffene Knten enthalten ist, sndern auch die Vrlagen aller übergerdneten Abteilungen (s. Beispiel unten). Die Einstellungen der Vrlagen, die Teil der resultierenden Richtlinie sind, werden nach Typen gemäß der Vrlagenstruktur (s. Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen auf S. 66) gruppiert. Betrachten wir die Bildung der resultierenden Sicherheitsrichtlinie für einen Knten anhand des flgenden Beispiels: Es wird angenmmen, dass der betrachtete Netzwerkknten in den Abteilungen A1 und B enthalten ist. Dabei gehört Abteilung A1 zu der übergerdneten Abteilung A. Es wird angenmmen, dass dem Knten und den Abteilungen flgende Vrlagen zugewiesen wurden (gerdnet nach absteigender Prirität): Abteilung A: Vrlage_1; Abteilung A1: Vrlagen der Abteilung A, Vrlage_2, Vrlage_3 und Vrlage_6; Abteilung B: Vrlage_1, Vrlage_4 und Vrlage_5; Netzwerkknten: Vrlagen der Abteilung A1, Vrlagen der Abteilung B, Vrlage_6, Vrlage_7 und Vrlage_8. ViPNet Plicy Manager 4.3. Administratrhandbuch 104

105 Abbildung 59. Beispiel für Bildung einer resultierenden Sicherheitsrichtlinie In diesem Fall wird für den Netzwerkknten eine Gesamtvrlagenliste gebildet, die in der nachflgenden Tabelle aufgeführt ist. Tabelle 8. Reihenflge der Bildung einer Gesamtvrlagenliste Abteilungen / Knten Ursprüngliche Liste der zugewiesenen Vrlagen Resultierende Vrlagenliste (nach der Bereinigung vn Dppeleinträgen) Abteilung A Vrlage_1 Vrlage_1 Abteilung A1 Vrlage_2 Vrlage_2 Vrlage_3 Vrlage_6 Vrlage_3 Vrlage_6 Abteilung B Vrlage_1 Vrlage_4 Vrlage_4 Vrlage_5 Vrlage_5 Vrlage_7 Netzwerkknten Vrlage_6 Vrlage_8 Vrlage_7 Vrlage_8 ViPNet Plicy Manager 4.3. Administratrhandbuch 105

106 Versand und Empfang vn Sicherheitsrichtlinien Die resultierende Sicherheitsrichtlinie wird in Frm einer xml-datei speziellen Frmats an die Netzwerkknten versendet. Damit die Dateiintegrität gewährleistet bleibt, berechnet ViPNet Plicy Manager die Kntrllsumme der Datei und speichert diese in einer separaten Datei mit der Erweiterung *.crg. Die Kntrllsummendatei wird gemeinsam mit der Sicherheitsrichtlinie an die Netzwerkknten versendet. Achtung! Überprüfen Sie vr dem Versand der Sicherheitsrichtlinie an den Netzwerkknten, dass auf diesem Netzwerkknen nach seinem Hinzufügen zur Liste der gesteuerten Netzwerkknten die Adresslisten aktualisiert wurden. Mehr Infrmatinen finden Sie im Dkument ViPNet Netwrk Cntrl Center. Administratrhandbuch, Abschnitt Aktualisieren der Adresslisten und Schlüssel. Beim Empfang der Sicherheitsrichtlinie wird die Dateiintegrität überprüft: auf dem Netzwerkknten wird die Kntrllsumme der empfangenen Datei berechnet und mit der erhaltenen Kntrllsumme verglichen. Wenn die Kntrllsummen nicht übereinstimmen (d. h. wenn die Integrität der Datei gestört ist), dann wird eine entsprechende Fehlermeldung auf dem Netzwerkknten ausgegeben und die Sicherheitsrichtlinie wird nicht angenmmen. Nach Überprüfung der Integrität der Datei, in welcher die Sicherheitsrichtlinie enthalten ist, und nach dem Versuch, die Richtlinie auf dem Knten anzuwenden, wird eine Empfangsbestätigung erstellt. Die Empfangsbestätigung enthält Infrmatinen darüber, b die Richtlinie angewendet der abgelehnt wurde, und wird an den ViPNet Plicy Manager-Knten zurückgesendet. ViPNet Plicy Manager ändert den Status der Sicherheitsrichtlinie des Kntens in Übereinstimmung mit den Daten der Empfangsbestätigung. Der aktuelle Status der Sicherheitsrichtlinie bei jedem Knten wird im Bereich Verwaltete Netzwerkknten angezeigt (s. Anzeige der Liste verwalteter Knten auf S. 54). Achtung! Überprüfen Sie vr dem Beginn der Arbeit mit ViPNet Plicy Manager, dass die Netzwerkknten, an die die Sicherheitsrichtlinien zu senden sind, in der Liste der mit ViPNet Plicy Manager gesteuerten Netzwerkknten vrhanden sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 106

