Handbuch. Terra black dwarf. UTM Security Gateway

Größe: px
Ab Seite anzeigen:

Download "Handbuch. Terra black dwarf. UTM Security Gateway"

Transkript

1 Handbuch Terra black dwarf UTM Security Gateway

2 Inhalt Inhalt 1 Einleitung... 7 Teil 1 Administration mit dem Web-Interface Schnittstellen der Appliance Aufstellen und Anschließen der Appliance Die Appliance über das Web-Interface ansprechen Verbinden mit der Appliance Systemanforderungen an den Client Rechner Der Startbildschirm Navigationsleiste License System Dienste Status Appliance Interfaces IPSec Bereich Downloads Administrator IP Aktualisieren Menüpunkt Configuration Export Import Print Configuration Menüpunkt Network Server Properties External Administration Timezone Syslog Server Network Configuration...24 IT - Made in Germany 2

3 Inhalt DSL Interface anlegen LAN 2 konfigurieren LAN 3 konfigurieren DynDNS Routing DHCP Network Tools Lookup Ping Routing Table Updates Firewall aktualisieren Virenscanner aktualisieren Registration Menüpunkt Firewall Portfilter Regel anlegen Regel löschen Hide NAT Port Forwarding Port Forwarding Port Translation Services Network Objects Add Host/Net Add VPN Host/Net Add User Add Interface Netzwerkobjekte löschen Menüpunkt Proxies HTTP Proxy General Virusscanning URL Filter Content Filter POP3 Proxy...55 IT - Made in Germany 3

4 Inhalt 9.3 VCN Repeater Service Status VPN IPSec Wizard Site-to-Site Roadwarrior IPSec Bearbeiten der Verbindungen Löschen, Laden, Initiieren und Stoppen der Verbindungen L2TP PPTP SSL VPN Menüpunkt Authentication Users Neuen Benutzer anlegen Bestehende Benutzer bearbeiten oder löschen External Authentication Radius Server LDAP Server Certificates CA erstellen Zertifikat erstellen CA und Zertifikate importieren CA und Zertifikate exportieren CA und Zertifikate löschen Live Log Live Log starten Suchfunktion Weitere Funktionen Seite neu laden Abmelden Teil 2 User-Interface User-Interface Spamfilter Interface...93 IT - Made in Germany 4

5 Inhalt Übersicht des Interface Spalten der Tabellen Aktionen in der Registerkarte Ham Aktionen in der Registerkarte Spam Aktionen im Deleted Bereich Bereich Statistics Change Password Download Software Teil 3 Schritt für Schritt Anleitungen VPN - Roadwarrior Verbindungen Roadwarrior VPN via L2TP Zertifikate erstellen IPSec Wizard VPN L2TP Netzwerkobjekt erstellen Regel anlegen Nutzer anlegen Dienststatus überprüfen Zertifikat exportieren Konfiguration des Windows-L2TP-VPN Roadwarriors Erstellen der VPN-Verbindung Eigenschaften der VPN-Verbindung einstellen Importieren des Clientzertifikats über die Managementkonsole (MMC) Starten der L2TP-Verbindung Roadwarrior VPN via PPTP VPN PPTP Netzwerkobjekt anlegen Regel anlegen Benutzer anlegen Dienststatus überprüfen Konfiguration des PPTP-VPN-Roadwarriors unter Windows Erstellen der VPN-Verbindung Eigenschaften der VPN-Verbindung einrichten Roadwarrior VPN via SSL VPN OpenVPN Zertifikate erstellen VPN SSL IT - Made in Germany 5

6 Inhalt Netzwerkobjekt anlegen Regel anlegen Benutzer anlegen Dienststatus überprüfen Zertifikat exportieren Private Key aus der CA löschen OpenVPN Client auf einem Windows-Rechner installieren Installieren von OpenVPN Einbinden der OpenVPN GUI (Graphical User-Interface) Verbindung mit der Firewall herstellen Punkte des Kontextmenüs Portabler OpenVPN Client auf einem USB Stick nutzen VPN Site-to-Site Verbindung IPSec Wizard Netzwerkobjekt und Regel anlegen Dienststatus überprüfen Port Forwarding Port Forwarding Netzwerkobjekt anlegen Port Forwarding Regel erstellen Portfilter Regeln anlegen Port Translation Netzwerkobjekt anlegen Dienst für die Port Translation definieren Port Translation Regel anlegen Portfilter Regeln für die Port Translation anlegen Hide-Nat Neuaufspielen der Firewall Software Vorbereitungen Bespielen des USB Speichersticks Installation der Firewall Software IT - Made in Germany 6

7 1 Einleitung 1 Einleitung Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine Dauerverbindung des Computers oder des Netzwerkes zum Internet. Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert werden, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust kommt; zum Beispiel hervorgerufen durch einen Computervirus. Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die Schadprogramme dann schon im Netz sind. Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netzwerk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt und die Kommunikation mit dem Internet überwacht. Das Terra UTM Security Gateway bietet hier eine Komplettlösung mit umfassenden Schutzmaßnahmen. Die Firewall beinhaltet einen Virenscanner, einen Spamfilter und eine Content-Filter. Sie stellt verschiedene Authentisierungsmechanismen sowie verschlüsselte Zugänge zum Netzwerk zur Verfügung. Dabei ist die Konfiguration der Firewall aber so einfach wie möglich gehalten. Die Appliance wird über klar strukturiertes Web-Interface administriert. IT - Made in Germany 7

8 Teil 1 Administration mit dem Web-Interface IT - Made in Germany 8

9 2 Schnittstellen der Appliance 2 Schnittstellen der Appliance Die Appliance verfügt über 3 Ethernet Ports (LAN 1 bis LAN 3), eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüssen. Abb. 2 Rückansicht der Appliance 3 Aufstellen und Anschließen der Appliance Internet Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischengeschaltet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt an die Appliance verbunden werden. LAN 1 LAN 2 Modem Terra UTM Security Gateway Das Modem wird an dem Port LAN 1 der Appliance angeschlossen. Der Switch ggf. der einzelne Computer wird an den Port mit der Bezeichnung LAN 2 angeschlossen. Der Port LAN 3 ist für eine Demilitarisierte Zone (DMZ) vorgesehen. Zum Verbinden werden RJ45 Kabel verwendet. Computer 1 Switch Computer n Abb. 1 Position der Appliance im Netzwerk IT - Made in Germany 9

10 4 Die Appliance über das Web-Interface ansprechen 4 Die Appliance über das Web-Interface ansprechen 4.1 Verbinden mit der Appliance Sie erreichen die Appliance in ihrem Browser über die IP-Adresse des internen Interfaces auf den Port mit dem https (SSL) Protokoll. Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese von Werk aus auf eingestellt. Der Port wird nicht geändert und ist für die Administration reserviert. Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt. Benutzername: admin Kennwort: insecure Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein: https:// :11115/ Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die IP-Adresse durch die von Ihnen gesetzte IP-Adresse. Es erscheint der Dialog Login To Web-Administration. Abb. 3 Login Dialog zum Anmelden an der Appliance Geben Sie im Feld Username admin ein. Im Feld Password geben Sie insecure ein oder wenn Sie das Kennwort für den Benutzer admin schon geändert haben das neue Kennwort. Klicken Sie anschließend auf Login. Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm. Hinweis: Ändern Sie schnellstmöglich ihr Kennwort unter dem Navigationspunkt Authentication, Menüpunkt Users. Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein. IT - Made in Germany 10