107 Anwendung der Sicherheitsrichtlinien auf die Netzwerkknten Die aus dem Prgramm ViPNet Plicy Manager versendete und vm Netzwerkknten übernmmene Sicherheitsrichtlinie bestimmt die aktuelle Sicherheitsrichtlinie des Kntens (gemeinsam mit Netzwerkfiltern, die auf dem Knten lkal definiert sind). Die übernmmenen Netzwerkfilter können auf dem Netzwerkknten nicht geändert werden. Die aktuelle Sicherheitsrichtlinie des Kntens (gebildet unter Berücksichtigung der empfangenen Richtlinie) gilt für alle Benutzer, die auf dem Knten registriert sind, und für alle Knfiguratinen des Prgramms ViPNet Mnitr. Beim Hinzufügen neuer Benutzer der Knfiguratinen wird die aktuelle Sicherheitsrichtlinie auf diese Objekte ebenfalls angewendet. Auf einem Netzwerkknten mit installierter ViPNet Client- der ViPNet Crdinatr-Sftware werden die angenmmenen Netzwerkfilter im Prgramm ViPNet Mnitr in den entsprechenden Netzwerkfilterlisten angezeigt. Diese befinden sich in Gruppe Filter für Sicherheitsrichtlinien und haben eine höhere Prirität als die Filter, die lkal auf dem Netzwerkknten knfiguriert wurden. Abbildung 60. Фильтры, полученные из программы ViPNet Plicy Manager Auf einem Netzwerkknten mit installiertem ViPNet Crdinatr Linux werden die angenmmenen Netzwerkfilter in der Datei p_mn.xml zusammen mit den lkal erstellten Filtern gespeichert, besitzen aber eine höhere Prirität als die lkalen Filter. Die Liste der Netzwerkfilter kann mit Hilfe eines speziellen Befehls angezeigt werden. Mehr Infrmatinen finden Sie im Dkument ViPNet Crdinatr Linux. Administratrhandbuch. ViPNet Plicy Manager 4.3. Administratrhandbuch 107

108 Anzeige der resultierenden Sicherheitsrichtlinie Es besteht die Möglichkeit, die Sicherheitsrichtlinie vr dem Versand an die Netzwerkknten zur Überprüfung anzuzeigen der in einer Datei zu speichern und auszudrucken. Führen Sie die flgenden Schritte aus, um die resultierende Sicherheitsrichtlinie eines Kntens anzuzeigen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 2 Wählen Sie den Netzwerkknten in der Panel-Ansicht (s. Abbildung 17 auf S. 54) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf den Netzwerkknten. 3 Wählen Sie im Fenster Netzwerkkntenptinen in der linken Leiste den Bereich Resultierende Richtlinie. In der rechten Leiste wird die resultierende Sicherheitsrichtlinie des Netzwerkkntens angezeigt. Abbildung 61. Resultierende Sicherheitsrichtlinie des Netzwerkkntens 4 Wenn Sie die resultierende Sicherheitsrichtlinie in einer Datei speichern möchten, klicken Sie auf Speichern und geben Sie den Speicherrt und den Dateinamen an. Die Sicherheitsrichtlinie wird in einer Datei im HTML-Frmat gespeichert. 5 Klicken Sie zum Drucken der resultierenden Sicherheitsrichtlinie auf die Schaltfläche Drucken, wählen Sie im Fenster mit den Druckptinen den passenden Drucker aus und klicken Sie drt ebenfalls auf Drucken. ViPNet Plicy Manager 4.3. Administratrhandbuch 108

109 Führen Sie die flgenden Schritte aus, um die resultierende Sicherheitsrichtlinie einer Abteilung anzuzeigen: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie die Abteilung in der Panel-Ansicht (s. Abbildung 19 auf S. 58) aus und klicken Sie auf die Schaltfläche Eigenschaften der dppelklicken Sie auf die Abteilung. 3 Wählen Sie im Fenster Abteilungsptinen in der linken Leiste den Bereich Resultierende Richtlinie. In der rechten Leiste wird die resultierende Sicherheitsrichtlinie der Abteilung angezeigt. Abbildung 62. Resultierende Sicherheitsrichtlinie der Abteilung 4 Wenn Sie die resultierende Sicherheitsrichtlinie in einer Datei speichern möchten, klicken Sie auf Speichern und geben Sie den Speicherrt und den Dateinamen an. Die Sicherheitsrichtlinie wird in einer Datei im HTML-Frmat gespeichert. 5 Klicken Sie zum Drucken der resultierenden Sicherheitsrichtlinie auf die Schaltfläche Drucken, wählen Sie im Fenster mit den Druckptinen den passenden Drucker aus und klicken Sie drt ebenfalls auf Drucken. ViPNet Plicy Manager 4.3. Administratrhandbuch 109

110 Selektiver Versand der Richtlinie Der selektive Versand vn Richtlinien wird dann verwendet, wenn die Sicherheitsrichtlinien an eine beschränkte Anzahl an Netzwerkknten gesendet werden sllen. Zum selektiven Versenden vn Richtlinien: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Verwaltete Netzwerkknten. 2 Wählen Sie in der Panel-Ansicht (s. Abbildung 17 auf S. 54) einen der mehrere Knten mit dem Richtlinienstatus Verteilung erfrderlich aus. 3 Klicken Sie auf die Schaltfläche Richtlinien verteilen. 4 Legen Sie im Fenster Richtlinie verteilen die Bedingungen für die Anwendung der Richtlinie auf die Netzwerkknten fest. Geben Sie bei Auswahl der Optin Zur bestimmten Zeit das Datum und die Zeit der Anwendung an. Abbildung 63. Verteilung vn Sicherheitsrichtlinien an die Netzwerkknten 5 Klicken Sie auf die Schaltfläche OK. Die Sicherheitsrichtlinien werden an die gewählten Knten versendet und drt sfrt nach Empfang der zur gegebenen Zeit angewendet. Hinweis. Enthalten die Sicherheitsrichtlinien neue bzw. geänderte Filter, die den Traffic blckieren, fangen diese Filter erst dann zu gelten an, wenn die Cmputer, auf die die Sicherheitsrichtlinien gesendet wurden, neu gestartet wrden sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 110

111 Gruppenversand der Richtlinie Der Gruppenversand vn Richtlinien wird dann verwendet, wenn die Sicherheitsrichtlinien an alle Knten einer der mehrerer Abteilungen der an alle verwalteten Knten gesendet werden sllen. Zum gruppenweisen Versenden vn Richtlinien: 1 Wählen Sie im Prgrammfenster vn ViPNet Plicy Manager in der Navigatinsleiste den Bereich Abteilungen. 2 Wählen Sie in der Panel-Ansicht (s. Abbildung 19 auf S. 58) eine der mehrere Abteilungen der Verwaltete Netzwerkknten aus. 3 Klicken Sie auf die Schaltfläche Richtlinien verteilen. 4 Legen Sie im Fenster Richtlinie verteilen (s. Abbildung 63 auf S. 110) die Bedingungen für die Anwendung der Richtlinie auf die Netzwerkknten fest. Geben Sie bei Auswahl der Optin Zur bestimmten Zeit das Datum und die Zeit der Anwendung an. 5 Klicken Sie auf die Schaltfläche OK. Die Sicherheitsrichtlinien werden an die Knten der gewählten Abteilungen (der an alle verwalteten Knten) versendet und drt sfrt nach Empfang der zur gegebenen Zeit angewendet. Hinweis. Enthalten die Sicherheitsrichtlinien neue bzw. geänderte Filter, die den Traffic blckieren, fangen diese Filter erst dann zu gelten an, wenn die Cmputer, auf die die Sicherheitsrichtlinien gesendet wurden, neu gestartet wrden sind. ViPNet Plicy Manager 4.3. Administratrhandbuch 111

112 Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Alle Ereignisse, die mit dem Versand vn Sicherheitsrichtlinien an die Netzwerkknten und mit der Anwendung der Richtlinien auf die Knten in Zusammenhang stehen, werden in einer Lgdatei erfasst, die im Unterbereich Versand und Anwendung vn Richtlinien des Bereichs Lgdateien angezeigt wird. Der Bereich Lgdateien wird in der Navigatinsleiste nur dann eingeblendet, wenn der aktuelle Prgrammbenutzer über das Recht Überwachen verfügt. Abbildung 64. Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Für jedes in der Lgdatei registrierte Ereignis werden Infrmatinen angezeigt, die in der flgenden Tabelle zusammengefasst sind. Tabelle 9. Infrmatinen über Ereignisse in der Versand- und Anwendungslgdatei der Richtlinien Spalte Netzwerkknten Beschreibung Symbl mit Kennzeichnung des Netzwerkknten-Typs: Crdinatr; Client. Nach dem Symbl wird der Name des Kntens angezeigt. Indentifikatr (ID) Ereignis Zeit (lkal) ID des Kntens im ViPNet Netzwerk. Ereignisbeschreibung Datum und Uhrzeit der Ereigniserfassung durch das Prgramm ViPNet Plicy Manager ViPNet Plicy Manager 4.3. Administratrhandbuch 112

113 Während der Anzeige der Lgdatei werden Ereignisse, die nach Beginn des Anzeigevrgangs aufgetreten sind, nicht autmatisch eingeblendet. Klicken Sie auf die Schaltfläche Aktualisieren Ereignisliste zu aktualisieren., um die Die Einträge in der Lgdatei können nach einem der mehreren Parametern gefiltert werden. Wenn Sie bestimmte Filterbedingungen definieren möchten: 1 Klicken Sie auf die Schaltfläche Filter. 2 Geben Sie im Fenster Lgdatei die flgenden Parameter an: Zeitbereich: wählen Sie einen Wert aus der Liste Bereich aus der geben Sie den Beginn und das Ende des Zeitintervalls in den entsprechenden Feldern an. Ereignis: aktivieren Sie die Kntrllkästchen neben den benötigten Ereignissen. ViPNet Netzwerkknten: wählen Sie einen Wert aus der Liste aus der klicken Sie auf die Schaltfläche neben der Liste und wählen Sie die benötigten Knten im Fenster mit der Aufzählung aller verwalteten Knten aus. Abbildung 65. Filter der Versand- und Anwendungslgdatei der Sicherheitsrichtlinie 3 Wenn Sie die Parameter auf ihre Standardwerte zurücksetzen möchten, klicken Sie auf die Schaltfläche Vreinstellungen. 4 Klicken Sie auf die Schaltfläche OK. Die Liste der Ereignisse in der Panel-Ansicht wird in Übereinstimmung mit den vrgegebenen Parametern aktualisiert. ViPNet Plicy Manager 4.3. Administratrhandbuch 113

114 10 Überwachen der Benutzeraktinen Arbeiten im Prgramm mit dem Recht Überwachen 115 Anzeigen der Lgdatei 116 ViPNet Plicy Manager 4.3. Administratrhandbuch 114

115 Arbeiten im Prgramm mit dem Recht Überwachen Im Prgramm ViPNet Plicy Manager wird ein Audit der Benutzeraktinen durchgeführt, wdurch genau festgestellt werden kann, welche Änderungen wann und vn wem vrgenmmen wurden. Flgende Kategrien vn Ereignissen werden überwacht: Benutzeraktinen: An- und Abmeldung der Benutzer im Prgramm. Knten: Aktinen im Hinblick auf Benutzerknten. Netzwerkknten: Änderungen in der Liste verwalteter Netzwerkknten und in der Liste der Vrlagen, die an bestimmte Knten zugewiesen sind. Abteilungen: Aktinen im Hinblick auf Abteilungen. Vrlagen: Aktinen im Hinblick auf Sicherheitsrichtlinienvrlagen. Richtlinien: Versand vn Sicherheitsrichtlinien an die Netzwerkknten. Objektgruppen: Aktinen mit Objektgruppen swie Änderungs- und Löschvrgänge im Hinblick auf die Lgdateieinträge der Ereignisse selbst. Alle aufgezählten Ereignisse werden in der Lgdatei registriert. Die Lgdatei der Ereignisse kann nur vn denjenigen Benutzern eingesehen werden, die über das Audit-Recht verfügen, d. h. unter allen dem Benutzer zugerdneten Rllen sllte sich eine Rlle mit dem Recht Überwachen befinden. Im einzelnen verfügt die vrinstallierte Benutzerrlle Auditr über dieses Recht. Neben der Einsicht in die Lgdatei haben Benutzer mit Audit-Recht zusätzlich die Möglichkeit, Abteilungen, Vrlagen, Objektgruppen, resultierende Sicherheitsrichtlinien und die Lgdatei der gesendeten und angewendeten Richtlinien einzusehen. ViPNet Plicy Manager 4.3. Administratrhandbuch 115