11 5 Der Startbildschirm 4.2 Systemanforderungen an den Client Rechner Betriebssystem: ab MS Windows XP und Linux Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend Speicher: 512 MB oder mehr Browser: optimiert für MS Internet Explorer 7 und Mozilla Firefox 3 5 Der Startbildschirm Der erste Bildschirm nach Betreten des gesicherten Bereichs, zeigt einen Überblick über den Status der Hardware und der Dienste. Zudem beinhaltet die Startseite auch die Navigationsleiste. Diese Ansicht ist immer zu sehen. Alle weiteren Konfigurationsmöglichkeiten werden in Popup Fenstern vorgenommen. Nach der Bearbeitung werden diese wieder geschlossen und der im Hintergrund liegende Startbildschirm wird wieder aktiv. Abb. 4 Startbildschirm IT - Made in Germany 11

12 5 Der Startbildschirm 5.1 Navigationsleiste Über die Navigationsleiste gelangen Sie zu den einzelnen Konfigurationsbereichen, die in den Kategorien Configuration, Network Settings, Firewall Settings, Proxy Settings, VPN Settings, Logging Settings zusammen gefasst sind. 5.2 License In diesem Bereich werden Angaben zu der Firewall Software, Updates und Lizenz gegeben. Bezeichnung Firewall Type Version Licensed to License valid till Last Virus Pattern update Erklärung Name der Firewall Software Version der Firewall Software Name und ggf. Firma des Versionsinhabers Gültigkeit der Lizenz Das Datum ist im US amerikanischen Format angegeben. MM/TT/JJJJ Zeit an dem das letzte Update durchgeführt worden ist. Abb. 5 Bereich License IT - Made in Germany 12

13 5 Der Startbildschirm 5.3 System Dieser Bereich zeigt die gegenwärtige Systemauslastung und die aktuellen TCP / UDP Verbindungen an. Bezeichnung CPU Type RAM SWAP Uptime Current TCP Connections Current UDP Connections Erklärung Auslastung des Prozessors Angabe des Prozessortyps Auslastung des Arbeitsspeichers grafisch und als Prozentangabe Auslastung der Auslagerungsdatei grafisch und als Prozentangabe Zeigt, wie lange das System schon in Betrieb ist. Anzahl der aktuellen TCP Verbindungen Anzahl der aktuelle UDP Verbindungen Abb. 6 Bereich System IT - Made in Germany 13

14 5 Der Startbildschirm 5.4 Dienste Status Hier werden alle verfügbaren Dienste aufgelistet und deren Status angezeigt. Bei manchen Diensten werden noch weitere Informationen angezeigt. Ist ein Dienst aktiv, wird dies durch einen grünen Kreis angezeigt. Ein grauer Kreis zeigt, dass der Dienst inaktiv ist. Wird ein Dienst gestartet oder gestoppt, muss die Seite aktualisiert werden, damit der richtige Status angezeigt wird. Dienst DNS Server POP3 Proxy HTTP Proxy VNC Repeater DynDNS Client NTP Server L2TP Server PPTP Server SPUVA Server DHCP Server Erklärung Domain Name System Server Löst einen Hostnamen in eine IP-Adresse auf. Post Office Protocol Version 3 Proxy Verbindet mit einem POP3 Server und untersucht die abgeholten s auf Viren und Spam. Hypertext Transfer Protocol Proxy Der Proxy vermittelt zwischen den Clients im internen Netzwerk und den Servern im Internet. Er kann HTTP Aufrufe anhand des Inhalts sperren und Webseiten auf Viren untersuchen. Virtual Network Computing Ermöglicht die Steuerung eines entfernten Rechners. Dynamic Domain Name Services Client Der Client aktualisiert über einem DynDNS Dienst die aktuelle IP der Firewall. Network Time Protocol Server Ermöglicht die Synchronisierung der Systemuhren im Netzwerk. Layer 2 Tunneling Protocol Server Ermöglicht eine VPN Verbindung zur Firewall über das Netzwerkprotokoll L2TP. Point To Point Tunneling Protocol Server Ermöglicht eine VPN Verbindung zur Firewall über das Netzwerkprotokoll PPTP. Wortmann Security User Verification Agent Server Zentrale Nutzer Authentifizierung. Dynamic Host Configuration Protocol Server Weist den Rechner im Netzwerk die Netzwerkkonfiguration zu (z. B. die IP-Adresse). IT - Made in Germany 14

15 5 Der Startbildschirm IPSec Server SSL VPN Server Virusscanner Internet Protocol Security Server Ermöglicht eine VPN Verbindung zur Firewall über das IPSec Protokoll. Secure Socket Layer Virtual Private Network Server Ermöglicht eine SSL gesicherte VPN Verbindung zur Firewall. Virenscanner Dienst für POP3 und HTTP. Abb. 7 Bereich Applications 5.5 Appliance Zeigt die Rückansicht der Appliance. Die LAN Ports sind farbig markiert. Eine grüne Markierung zeigt, dass der Port angeschlossen ist. Eine blaue Markierung zeigt, dass der Port nicht verbunden ist. Abb. 8 Rückansicht der Appliance IT - Made in Germany 15

16 5 Der Startbildschirm 5.6 Interfaces Hier werden die Interfaces mit den zugeordneten IP-Adressen und Zonen angezeigt. Bezeichnung eth0 eth1 eth2 ppp0 tun0 Erklärung Netzwerkadapter für die Verbindung zum Internet. An der Appliance als LAN 1 gekennzeichnet. Netzwerkadapter für die Verbindung zum internen Netzwerk. An der Appliance als LAN 2 gekennzeichnet. Netzwerkadapter zur Anbindung einer Demilitarisierten Zone (DMZ). An der Appliance mit LAN 3 gekennzeichnet. Ein virtuelles Interface zur Verbindung der Firewall mit dem Internet über PPPOE. Wird an eth0 gebunden. Virtuelles Interface für das SSL VPN. Die interne Adresse ist standardmäßig auf festgelegt. Abb. 9 Berreich Interfaces 5.7 IPSec Hier werden die erstellten IPSec VPN Verbindungen und deren Benutzung aufgelistet. An erster Stelle steht der Name der Verbindung, gefolgt von der aktuellen Nutzung. Abb. 10 Bereich IPSec IT - Made in Germany 16

17 5 Der Startbildschirm 5.8 Bereich Downloads Hier können Sie sehen, welche Dateien in dem User-Interface zum Download zur Verfügung stehen. Abb. 11 Übersicht der Downloaddateien 5.9 Administrator IP Am oberen Rand des Web-Interfaces finden Sie den Benutzernamen und die IP-Adresse des Computers, mit dem Sie sich am Web-Interface angemeldet haben. Abb. 12 Benutzername und IP-Adresse 5.10 Aktualisieren Ebenfalls am oberen Rand des Web-Interfaces finden Sie die Schaltfläche Refresh Page. Hiermit können Sie die Seite neu laden. Abb. 13 Seite aktualisieren IT - Made in Germany 17