116 Anzeigen der Lgdatei In der Lgdatei werden die Aktinen der Benutzer während ihrer Arbeit im Prgramm ViPNet Plicy Manager registriert: An- und Abmeldung der Benutzer im Prgramm; Erstellen, Ändern und Löschen vn Knten, Abteilungen, Sicherheitsrichtlinienvrlagen und Objektgruppen; Änderungen der Liste vn Vrlagen, die an Knten der Abteilungen zugewiesen sind; Versand vn Sicherheitsrichtlinien an die Netzwerkknten; Verletzungen der Integrität der Lgdatei selbst. Die Lgdatei wird im Unterbereich Ereignisse des Bereichs Lgdateien angezeigt. Der Bereich Lgdateien wird in der Navigatinsleiste nur dann eingeblendet, wenn der aktuelle Prgrammbenutzer über das Recht Überwachen verfügt. Abbildung 66. Lgdatei der Erignisse Für jedes in der Lgdatei registrierte Ereignis werden Infrmatinen angezeigt, die in der flgenden Tabelle zusammengefasst sind. Tabelle 10. Infrmatinen zu Ereignissen, die in der Lgdatei registriert werden Spalte Auslöser Ereignis Beschreibung Auslöser des Ereignisses (Prgrammbenutzer) Ereignisbeschreibung ViPNet Plicy Manager 4.3. Administratrhandbuch 116

117 Spalte Infrmatin Zeit (lkal) Beschreibung Detailinfrmatinen zum Ereignis Datum und Uhrzeit der Ereigniserfassung durch das Prgramm ViPNet Plicy Manager Während der Anzeige der Lgdatei werden Ereignisse, die nach Beginn des Anzeigevrgangs aufgetreten sind, nicht autmatisch eingeblendet. Klicken Sie auf die Schaltfläche Aktualisieren Ereignisliste zu aktualisieren., um die Die Einträge in der Lgdatei können nach einem der mehreren Parametern gefiltert werden. Wenn Sie bestimmte Filterbedingungen definieren möchten: 1 Klicken Sie auf die Schaltfläche Filter. 2 Geben Sie im Fenster Lgdatei die flgenden Parameter an: Zeitbereich: wählen Sie einen Wert aus der Liste Bereich aus der geben Sie den Beginn und das Ende des Zeitintervalls in den entsprechenden Feldern an. Ereignis: aktivieren Sie die Kntrllkästchen neben den benötigten Ereignissen. Die Ereignisse sind nach Kategrien gruppiert. Sie können gleich alle Ereignisse einer bestimmten Kategrie auswählen, indem Sie das Kntrllkästchen neben der Kategriebezeichnung aktivieren. Auslöser: wählen Sie einen bestimmten Benutzer in der Liste aus der behalten Sie den ausgewählten Eintrag Alle Ereignisauslöser. Abbildung 67. Filter der Lgdatei 3 Wenn Sie die Parameter auf ihre Standardwerte zurücksetzen möchten, klicken Sie auf die Schaltfläche Vreinstellungen. 4 Klicken Sie auf die Schaltfläche OK. Die Liste der Ereignisse in der Panel-Ansicht wird in Übereinstimmung mit den vrgegebenen Parametern aktualisiert. ViPNet Plicy Manager 4.3. Administratrhandbuch 117

118 A Installatin vn Micrsft SQL Server In diesem Anhang wird die Installatin vn Micrsft SQL Server 2005 Express Editin behandelt. Die Installatin anderer Versinen vn Micrsft SQL Server sllte in gleicher Weise durchgeführt werden. Ausführliche Infrmatinen zur Installatin finden Sie auf der Webseite mit Daten über alle aktuellen Entwicklungen der Firma Micrsft Zum Installieren der Sftware Micrsft SQL Server 2005 Express Editin führen Sie die flgenden Schritte aus: 1 Laden Sie das Installatinsprgramm vn Micrsft SQL Server 2005 Express Editin vn der Webseite der Firma Micrsft herunter 2 Starten Sie das Installatinsprgramm. 3 Machen Sie sich auf der Seite Endbenutzer-Lizenzvertrag mit dem Text der Lizenzvereinbarung vertraut, aktivieren Sie das Kntrllkästchen Ich stimme den Bestimmungen des Lizenzvertrags zu und klicken Sie auf die Schaltfläche Weiter. 4 Klicken Sie auf der Seite Installatinsvraussetzungen auf die Schaltfläche Installieren. Es wird die Installatin der Kmpnenten, die für den Einsatz vn Micrsft SQL Server erfrderlich sind, durchgeführt. Klicken Sie nach Abschluss der Installatin auf die Schaltfläche Weiter. 5 Nach Überprüfung der Cmputerknfiguratin wird der Installatinsassistent Setup für Micrsft SQL Server 2005 gestartet. Klicken Sie auf der ersten Seite des Assistenten auf die Schaltfläche Weiter. 6 Klicken Sie auf der Seite Systemknfiguratinüberprüfung nach Abschluss der Prüfung auf Weiter. ViPNet Plicy Manager 4.3. Administratrhandbuch 118

119 7 Geben Sie auf der Seite Registrierungsinfrmatinen im Feld Name den Benutzernamen ein. Auf Wunsch kann der Firmenname angegeben werden. Deaktivieren Sie anschließend das Kntrllkästchen Erweiterte Knfiguratinsptinen ausblenden und klicken Sie auf Weiter. Abbildung 68. Registrierungsdaten bei Installatin vn SQL Server eingeben 8 Behalten Sie auf den Seiten Featureauswahl, Instanzname und Dienstknt die vrgegebenen Standardeinstellungen bei. Klicken Sie auf die Schaltfläche Weiter, um zur nächsten Seite zu wechseln. 9 Wählen Sie auf der Seite Authentifizierungsmdus die Optin Gemischter Mdus (Windws- Authentifizierung und SQL Server-Authentifizierung). Geben Sie in den entsprechenden Feldern das Passwrt für das Administratrknt sa ein. Das Passwrt sllte der Sicherheitsrichtlinie des Betriebssystems der der Dmäne entsprechen. Nachdem Sie alle erfrderlichen Schritte durchgeführt haben, klicken Sie auf Weiter. ViPNet Plicy Manager 4.3. Administratrhandbuch 119

120 Abbildung 69. Authentifizierungsmdus auswählen 10 Behalten Sie auf den Seiten Srtierung, Benutzerinstanzen und Einstellungen für Fehler- und Verwendungsberichte die Standardeinstellungen bei. Klicken Sie auf Weiter, um zur nächsten Seite zu wechseln. 11 Klicken Sie auf der Seite Installatinsbereit auf die Schaltfläche Installieren. 12 Klicken Sie nach Abschluss der Installatin auf der Seite Setupstatus auf Weiter. 13 Klicken Sie auf der Seite Micrsft SQL Server 2005-Setup wird abgeschlssen auf die Schaltfläche Fertig. Die Installatin vn Micrsft SQL Server 2005 Express Editin ist nun abgeschlssen. ViPNet Plicy Manager 4.3. Administratrhandbuch 120

121 B Reginaleinstellungen Zur krrekten Darstellung des deutschen Interfaces vn ViPNet Plicy Manager im Betriebssystem Micrsft Windws mit englischer Lkalisierung sllte die Unterstützungsfunktin vn Umlauten und ß aktiviert werden. Das gilt besnders für Prgramme, die keinen Unicde-Standard unterstützen. Es wird empfhlen, diese Einstellung bereits vr der Prgramminstallatin durchzuführen. Diese Parameter sllten auch dann eingestellt werden, wenn ein deutsches MUI (Multilanguage User Interface) installiert wurde. Das bedeutet, dass der Kern des Betriebssystems Englisch ist und die deutsche Sprache für das Interface und die Help-Dateien später installiert wurde. In diesem Fall sind die Reginaleinstellungen Englisch und sllten geändert werden. Achtung! Zum Ändern vn Reginaleinstellungen sllten Sie über Administratrrechte im Betriebssystem verfügen. Reginaleinstellungen für Windws Windws 7, Server 2008 R2 Auf diese Weise erreichen Sie die krrekte Darstellung der Umlaute und ß für Windws 7 und Windws Server 2008R2: 1 Wählen Sie Systemsteuerung im Menü Start > Systemsteuerung (Cntrl Panel) > Zeit, Sprache und Regin (Clck, Language, and Regin) > Regin und Sprache (Regin and Language) aus. 2 Klicken Sie auf die Registerkarte Verwaltung (Administrative) im Fenster Regin und Sprache (Regin and Language). ViPNet Plicy Manager 4.3. Administratrhandbuch 121

122 Abbildung 70. Erweiterte Spracheinstellungen 3 Klicken Sie auf Gebietsschema ändern (Change system lcale) in der Registerkarte Verwaltung (Administrative). 4 Wählen Sie Deutsch (Deutschland) im neu geöffneten Fenster in der Liste Aktuelles Gebietsschema aus und klicken auf OK. Abbildung 71. Auswahl der Systemsprache 5 Klicken Sie auf OK. Der Cmputer muss neu gestartet werden. 6 Nach dem Neustart öffnen Sie Systemsteuerung (Cntrl Panel) > Zeit, Sprache und Regin (Clck, Language, and Regin) > Regin und Sprache (Regin and Language). 7 Klicken Sie auf die Registerkarte Verwaltung (Administrative) im Fenster Regin und Sprache (Regin and Language). 8 Klicken Sie auf die Schaltfläche Einstellungen kpieren (Cpy settings) in der Registerkarte Verwaltung (Administrative). ViPNet Plicy Manager 4.3. Administratrhandbuch 122

123 9 Aktivieren Sie das Kntrllkästchen Willkmmensseite und Benutzerknten (Welcme screen and system accunts) im neu geöffneten Fenster und klicken auf OK. Abbildung 72. Kpieren der Parameter Um weitere Prbleme mit der Zeichencdierung auf einigen Systemen zu vermeiden, nehmen Sie die flgenden Einstellungen vr: 10 Gehen Sie zur Registerkarte Frmate (Frmats) des Fensters Regin und Sprache (Regin and Language) und wählen Sie Deutsch (Deutschland) in der Liste Frmat aus. ViPNet Plicy Manager 4.3. Administratrhandbuch 123

124 Abbildung 73. Einstellung vn Frmaten 11 Gehen Sie zur Registerkarte Aufenthaltsrt (Lcatin) des Fensters Regin und Sprache (Regin and Language) und wählen Sie Deutschland in der Liste Aktueller Aufenthaltsrt (Current lcatin) aus. Abbildung 74. Auswahl des aktuellen Aufenthaltsrtes ViPNet Plicy Manager 4.3. Administratrhandbuch 124

125 Reginaleinstellungen für Windws 8, Server 2012, Windws 8.1, Server 2012 R2, Windws 10 Auf diese Weise erreichen Sie die krrekte Darstellung der Umlaute und ß für Windws 8, Windws 8.1, Server 2012, Server 2012 R2 und Windws 10: 1 Wählen Sie Systemsteuerung im Menü Start > Systemsteuerung (Cntrl Panel) > Regin aus. 2 Klicken Sie auf die Registerkarte Verwaltung (Administrative) im Fenster Regin. Abbildung 75. Erweiterte Spracheinstellungen 3 Klicken Sie auf Gebietsschema ändern (Change system lcale) in der Registerkarte Verwaltung (Administrative). 4 Wählen Sie Deutsch (Deutschland) im neu geöffneten Fenster in der Liste Aktuelles Gebietsschema aus und klicken auf OK. ViPNet Plicy Manager 4.3. Administratrhandbuch 125