18 6 Menüpunkt Configuration 6 Menüpunkt Configuration Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die direkt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Configuration zu finden. Abb. 14 Dropdownmenü des Icons Configuration Bezeichnung Export Configuration Import Configuration Print Configuration Reboot System Halt System Factory Defaults Logout Erklärung Die Konfiguration der Appliance kann extern gespeichert werden. Eine externe Konfiguration kann eingespielt werden. Die aktuelle Konfiguration wird dabei überschrieben. Listet alle Einstellungen auf einer HTML Seite auf und zeigt diese an. Fährt die Appliance runter und starte sie anschließend neu. Das System wird gestoppt, aber nicht neu gestartet. Setzt die Konfiguration auf Werkseinstellung zurück. Die aktuelle Konfiguration wird dabei überschrieben. Abmeldung vom Web-Interface. IT - Made in Germany 18

19 6 Menüpunkt Configuration 6.1 Export Zum Exportieren ihrer aktuellen Konfiguration klicken Sie auf den Punkt Export Configuration aus dem Dropdownmenü. Es öffnet sich folgendes Fenster: Abb. 15 Export Dialog Folgen Sie dem Link, indem Sie auf das Wort here klicken. Es öffnet sich ein Dialog zur Abfrage, ob Sie die Datei Speichern oder Öffnen möchten. Klicken Sie hier auf Speichern. Ggf. müssen Sie noch einen Speicherort auswählen. Abb. 16 Abfrage im Mozilla Firefox Abb. 17 Abfrage im MS Internet Explorer Die exportierte Konfiguration hat den Namen terra.dat (wenn Sie den Namen beim Download nicht geändert haben). IT - Made in Germany 19

20 6 Menüpunkt Configuration 6.2 Import Zum Importieren einer externen Konfiguration klicken Sie auf den Punkt Import Configuration im Dropdownmenü. Es öffnet sich folgendes Fenster. Abb. 18 Import Dialog Klicken Sie auf den Button Durchsuchen, um in Ihrem Dateisystem die gewünschte Konfiguration auszuwählen. Achten Sie darauf, dass die Konfiguration im dat Format vorliegen muss. Klicken Sie anschließend auf den Button Upload, um die Datei zu importieren. Beachten Sie: Ihre aktuelle Konfiguration wird überschrieben. 6.3 Print Configuration Gibt die gesamten Einstellungen der aktuellen Konfiguration als eine Liste im HTML Format aus. Klicken Sie auf den Eintrag Print Configuration im Dropdownmenü des Icons Configurations. Es öffnet sich ein Dialog mit einem Link. Klicken Sie auf here, um dem Link zu folgen. Es öffnet sich eine neue Webseite mit der Liste der Einstellungen im HTML Format. Diese Seite können Sie ausdrucken oder lokal speichern. Wenn Sie zum Web-Interface der Firewall zurückkehren, schließen Sie den Dialog mit Close. Abb. 19 Der angegeben Link öffnet die Liste im HTML Format IT - Made in Germany 20

21 7 Menüpunkt Network 7 Menüpunkt Network Hier werden die Netzwerkeinstellungen wie die IP-Adressen der Interfaces, DSL Zugangsdaten usw. der Appliance festgelegt. Außerdem können von hieraus Updates abgerufen und die Lizenz eingespielt werden. Abb. 20 Dropdownmenü unter dem Icon Network Settings Bezeichnung Server Properties Network Configuration Network Tools Updates Registration Erklärung Hier werden grundlegende Einstellungen der Appliance vorgenommen: Administratoren IP-Adressen, Zeitzone und Log Server Einstellungen zum Netzwerk: IP-Adressen und Subnetze der Interfaces, DSL Anbindung, DynDNS Dienst, Routing und DHCP Server Einstellungen Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle Abrufen von Firewall und Virusdatenbank Updates Einspielen der Lizenz IT - Made in Germany 21

22 7 Menüpunkt Network 7.1 Server Properties External Administration Hier können Sie festlegen, aus welchem externen Netz oder von welchen externen IP- Adressen die Firewall administriert werden darf. Ein Zugriff aus dem internen Netz ist immer zulässig und muss nicht eingetragen werden. Klicken Sie unter External Administration bei IP auf Click to edit. Das Feld wird zum Eingabefeld. Geben Sie hier die gewünschte IP-Adresse ein (Schreibweise nach IPv4). Wählen Sie danach unter Mask die Subnetzmaske aus. Die Subnetzmaske trennt IP-Adresse in Netzwerkteil und Geräteteil auf. Der Netzwerkteil definiert das Subnetz, der Geräteteil bestimmt IP-Adressen im gleichen Subnetz. Zur Speicherung und Schließen des Fensters klicken Sie auf Save. Zum Löschen einer IP klicken Sie auf das X Icon rechts neben der entsprechenden IP. IP Maske in Bitcount IP-Adressen Abb. 21 Administrator IP festlegen IT - Made in Germany 22

23 7 Menüpunkt Network Timezone Definieren Sie in welcher Zeitzone sich die Appliance befindet. Klicken Sie auf den Pfeil oder auf das Feld in dem Bereich Timezone. Wählen Sie aus der Liste die entsprechende Zeitzone. Mit Save bestätigen Sie Ihre Angaben und schließen das Fenster. Abb. 22 Zeitzone wählen Syslog Server Die Firewall kann Syslog-Meldungen auf einem externen Server speichern. Um diese Funktion zu nutzen, müssen Sie im Bereich Syslog Server einen Server definieren. Geben Sie dazu die IP-Adresse oder den auflösbaren Hostnamen des Servers ein. Klicken Sie zum Speichern auf Save. Abb. 23 Syslog Server angeben IT - Made in Germany 23

24 7 Menüpunkt Network 7.2 Network Configuration In diesem Dialog richten Sie Ihre DSL Verbindung und Ihr internes Netzwerk ein. Weitere Optionen wie Routing und DHCP bieten Ihnen die Möglichkeit den Netzwerkverkehr zu regeln DSL Interface anlegen Wenn Sie sich über ein DSL-Modem mit dem Internet verbinden, müssen sie das Protokoll PPPoE nutzen. Dazu müssen Sie ein virtuelles DSL Interface anlegen. Das DSL Interface benutzt das erste LAN Interface eth0 und ersetzt dieses. Klicken Sie auf der Registerkarte LAN 1 auf die Schaltfläche Make DSL Interface. Das Interface eth0 wird zum DSL Interface. Dieses wird auf den Startbildschirm als ppp0 Interface dargestellt. Geben Sie hier die Daten ein, die Sie von Ihrem Internetprovider erhalten haben. Ihren Benutzernamen setzen Sie im Feld DSL Login ein. Ihr Kennwort geben sie im Feld Password ein und wiederholen dieses im Feld Confirmation. Im Bereich Force seperation wählen Sie eine Uhrzeit für die Zwangstrennung. Als MTU (maximum transmission unit) setzen Sie bitte den Wert Als Zone wählen Sie Firewall-External, VPN-IPSec, VPN-PPP und External. Speichern Sie Ihre Einstellungen mit Save. Das Fenster schließt sich. Abb. 24 Ansicht ohne DSL Interface Abb. 25 DSL Interface konfigurieren IT - Made in Germany 24