126 Abbildung 76. Auswahl der Systemsprache 5 Klicken Sie auf OK. Der Cmputer muss neu gestartet werden. 6 Öffnen Sie Nach dem Neustart das Menü Systemsteuerung (Cntrl Panel) > Regin. 7 Klicken Sie auf die Registerkarte Verwaltung (Administrative) im Fenster Regin. 8 Klicken Sie auf die Schaltfläche Einstellungen kpieren (Cpy settings) in der Registerkarte Verwaltung (Administrative). 9 Aktivieren Sie das Kntrllkästchen Willkmmensseite und Benutzerknten (Welcme screen and system accunts) im neu geöffneten Fenster und klicken auf OK. Abbildung 77. Kpieren der Parameter ViPNet Plicy Manager 4.3. Administratrhandbuch 126

127 Um weitere Prbleme mit der Zeichencdierung auf einigen Systemen zu vermeiden, nehmen Sie die flgenden Einstellungen vr: 1 Gehen Sie zur Registerkarte Frmate (Frmats) des Fensters Regin und wählen Sie Deutsch (Deutschland) in der Liste Frmat aus. Abbildung 78. Einstellung vn Frmaten 2 Gehen Sie zur Registerkarte Aufenthaltsrt (Lcatin) des Fensters Regin und wählen Sie Deutschland in der Liste Aktueller Aufenthaltsrt (Current lcatin) aus. ViPNet Plicy Manager 4.3. Administratrhandbuch 127

128 Abbildung 79. Auswahl des aktuellen Aufenthaltsrtes ViPNet Plicy Manager 4.3. Administratrhandbuch 128

129 C Versinsgeschichte In dieser Anwendung werden die wichtigsten Änderungen in den vrherigen Versinen vn ViPNet Plicy Manager beschrieben. Neu in Versin In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin gebten. Unterstützung vn Windws 10 Ab Versin 4.3.2, unterstützt ViPNet Plicy Manager das Betriebssystem Windws 10. Änderungen in der Liste unterstützter SQL-Server-Versinen ViPNet Plicy Manager unterstützt flgende Versinen vn SQL-Server nicht mehr: Micrsft SQL Server 2005, Micrsft SQL Server 2008 Micrsft SQL Server 2008 R2. Zur Zeit unterstützt ViPNet Plicy Manager die SQL-Server flgender Versinen: Micrsft SQL Server 2008 R2 SP1, Micrsft SQL Server 2012 SP1, Micrsft SQL Server 2014 SP1. Kmpatibilität mit der Sftware ViPNet Administratr 4.4 und ViPNet Netwrk Manager 4.5 Ab Versin 4.3.2, unterstützt ViPNet Plicy Manager die Sftware ViPNet Administratr Versin 4.4 der höher und ViPNet Netwrk Manager 4.5 der höher. Krrektur der Fehler Es wurden Fehler krrigiert, die während der Anwendung der vrhergehenden Prgrammversin festgestellt wurden. ViPNet Plicy Manager 4.3. Administratrhandbuch 129

130 Neu in Versin In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin gebten. Vereinfachung der parallelen Installatin mit ViPNet Netwrk Cntrl Center Beim Installieren vn ViPNet Plicy Manager auf einen Cmputer mit der Serveranwendung ViPNet Netwrk Cntrl Center müssen die Dienste NccService und NccFilewatcherService während der Installatin nicht mehr angehalten werden. Krrektur der Fehler Es wurden Fehler krrigiert, die während der Anwendung der vrhergehenden Prgrammversin festgestellt wurden. Neu in Versin 4.2 In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin 4.0 gebten. Änderungen im Hauptmenü des Prgramms Der Name des ersten Eintrags im Hauptmenü des Prgramms wurde geändert. Nun besitzt dieser Punkt den Namen Datei. Abbildung 80. Сравнение главного меню Plicy Manager 4.1 и Plicy Manager 4.2 Verwendungseinschränkungen für das Prgramm In Versin 4.2 wurde eine Verwendungseinschränkung für das Prgramm ViPNet Plicy Manager auf den Netzwerkknten eingeführt. Nun kann das Prgramm nur auf dem Netzwerkknten verwendet werden, der als Manager-Arbeitsplatz festgelegt ist. Neu in Versin 4.1 Autmatische Aktualisierung der Liste der verwalteten Netzwerkknten Die Liste der verwalteten Netzwerkknten wird nun autmatisch aktualisiert. Beim Erhalt vn Adresslisten- und Schlüsselupdates muss die Liste nun nicht mehr manuell aktualisiert werden. Dies geschieht autmatisch. ViPNet Plicy Manager 4.3. Administratrhandbuch 130