25 7 Menüpunkt Network LAN 2 konfigurieren Das Interface eth1, hier LAN 2 genannt, ist für Ihr internes Netzwerk gedacht. Hier legen Sie ein Subnetz für Ihr lokales Netzwerk an. Tragen Sie im Feld IP Address die gewünschte IP-Adresse der Appliance ein. Sie können folgende Netze nutzen: /8 ; /12 ; /24 Wählen Sie die entsprechende Netzmaske im Feld Netmask aus. Die übrigen Einstellungen können Sie übernehmen. Abb. 26 internes Netz konfigurieren IT - Made in Germany 25

26 7 Menüpunkt Network LAN 3 konfigurieren Das Interface eth2 ist dafür vorgesehen, eine DMZ (demilitarisierte Zone) anzulegen. Der Sinn einer DMZ liegt darin, Dienste (z.b. , Webserver, ) öffentlich also aus dem Internet und aus dem internen Netz zugänglich zu machen, dabei aber beide Netze von einander zu trennen. Es handelt sich hier um eine Multi-Homed-Firewall. Es ist also zwingend erforderlich, dass Sie für die DMZ ein anderes Netz verwenden als auf LAN1 oder LAN2. Die Systeme in der DMZ stehen logisch also isoliert zu den anderen Netzen. DMZ FTP-Server -Server Web-Server internes Netz Computer 1 Internet Terra Firewall Appliance Computer n Abb. 27 Aufbau einer DMZ Wählen Sie eine IP-Adresse für die DMZ. Da in der DMZ nur wenige Systeme stehen, können Sie die Anzahl der möglichen IPs durch einen hohen Bitcount einschränken. Behalten Sie die übrigen Einstellungen bei. Speichern Sie Ihre Einstellungen mit Save. Abb. 28 Anlegen eines DMZ Netzes IT - Made in Germany 26

27 7 Menüpunkt Network DynDNS Wenn Sie über keine feste externe IP-Adresse (LAN1) sondern über eine dynamische verfügen, die sich bei jeder Einwahl in das Internet ändert, können Sie einen DynDNS Dienst nutzen, damit Sie von außen immer mit dem gleichen Hostnamen erreichbar sind. Dies ist nur notwendig, wenn Sie Dienste anbieten, die vom Internet aus erreichbar sein sollen (z. B. Web-Server, VPN-Einwahl) oder die Firewall von außen administrieren wollen. Bei Nutzung eines DynDNS Dienst sendet ein Client bei der Einwahl den Dienstanbieter die aktuelle IP-Adresse zu, welche dann beim Anbieter hinterlegt wird. Somit wird sichergestellt, dass zu Ihrem Hostnamen immer die aktuelle IP beim DynDNS Anbieter hinterlegt ist. Das Übermitteln der aktuellen IP-Adresse sollte die Appliance übernehmen. Wechseln Sie auf die Registerkarte DynDNS. Tragen Sie die Daten gemäß den Angaben des Anbieters ein. Setzen Sie ihren Hostname im Feld DynDNS Name ein. Tragen Sie ihren Benutzernamen im Feld Username ein. Geben Sie Ihr Kennwort im Feld Password an. Tragen Sie die Adresse des DynDNS Servers, den Sie nutzen, unter DynDNS Server ein. Speichern Sie Ihre Angaben mit Save. Abb. 29 DynDNS Einstellungen übergeben IT - Made in Germany 27

28 7 Menüpunkt Network Routing Mit Routing-Einträgen können Sie festlegen, über welches Gateway ein Ziel erreicht werden soll. Der Standard Eintrag ist, dass alle Ziele über das interne Gateway erreicht werden. Sie können hier einstellen, dass weitere interne Netze für die Firewall erreichbar sind. Geben Sie im Feld Destination die IP an. Im Feld Mask geben Sie 0 an. Dieser Bitcount zeigt an, dass die IP-Adresse alle beliebigen Werte annehmen kann. Geben Sie unter Gateway die IP-Adresse des internen Interfaces an (LAN2). Speichern Sie Ihre Einstellungen mit Save. Abb. 30 Standard-Routing-Eintrag vornehmen IT - Made in Germany 28

29 7 Menüpunkt Network DHCP Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten eines Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des Standardgateways. Wenn Sie diesen Dienst nutzen wollen, gehen Sie wie folgt vor. Wechseln Sie in auf die Registerkarte DHCP. Geben Sie unter Local Subnet das interne Subnetz mit der passenden Netzmaske unter Netmask an. Bestimmen Sie nun aus welchem Bereich der DHCP Server Adressen vergeben soll. Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste Adresse (xxx.xxx.xxx.1) meisten an das Standardgateway vergeben ist und somit nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen für besondere Rechner, die feste IP-Adressen benötigen, vorhalten. Tragen Sie die untere Grenze des Bereichs unter DHCP-Pool start ein und die obere Grenze des Bereichs unter DHCP-Pool end. Tragen Sie bei Default Gateway das Standard Gateway ein. Dies ist die IP-Adresse des internen Interfaces. Geben Sie im Feld Nameserver die IP-Adresse des DNS Servers an. Speicher Sie Ihre Eingaben mit Save. Abb. 31 DHCP Einstellungen vornehmen IT - Made in Germany 29

30 7 Menüpunkt Network 7.3 Network Tools Unter dieser Rubrik finden sich nützliche Funktionen, die in der Netzwerktechnik öfter benutzt werden und deshalb auf der Appliance implementiert wurden Lookup Der Name leitet sich vom Befehl nslookup ab. Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat. Es handelt sich nur um eine Hostnamenauflösung. Die Umkehrung, von der IP auf den Hostnamen zu schließen, ist nicht möglich. Geben Sie im Feld Host name or IP address einen Rechnernamen ein. Klicken Sie dann auf Lookup. Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufgelistet. Abb. 32 IP-Suche des Hostnamen IT - Made in Germany 30

31 7 Menüpunkt Network Ping Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in diesem Zusammenhang auch als Pong bezeichnet). Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist, dass er Pings nicht beantwortet. Tragen Sie eine Rechnername oder eine IP-Adresse in das Feld Host name or IP address ein. Klicken Sie dann auf Ping. Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die durchschnittliche Antwortzeit angegeben. Außerdem wird angegeben, wie viele Pakete gesendet und empfangen worden sind. Antwortet der Rechner nicht, erscheint die Meldung undefined. Abb. 33 Ping an den Rechner IT - Made in Germany 31

32 7 Menüpunkt Network Routing Table Der Befehl Routing Tabel zeigt die Routing Tabelle der Appliance an. Hierbei brauchen Sie keine Daten angeben. Klicken Sie auf den Button Routing Table. Es wird eine Liste der eingetragenen Routen ausgegeben. Abb. 34 Routing Tabelle der Appliance anzeigen lassen IT - Made in Germany 32