131 Neu in Versin 4.0 In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin 4.0 gebten. Änderung der grafischen Oberfläche des Prgramms Die grafische Benutzerberfläche des Prgramms wurde überarbeitet, der Stil wurde an die Gestaltung der Oberfläche anderer ViPNet Prgramme angepasst. Die grundlegenden Funktinen des Prgramms inklusive aller neuen Funktinen befinden sich in der Navigatinsleiste und sind für den Benutzer hne umständliche Menüführung stets zugriffsbereit (s. Benutzerberfläche des Prgramms auf S. 30). Änderung der Terminlgie Einige Fachausdrücke, die in ViPNet Plicy Manager verwendet wurden, wurden ersetzt. Die Änderungen sind in der Tabelle unten aufgelistet. Tabelle 11. Änderungen der Terminlgie Alter Ausdruck Verwaltungsdmäne Gruppe (vn Knten) Neuer Ausdruck Netzwerkknten Abteilung Änderung der Zusammensetzung vn Einstellungen in den Sicherheitsrichtlinienvrlagen Die Sicherheitsstufen auf den Netzwerkadaptern, die vrmals in den Sicherheitsrichtlinienvrlagen definiert werden knnten, werden nicht mehr unterstützt. Nun können die Vrlagen ausschließlich Netzwerkfilter und NAT-Regeln für IP-Adressen enthalten (s. Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen auf S. 66). Unterstützung vn Objektgruppen Es können nun Objektgruppen verwendet werden, die das Erstellen der Netzwerkfilter und NAT- Regeln in den Sicherheitsrichtlinienvrlagen wesentlich erleichtern. Objektgruppen fassen mehrere Objekte des gleichen Typs zusammen und können anstatt einzelner Objekte angegeben werden (s. Arbeiten mit Objektgruppen auf S. 67). Vllständige Unterstützung der Benutzerknten In Versin 3.2 knnte das Prgramm ViPNet Plicy Manager vn jedem Netzwerkkntenbenutzer der vm Administratr des Netzwerkkntens verwendet werden. In Versin 4.0 ist eine Benutzerkntenverwaltung integriert, wdurch das Prgramm nur vn jenen Benutzern verwendet werden kann, für die entsprechende Benutzerknten erstellt wurden (s. Verwaltung vn Benutzerknten auf S. 45). Die Authentifizierung der Benutzer vn ViPNet Plicy Manager erflgt anhand des Benutzernamens und eines Passwrts. Möglichkeit zur Verwaltung vn Benutzerrechten und -rllen ViPNet Plicy Manager 4.3. Administratrhandbuch 131

132 Im Prgramm ViPNet Plicy Manager können nun die Rllen und Rechte der Benutzer verwaltet werden. Statt zwei vrinstallierten Rllen (Administratr und Auditr) mit festgelegten Benutzerrechten kann nun eine Reihe eingebauter Benutzerrllen verwendet und weitere Benutzerrllen mit den erfrderlichen Rechten neu erstellt werden (s. Verwaltung vn Benutzerrllen auf S. 49). Dadurch können die Rechte und Pflichten der Prgrammbenutzer flexibler verteilt werden. Möglichkeit zum Audit der Benutzeraktinen Es wird nun eine Lgdatei geführt, in der alle Benutzeraktinen im Prgramm ViPNet Plicy Manager registriert werden. Mit Hilfe dieser Lgdatei kann festgestellt werden, welche Änderungen wann und vn wem vrgenmmen wurden. Aus praktischen Gründen wurde für das Audit die Möglichkeit implementiert, die Einträge in der Lgdatei nach Zeit, Ereignis der Ereignisauslöser zu filtern (s. Anzeigen der Lgdatei auf S. 116). Möglichkeit zur Filterung vn Einträgen in der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien Die Einträge in der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien können nun gefiltert werden. Beim Anzeigen der Lgdatei können die Einträge nach Zeit, Ereignistyp und Netzwerkknten gefiltert werden (s. Versand- und Anwendungslgdatei der Sicherheitsrichtlinien auf S. 112). Aktualisierung der Dkumentatin und eingebaute Hilfe Die gemeinsam mit dem Prgramm ViPNet Plicy Manager gelieferte Dkumentatin wurde wesentlich überarbeitet. Zusätzlich wurde eine Online-Hilfe eingebaut, wdurch Hilfestellungen während der Arbeit mit dem Prgramm schnell angezeigt werden können. ViPNet Plicy Manager 4.3. Administratrhandbuch 132

133 D Glssar A Abteilung Eine bestimmte Anzahl vn Knten aus der Gesamtmenge verwalteter Knten, die zusammengefasst wurden, um gruppenweise Anwendungen vn Sicherheitsrichtlinienvrlagen zu ermöglichen. Eine Abteilung kann mehrere Unterabteilungen umfassen, sdass eine hierarchische Struktur gebildet wird. Adresslisten Eine Zusammensetzung vn Dateien, die Daten über ViPNet Netzwerkbjekte enthalten (Knten, Benutzer, Arbeitsgruppen), inklusive Daten über ihre Namen, Identifikatren, Adressen und Verbindungen. Diese Dateien werden in Administratinsanwendungen vn ViPNet erstellt, die für den Aufbau der Struktur und die Knfiguratin des ViPNet Netzwerks verwendet werden (ViPNet Netwrk Cntrl Center, ViPNet Netwrk Manager). B Benutzerrlle Eine Zusammensetzung vn Rechten, die dem Benutzer bestimmte Berechtigungen im Rahmen seiner Arbeit mit dem Prgramm ViPNet Plicy Manager einräumen. ViPNet Plicy Manager 4.3. Administratrhandbuch 133

134 Bradcast-Pakete Definiert eine Nachricht, bei der Datenpakete vn einem Punkt aus an alle Teilnehmer eines Netzes übertragen werden. C Client Netzwerkknten, der entweder einen Ausgangs- der Endpunkt für die Datenübertragung darstellt. Im Vergleich mit dem Crdinatr verfügt der Client über keine Ruting-Funktinen. Crdinatr (ViPNet Crdinatr) Netzwerkknten mit installierter ViPNet Crdinatr Sftware. G Getunneltes Objekt Ein Netzwerkbjekt, das über keine ViPNet Client bzw. Crdinatr Sftware verfügt und durch einen Crdinatr getunnelt wird. N Netzwerkadressenübersetzung (NAT) Netwrk Address Translatin ist der Sammelbegriff für Verfahren, die autmatisiert Adressinfrmatinen in Datenpaketen durch andere ersetzen, um verschiedene Netze zu verbinden. Netzwerkfilter Eine Zusammensetzung vn Parametern, auf deren Basis die Firewall der ViPNet Sftware bestimmte IP- Pakete blckiert der erlaubt. ViPNet Plicy Manager 4.3. Administratrhandbuch 134

135 R Resultierende Sicherheitsrichtlinie Die Sicherheitsrichtlinie eines einzelnen Kntens als Ergebnis der Summe aller Vrlagen (unter Beachtung vn Priritäten), die dem betrffenen Knten der der Abteilung des betrffenen Kntens zugewiesen wurden. S Sicherheitsrichtlinie Eine Zusammensetzung vn Parametern, die die Sicherheit eines Netzwerkkntens regeln. In der ViPNet Technlgie wird die Sicherheit vn Netzwerkknten mit Hilfe der Netzwerkfilter, NAT-Regeln, Parametereinstellungen vn ViPNet Sftware und Traffic-Verarbeitungsptinen auf den einzelnen Netzwerkadaptern gewährleistet. Sicherheitsrichtlinienvrlage Eine Zusammensetzung vn Einstellungen, die dazu verwendet wird, bestimmte Sicherheitsrichtlinien auf Netzwerkknten zu installieren. In der Vrlage werden alle benötigten Netzwerkfilter und NAT-Regeln definiert. Die Vrlage kann auf Netzwerkknten und Abteilungen angewendet werden, für welche die in in dieser Vrlage enthaltene Sicherheitsrichtlinie gelten sll. Subnetz Eine lgische Einheit des IP-Netzwerkes. T Transprtmdul (MFTP) Die Sftware-Kmpnente für den Infrmatinsaustausch innerhalb des ViPNet Netzwerkes. Tunnelnder Crdinatr Eine der Funktinen des Crdinatrs, die im Prgramm ViPNet Netwrk Manager (in ViPNet VPN- Netzwerke) der ViPNet Netwrk Cntrl Center (in ViPNet Netzwerke basierte auf der Sftware ViPNet Administratr) aktiviert wird: der Crdinatr tunnelt den IP-Traffic vn der zu den Netzwerkbjekten, die über keine ViPNet Client bzw. Crdinatr Sftware verfügen. Dabei bleibt der IP-Traffic nur auf der Streke zwischen dem getunnelten Netzwerkbjekt und dem Crdinatr unverschlüsselt. ViPNet Plicy Manager 4.3. Administratrhandbuch 135

136 Tunnelung Verschlüsselung des Traffics der ffenen Netzwerkbjekte bei der Übertragung über öffentliche Netzwerke. V ViPNet Netwrk Cntrl Center (NCC) ViPNet Netwrk Cntrl Center ist ein Prgramm, das Teil vn der ViPNet Administratr Sftware ist. Es ist zum Erstellen und Steuern der Knfiguratin des Netzwerks bestimmt und ermöglicht die Lösung vn flgenden Hauptaufgaben: Erstellung des virtuellen Netzwerks (Netzwerkbjekte und ihre Verbindungen, einschließlich Partnernetzwerkverbindungen); Änderung der Knfiguratin des Netzwerks; Erstellung und Versand der Adresslisten; Versand der Netzwerkschlüssel und Benutzerschlüssel; Erstellung vn Infrmatinen über die Benutzerverbindungen für ViPNet Key and Certificatin Authrity; Festlegung der Benutzerrechte auf den ViPNet Netzwerkknten. ViPNet Netzwerk Mit Hilfe vn ViPNet Sftware aufgebautes lgisches Netzwerk. ViPNet Netzwerkknten Cmputer mit installierter ViPNet Sftware. ViPNet Plicy Manager 4.3. Administratrhandbuch 136

137 E Index A Abgrenzung vn Rechten auf Basis vn Benutzerrllen 34, 42, 49 Abteilung 15, 17, 37 Adresslisten 16 Allgemeine Infrmatinen zu Sicherheitsrichtlinienvrlagen 38, 104, 131 Ändern des Passwrts beim integrierten Benutzerknt 34 Anfrderungen an den SQL-Server für die Installatin der Datenbank 10, 21 Anzeige der Liste verwalteter Knten 19, 30, 106 Anzeige der Versand- und Anwendungslgdatei der Sicherheitsrichtlinien 35 Anzeigen der Lgdatei 31, 132 Anzeigen und Ändern der Netzwerkfilter in der Vrlage 66, 79, 96 Anzeigen und Ändern vn NAT-Regeln in der Vrlage 66, 79, 96 Arbeiten mit Objektgruppen 30, 131 B Benutzerberfläche des Prgramms 29, 131 Benutzerrlle 18, 44, 49 D Deinstallatin vn ViPNet Plicy Manager 25 E Einen Netzwerkknten zur Abteilung hinzufügen 61 Erstellen der Netzwerkfilter 81 Erstellen einer Abteilung 34, 60 Erstellen einer Sicherheitsrichtlinienvrlage 34 Erstellen eines Benutzerknts 35 Erstellen und Ändern der NAT-Regeln 92 Erstellen und Ändern vn Benutzerknten 44 Erstellen und Ändern vn Objektgruppen 68, 83, 84, 85, 86, 87, 88, 89, 91, 93 G Gruppenversand der Richtlinie 58, 104 H Hinzufügen des Netzwerkadapter-Identifikatrs 9, 70 Hinzufügen vn IP-Adressen und DNS-Namen 70, 83, 85, 87, 93 Hinzufügen vn Netzwerkknten 69, 87, 89 Hinzufügen vn Prtkllen 71, 84, 86, 88, 91 Hinzufügen vn Zeitplänen 71, 84, 86, 88, 91 I Installatin vn Micrsft SQL Server 21 ViPNet Plicy Manager 4.3. Administratrhandbuch 137