33 7 Menüpunkt Network 7.4 Updates In diesem Bereich können Sie die Firewall-Version und den Virenscanner aktualisieren Firewall aktualisieren Die Version der Firewall ist als Build Nummer angegeben. Prüfen Sie erst, ob Updates vorliegen, denn ein sofortiges Update überprüft nicht die Versionsnummer, sondern aktualisiert die Firewall auch bei gleicher Versionsnummer. Dabei werden alle Dienste gestoppt und nach dem Update wird die Firewall neu gestartet. Deshalb sollten Sie ein Update nur durchführen, wenn eine neue Version vorliegt. Klicken Sie im Bereich Firewall auf Check for Updates. Wenn der Server meldet, dass eine neue Version vorliegt, klicken Sie auf Update. Abb. 35 Firewall aktualisieren Virenscanner aktualisieren Der Virenscanner kann sofort aktualisiert werden. Wenn keine neue Virendatenbank vorliegt, wird der Scanner nicht aktualisiert. Ansonsten wird der Scanner nach dem Update mit der neuen Datenbank gestartet. Der Virenscanner überprüft automatisch stündlich, ob ein Update vorliegt. Klicken Sie im Bereich Virusscan auf den Button Update. Abb. 36 Virenscanner aktualisieren IT - Made in Germany 33

34 7 Menüpunkt Network 7.5 Registration Sie können die Terra-Firewall auch ohne eine Registrierung betreiben, dann können Sie aber keine Updates für Virenscanner oder für die Firewall ausführen. In diesem Fall besteht keine Garantie. Eine nicht aktualisierte Firewall bietet keinen zuverlässigen Schutz! Der Link führt Sie auf die Registrationsseite. Hier können Sie eine Lizenz anfordern. Um eine Lizenz zu laden, gehen Sie wie folgt vor. Klicken sie auf Durchsuchen und öffnen Sie die Lizenz Datei. Wenn der Pfad im Feld Upload Registration erscheint, klicken Sie auf Upload, um die Lizenz zu laden. Abb. 37 Lizenz laden IT - Made in Germany 34

35 8 Menüpunkt Firewall 8 Menüpunkt Firewall In diesem Bereich ist das gesamte Regelwerk der Firewall zu erstellen. Im Portfilter werden die Rechte einzelner Rechner, Rechnergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte erstellt und verwaltet. Abb. 38 Dropdownmenü unter dem Icon Firewall Bezeichnung Portfilter Hide NAT Port Forwarding Services Network Objects Erklärung Hier werden Regeln für den Zugriff auf und ins Internet und zu und von Geräten angelegt. Dynamisches Network Address Translation. Die internen Adressen werden durch das Hide NAT auf die externe Adresse übersetzt. Anfragen aus dem Internet auf bestimmte Ports werden von der Firewall an die entsprechenden internen Rechner oder DMZ weitergeleitet. Um die Aktionen im Portfilter genauer zu beschreiben, gibt es den Bereich Services. Hier sind Dienste aufgelistet und deren Ports und Protokolle. Netzwerkobjekte beschreiben Gruppen, einzelne Benutzer oder Geräte. Für diese können dann Regeln im Portfilter aufgestellt werden. IT - Made in Germany 35

36 8 Menüpunkt Firewall 8.1 Portfilter Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benutzern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der eine bestimmte Regel betrifft, protokolliert wird. Standardmäßig wird jeglicher Datenverkehr gestoppt, wenn keine Regel angelegt ist, die den Datenverkehr erlaubt. Eine Regel hat immer folgenden Aufbau: Von wo (von welcher Quelle) wird mit welchen Dienst auf ein bestimmtes Ziel zugegriffen. Dann wird definiert, ob diese Aktion zugelassen (Accept), verweigert (Drop) oder zurückgewiesen (Reject) wird. Der Unterschied zwischen Drop und Reject ist, dass bei Reject der Absender die Fehlermeldung Destination unreachable zugesendet bekommt. Des Weiteren wird festgelegt, ob der Datenverkehr, den die Regel betrifft, protokolliert wird und in welcher Intensität. Hier gibt es drei Einstellungen: o None Es wird nicht protokoliert. o Short Die ersten drei Pakete einer neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten drei Pakete der gleichen Verbindung geloggt. o Long Alle Pakete werden protokoliert. Zusätzlich kann der Geltungsbereich der Regel noch zeitlich (nach Tagen und Uhrzeit) eingeschränkt werden. Und es kann eine kurze Beschreibung angegeben werden. Mit dem Stift -Symbol neben der Regel können die Einstellungen bearbeitet werden. Mit dem Mülltonnen -Symbol hinter der Regel kann die jeweilige Regel gelöscht werden. Regeln können auch per Drag and Drop verschoben werden. Unter Umständen ist die Reihenfolge der Regeln im Regelwerk relevant. Abb. 39 Liste der angelegten Regeln IT - Made in Germany 36

37 8 Menüpunkt Firewall Regel anlegen Um eine Regel anzulegen, gehen Sie wie folgt vor. Klicken Sie auf den Eintrag Portfilter im Dropdownmenü des Icons Firewall. Es öffnet sich das Fenster Portfilter. Hier wird eine Liste aller angelegten Regeln angezeigt. Klicken Sie auf Add, um eine Regel hinzuzufügen. Es erscheint der Dialog New Portfilter Rule. Auf der Registerkarte General legen Sie die Regel an. Wählen Sie unter Source eine Datenquelle aus der Liste. Definieren Sie unter Service, welcher Dienst benutzt wird. Wählen Sie unter Destination das Ziel des Zugriffs aus der Liste aus. Wählen Sie unter Logging aus, ob und in welcher Stärke protokolliert werden soll. Unter Action wählen Sie aus, ob der Zugriff zugelassen oder geblockt wird. Unter Description können Sie noch eine kurze Beschreibung der Regel angeben (optional). Speichern Sie Ihre Einstellungen mit Save. Beachten Sie: Für die Quelle und das Ziel müssen eventuell neue Netzwerkobjekte angelegt werden, die die Quelle und das Ziel genau definieren. Wenn der benutzte Dienst nicht aufgeführt sein sollte, dann muss noch ein entsprechender Dienst angelegt werden. Abb. 40 Eine neue Regel anlegen IT - Made in Germany 37

38 8 Menüpunkt Firewall Auf der Registerkarte Time können sie den Geltungszeitraum der Regel beschränken. Wenn Sie hier keine Angaben machen, dann gilt die Regel grundsätzlich. Klicken Sie auf die Registerkarte Time. Wählen Sie für jeden Tag, an dem die Regel beschränkt werden soll, einen Anfangund einen Endzeitpunkt. Das obere Dropdownfeld bezieht sich dabei immer auf die Startzeit und das untere Dropdownfeld auf die Endzeit. Speichern Sie Ihre Einstellungen mit Save. Abb. 41 Regel gilt nur während der Hauptarbeitszeiten Regel löschen Zum Löschen einer Regel klicken Sie auf das Mülltonnen -Symbol hinter der zu löschenden Regel. Beantworten Sie die Sicherheitsabfrage mit Yes. Die Regel wird gelöscht. Abb. 42 Symbol, um eine Regel zu löschen IT - Made in Germany 38

39 8 Menüpunkt Firewall 8.2 Hide NAT Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete die externe IP der Firewall bekommen. Dieses geschieht unter dem Punkt Hide NAT. Das NAT Objekt ist das Netzwerk oder der Rechner, dessen IP von ausgehenden Paketen durch das Hide NAT ersetzt wird. Die NAT-Beziehung (NAT Relationship) bestimmt, welche IP-Adresse die Pakete aus dem internen Netz bekommen. Es kann entweder eine IP oder ein Interface angegeben werden. Bei einer dynamischen IP wird das entsprechende DSL-Interface angegeben. Das Ziel muss bestimmt werden, um anzuzeigen zu welchen Zielen das Hide-Nat angewendet wird. Die Option Include bedeutet, dass das Hide-NAT angewendet wird. Ein Exclude bedeutet, dass das Hide-NAT explizit nicht angewendet wird und somit Pakete mit der originalen IP versendet werden (z. B. in einem Tunnel IPSec, Site-to-Site Verbindung). Um eine neue Hide NAT Regel anzulegen, klicken Sie auf Add. Es öffnet sich der Dialog New Hide-NAT Rule. Im Feld Type können Sie zwischen Include und Exclude wählen. Unter Source stellen Sie ein, welche Objekte genatet werden sollen. Im Beispiel das interne Netzwerk. Das Interface entscheidet über die externe IP. Verfügen Sie über eine feste IP-Adresse, wählen Sie eth0. Benutzen Sie eine dynamische IP-Adresse, dann verwenden Sie das DSL Interface ppp0. Da die Regel für alle Ziele gelten soll, wählen Sie unter Destination den Eintrag any aus. Abb. 43 Hide NAT Regel anlegen IT - Made in Germany 39

40 8 Menüpunkt Firewall 8.3 Port Forwarding Port Forwarding Mittels Port Forwarding (Portweiterleitung) können Anfragen, die an einen bestimmten Port gerichtet sind, an einen bestimmten Rechner weitergeleitet werden. Zum Beispiel können HTTP Anfragen auf Port 80 direkt zum Webserver geleitet werden. Für diese Weiterleitung ist für den Webserver ein Netzwerkobjekt anzulegen. Klicken Sie auf Port Forwarding im Dropdownmenü des Icons Firewall. Es öffnet sich das Fenster Port Forwarding, in dem alle Weiterleitungsregeln aufgelistet sind. Klicken Sie auf Add, um eine neue Weiterleitung anzulegen. Es erscheint der Dialog New Port-Forwarding Rule. Als Type wählen Sie Port Forwarding. Wählen Sie bei Source aus, von welchem Netzwerkobjekt die Anfrage kommt. Im Feld Interface bestimmen Sie, über welches Interface die Anfrage kommt. Als Destination wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten. Als External Port wählen Sie den Dienst und damit den Port, der benutzt werden soll. Speichern Sie Ihre Angaben mit Save. Beachten Sie: Damit diese Portweiterleitung ausgeführt wird, muss eine entsprechende Regel im Portfilter angelegt werden. Abb. 44 Port Forwarding zum Webserver IT - Made in Germany 40

41 8 Menüpunkt Firewall Port Translation Durch Portübersetzung können Standardports auf selbstdefinierte Ports umgesetzt werden. Beispiel: Sie möchten zwei Webserver in der DMZ betreiben. Der Standardport 80 für Webserver kann aber nicht doppelt belegt werden. Klicken Sie auf Port Forwarding im Dropdownmenü des Icons Firewall. Es öffnet sich das Fenster Port Forwarding, in dem alle Weiterleitungsregeln aufgelistet sind. Klicken Sie auf Add, um eine Port Translation anzulegen. Es erscheint der Dialog New Port-Forwarding Rule. Als Type wählen Sie Port Translation. Wählen Sie bei Source aus, von welchem Netzwerkobjekt die Anfrage kommt. Im Feld Interface bestimmen Sie, über welches Interface die Anfrage kommt. Als Destination wählen Sie das Netzwerkobjekt, zu dem Sie die Anfrage weiterleiten möchten. Als External Port wählen Sie den Dienst und damit den Port, der benutzt werden soll. Unter Original Port geben Sie den Port ein, auf den Sie den Dienstport umleiten wollen. Speichern Sie Ihre Angaben mit Save. Beachten Sie: Damit diese Portübersetzung ausgeführt wird, muss eine entsprechende Regel im Portfilter angelegt werden. Abb. 45 Standardport auf einen anderen Port umleiten IT - Made in Germany 41

42 8 Menüpunkt Firewall 8.4 Services Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich diese Dienste benutzen. Die Auflistung ist schon sehr umfassend, Sie können aber auch eigene Dienste hinzufügen oder Dienste löschen. Klicken Sie auf die Schaltfläche Add new Service. Es erscheint der Dialog New Service. Geben sie im Feld Designation einen Namen für den neuen Dienst ein. Wählen Sie bei Protocol ein Protokoll aus der Liste, welches von dem Dienst benutzt wird. Wenn Sie das icmp Protokoll gewählt haben, dann müssen Sie noch eine ICMP Control Messages aus dem Dropdownfeld wählen. Wenn der Dienst einen genau definierten Port benutzt, geben Sie diesen im Feld Destination Port an. Handelt es sich nicht nur um einen Port, sondern um einen Portbereich, dann wählen Sie beim Feld Type den Eintrag Port Range. Geben Sie dann den Anfang- und Endport des Bereichs unter Port Range Start und Port Range End an. Speichern Sie den neuen Dienst mit Save. Zum Löschen eines Dienstes klicken Sie auf das X Icon rechts neben dem entsprechenden Dienst. Beantworten Sie die Sicherheitsabfrage mit Yes. Abb. 46 einen neuen Dienst anlegen IT - Made in Germany 42

43 8 Menüpunkt Firewall Abb. 47 Dienst mit einem Portbereich anlegen Abb. 48 ICMP Control Message wählen IT - Made in Germany 43

44 8 Menüpunkt Firewall 8.5 Network Objects Sie können verschiedenste Netzwerkobjekte anlegen und für diese Regeln im Portfilter bestimmen. Die Netzwerkobjekte sind nicht nur auf Netzwerke und Computer beschränkt, sondern umfassen auch Nutzer, Interfaces und VPN Netzwerke und VPN Computer Add Host/Net Um ein Netzwerkobjekt für ein Netz oder einen einzelnen Computer festzulegen, gehen Sie wie folg vor. Klicken Sie auf Add Host/Net. Es öffnet sich der Dialog New Host/Net Object. Geben Sie einen Namen für das neue Objekt im Feld Name ein. Wählen Sie unter Type, ob Sie ein Netzwerk oder einen einzelnen Host anlegen möchten. Host: Netzwerk: Geben Sie die IP-Adresse des betreffenden Rechners unter IP Address ein. Wählen Sie die Zone, die der Rechner angehört aus dem Dropdownfeld Zone. Geben Sie unter IP Adress die IP-Adresse des Netzwerkes ein. Wählen Sie die aus dem Dropdownmenü Netmask die passende Netzwerkmaske. Geben Sie danach bei Zone die Zone des Netzwerkes an. Speichern Sie Ihre Eingaben mit Save. Abb. 50 Rechner als Netzwerkobjekt anlegen Abb. 49 Netzwerk als Netzwerkobjekt anlegen IT - Made in Germany 44

45 8 Menüpunkt Firewall Add VPN Host/Net Das Anlegen von VPN Objekten unterscheidet sich kaum vom Hinzufügen von Netzwerken oder Rechnern. Sie haben hier nur andere Zonen zur Verfügung. Ganz nachdem zu welchem VPN Verfahren die Objekte gehören, wählen Sie als Zone IPSec, L2TP, PPTP oder SSL-VPN aus. Abb. 51 VPN Netzwerk anlegen Abb. 52 VPN Host anlegen Add User Sie können auch Netzwerkobjekte für Benutzer anlegen. So können für einzelne Benutzer Regeln angelegt werden. Einzige Bedingung dafür ist, dass die Benutzer SPUVA (Wortmann Security User Verification Agent) Nutzer sind und sich mit dem Agenten am System anmelden. Die Benutzer müssen auch in dem Menü Authentication unter dem Punkt Users aufgeführt sein. Klicken Sie auf Add User. Es öffnet sich der Dialog New User Object. Tragen Sie im Feld Name einen Namen für das Objekt ein. Wählen Sie unter Login einen SPUVA User. Wählen Sie unter Zone eine Zone. Sichern Sie Ihre Eingaben mit Save. Abb. 53 Benutzer als Objekt hinzufügen IT - Made in Germany 45

46 8 Menüpunkt Firewall Add Interface Außerdem können Sie Interfaces als Netzwerkobjekte hinzufügen. Als Interface werden die Schnittstellen der Firewall bezeichnet. Hier können Sie unterscheiden zwischen Interfacen mit festen oder dynamischen IP- Adressen. Klicken Sie auf Add Interface. Es erscheint der Dialog New Interface Object. Geben Sie dem neuen Objekt einen Namen im Feld Name. Wählen Sie unter Type StaticAddress oder DynamicAddress. Wenn Sie StaticAddress gewählt haben, dann tragen Sie im Feld IP Address noch die feste IP des Interfaces ein. Wählen Sie dann im Feld Zone die Interface Zone aus. Speichern Sie Ihre Angaben mit Save. Abb. 54 Interface mit fester IP-Adresse Abb. 55 Interface mit dynamischer IP-Adresse Netzwerkobjekte löschen Es ist nicht möglich, die Eigenschaften der Netzwerkobjekte zu bearbeiten. Wenn sich die Attribute ändern, müssen Sie das jeweilige Netzwerkobjekt löschen und neu anlegen. Beim Löschen des Netzwerkobjektes werden auch zugehörige Regeln entfernt. Diese müssen nach dem Neuanlegen des Netzwerkobjektes ebenfalls neu erstellt werden. Klicken Sie auf das X Icon rechts neben dem zu löschenden Netzwerkobjekt. Beantworten Sie die Sicherheitsabfrage mit Yes. IT - Made in Germany 46

47 9 Menüpunkt Proxies 9 Menüpunkt Proxies In dieser Sektion können die Proxies für HTTP und POP3 konfiguriert werden. Weiterhin können auch Einstellungen für den Repeater von VNC (Virtual Network Computing) vorgenommen werden. Außerdem können Dienste aktiviert und deaktiviert werden. Abb. 56 Dropdownmenü unter dem Icon Proxies Bezeichnung HTTP Proxy PoP3 Proxy VNC Repeater Service Status Erklärung Allgemeine Einstellungen zum Proxy, sowie Virenscanning und Filterung von Internetadressen und Webseiteninhalten. Spamfilterung und Virenscanning von s. Weiterleitung von Fernwartungsprogrammen. Aktivieren und Deaktivieren von Diensten. IT - Made in Germany 47

48 9 Menüpunkt Proxies 9.1 HTTP Proxy Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Dateien auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegenüber als Client General Auf der Registerkarte General werden allgemeine Angaben zum Proxy gemacht. Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei Cascade. Tragen Sie in dem Fall die IP-Adresse des Proxys unter Forwarding Proxy ein und dessen Port unter Forwarding Port. Entscheiden Sie, welchen Netzen gegenüber der transparente Proxy aktiviert werden soll. Transparent bedeutet, dass Sie im Browser nicht unbedingt einen Proxy eintragen müssen. Die Firewall leitet die Pakete automatisch zum Proxy. Wenn Sie im Browser keinen Proxy eintragen, funktioniert die User Authentifizierung nicht und Protokolle wie HTTPS und FTP müssen Sie explizit über das Regelwerk freischalten. Wählen Sie eine Authentifizierungsart oder belassen Sie den Wert auf None für keine Authentifizierung. Abb. 57 einfache Einstellungen Abb. 58 Einstellungen bei einem weiteren Proxy IT - Made in Germany 48

49 9 Menüpunkt Proxies Virusscanning Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlossen werden sollen. Sie können die Virensuche auch ganz deaktivieren, indem Sie beim Feld Virusscanning aus der Dropdownliste den Wert Off wählen. Sie können die Listen bearbeiten, indem Sie mit der Maus in die Liste klicken und mit der Tastatur Eintragungen löschen und ergänzen. Dateien können nur anhand der Dateiendungen von der Suche ausgeschlossen werden. Webseiten werden nur mit Top- und Second-Level-Domains angegeben. Hostnamen wie www entfallen. Abb. 59 Ausnahmen der Virensuche festlegen IT - Made in Germany 49

50 9 Menüpunkt Proxies URL Filter Mit dem URL Filter können Sie festgelegte Webseiten direkt blockieren. Der Filter verfügt über zwei Listen. In die Blacklist werden Domains und URLs eingetragen, die geblockt werden sollen. Die Whitelist enthält Adressen, die angezeigt werden. Wechseln Sie auf die Registerkarte URL Filter. Schalten Sie den Filter an, indem Sie im Dropdownfeld beim Eintrag URL Blocking die Option On auswählen. Bearbeiten Sie die Blacklist und die Whitelist, indem Sie mit der Maus in die Listen klicken und mit der Tastatur Eingaben machen. Schreiben Sie pro Zeile nur einen Eintrag. Sie können ganze Domains sperren bzw. freigeben. Das heißt auch alle Unterseiten der Domain. Zum Sperren oder freigeben von bestimmten Unterseiten geben Sie die entsprechenden URLs an. Auch hier werden nur Top- und Second-Level-Domains verwendet. Bsp.: Aus wird beispiel de Aus wird beispiel.de/wetten Speichern Sie Ihre Eintragungen mit Save. Abb. 60 URL Blocking Listen bearbeiten IT - Made in Germany 50

51 9 Menüpunkt Proxies Content Filter Categories Mit dem Content Filter können Sie den Zugang zu Internetseiten mit definierten Inhalten sperren. Es stehen verschiedene Inhaltskategorien zur Auswahl. Die Kategorien enthalten Schlagwörter, die auf den jeweiligen Inhalt hinweisen. Diese Schlagwörter sind in ihrer Eindeutigkeit gewichtet. Wenn die Summe der Gewichtungen einer Internetseite einen Schwellenwert (Naughtylesslimit) überschreitet, wird diese Internetseite gesperrt. Je höher das Naughtylesslimit, desto unwahrscheinlicher wird eine Seite gesperrt. Klicken Sie auf die Registerkarte Categories. Wählen Sie die Kategorien aus, die sie Sperren möchten. Setzen Sie vor diesen ein Häkchen. Sie können noch den Schwellenwert (Naughtylesslimit) bestimmen. Bedenken Sie, dass ein zu niedriger Schwellenwert, viele Seiten blocken könnte, die nicht in die Kategorien fallen. Speichern Sie Ihre Einstellungen mit Save. Abb. 61 Kategorien zur Sperrung auswählen IT - Made in Germany 51

52 9 Menüpunkt Proxies Whitelist Über die Whitelist können Benutzer, IP-Adressen und Internetseiten von der Prüfung ausgenommen werden. Users Wenn die eingetragenen Benutzer Internetseiten aufrufen, wird die Filterung über den Content Filter nicht ausgeführt. Wechsel Sie auf der Registerkarte Whitelist in die Registerkarte Users. Klicken Sie mit der Maus in die Liste. Geben Sie die Login Namen der Nutzer ein, die vom Content Filtering ausgenommen werden sollen. Geben Sie nur einen Namen pro Zeile ein. Speichern Sie ihre Eingaben mit Save. Abb. 62 Nutzer, die vom Content Filtering ausgenommen werden IT - Made in Germany 52

53 9 Menüpunkt Proxies IP Addresses Hier eingetragene IP-Adressen werden ebenfalls vom Content Filtering ausgenommen. Diese Einstellung ist nur sinnvoll, wenn die IP-Adressen fest vergeben sind. Wechseln Sie auf die Registerkarte IP-Addresses. Klicken Sie in die Liste. Geben Sie mit der Tastatur die gewünschten IP-Adressen ein, bei denen das Content Filtering nicht angewendet werden soll. Gebe Sie pro Zeile nur einen Eintrag ein. Speichern Sie Ihre Einstellungen mit Save. Abb. 63 IP-Adressen, die vom Content Filtering ausgenommen werden IT - Made in Germany 53

54 9 Menüpunkt Proxies Websites Hier können Internetseiten eingegeben werden, die beim Aufrufen nicht durch den Content Filter geprüft werden. Tragen Sie hier nur absolut vertrauenswürdige Seiten ein. Einige Einträge sind werksseitig eingetragen. Wechseln Sie in die Registerkarte Websites. Klicken Sie in die Liste. Nehmen Sie per Tastatur gewünschte Änderungen und/ oder Ergänzungen vor. Speichern Sie Ihre Einstellungen mit Save. Abb. 64 Internetseite, die nicht den Content Filter durchlaufen IT - Made in Germany 54

55 9 Menüpunkt Proxies 9.2 POP3 Proxy Der POP3 Proxy agiert dem Mailclient gegenüber als POP3-Server, ruft seinerseits aber die s vom eigentlichen Mailserver ab. Die s werden auf Viren und Spam untersucht und an den Mailclient weitergegeben. Wählen Sie im Dropdownfeld Virusscanning den Wert On, um die Virensuche zu aktivieren. Wählen Sie im Dropdownfeld Spamfilter den Wert On, um die Spamfilter zu aktivieren. Wählen Sie unter Transparent Proxy in welchem Netz der transparente Proxy aktiviert werden soll. Sichern Sie Ihre Einstellungen mit Save. Abb. 65 Einstellungen für den POP3 Proxy vornehmen IT - Made in Germany 55

56 9 Menüpunkt Proxies 9.3 VCN Repeater Virtual Networking Computing (VNC) Software kann den Bildschirminhalt eines entfernten Computers auf einem lokalen Rechner anzeigen. Die Tastatureingaben und Mausbewegungen des lokalen Computers werden an den entfernten Computer gesendet. Man kann also auf dem entfernten Computer arbeiten, als säße man direkt an diesen. Die Software arbeitet als Client-Server-Anwendung, wobei der entfernte Rechner den Server darstellt und der lokale Rechner den Client. Um diesen Verkehr durch die Firewall freizugeben, muss der Hostname oder die IP des entfernten Rechners angegeben werden und der Port, auf dem der Repeater arbeitet. Geben Sie unter VNC Port den Port an, den der VNC Repeater benutzt. Normalerweise ist dies der voreingestellte Port Tragen Sie in der Liste VNC Server die Hostnamen oder IP-Adressen der Rechner, die Sie über den Repeater erreichen wollen, ein. Speichern Sie Ihre Eintragungen mit Save. Abb. 66 Einstellungen für den VNC Repeater vornehmen Zur Nutzung im Internet benötigen Sie eine Regel im Portfilter. Für den Client brauchen Sie einen VNC-Viewer, der die Repeater-Funktion unterstützt (z. B. UltraVNC). Abb. 67 Regel für den VNC Repeater zur Nutzung aus dem Internet IT - Made in Germany 56

57 9 Menüpunkt Proxies 9.4 Service Status Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von hieraus kann ein Dienst gestartet oder gestoppt werden. Wählen Sie den Dienst aus, den Sie starten bzw. stoppen wollen. Wählen Sie aus dem Dropdownfeld rechts neben dem jeweiligen Dienst die Option On bzw. Off. Die Änderungen werden übernommen, wenn Sie Save klicken. Abb. 68 Dienste Starten und stoppen IT - Made in Germany 57

58 10 VPN 10 VPN Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem eigenen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN stellt dem Benutzer eine virtuelle IP- Verbindung zur Verfügung. Die über diese Verbindung übertragenen Datenpakete werden am Client verschlüsselt und von der Terra Firewall wieder entschlüsselt und umgekehrt. Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheitsgrad und Komplexität unterscheiden. Abb. 69 Dropdownmenü des Icons VPN Bezeichnung IPSec Wizard IPSec L2TP PPTP SSL VPN Erklärung Assistent zum Erstellen einer IPSec VPN Verbindung. Editieren und Löschen von IPSec Verbindungen. Kombination und Weiterentwicklung von PPTP und L2F. Wird von Windows unterstützt. Das Point to Point Tunneling Protocol benutzt keine umfassende Verschlüsselung. Wird direkt von Windows unterstützt. Benutzt das TLS/SSL Verschlüsselungsprotokoll. IT - Made in Germany 58

59 10 VPN 10.1 IPSec Wizard Der Assistent zur Erstellung von IPSec VPN Verbindung führt Sie Schritt für Schritt durch die einzelnen Konfigurationspunkte. Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site- oder eine Roadwarrior-Verbindung. Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle. Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem Netzwerk der Zentrale Site-to-Site Klicken Sie im VPN Dropdownmenü auf den Eintrag IPSec Wizard. Es öffnet sich der Dialog IPSEC WIZARD: CREATE A NEW IPSEC CONNECTION. Wählen Sie den VPN Typ Site to Site Verbindet Ihr lokales Netzwerk mit einem entfernten Netzwerk. Klicken Sie auf Next. Abb. 70 Typ als Site to Site festlegen Geben Sie einen Namen für die VPN Verbindung ein. Klicken Sie dann auf Next. Abb. 71 Name für die Site to Site Verbindung IT - Made in Germany 59

60 10 VPN Geben Sie die IP-Adresse oder den Hostnamen des entfernten Netzwerkes an. Wenn es sich um eine DynDNS Hostnamen handelt, aktivieren Sie die Checkbox Hostname is DynDNS. Klicken Sie auf Next. Abb. 72 Adresse des entfernten Netzwerks eingeben Geben Sie den Preshared Key (PSK) ein. Der Preshared Key ist ein Kennwort, welches beide Verbindungspartner nutzen. Klicken Sie auf Next. Abb. 73 PSK eingeben Geben Sie nun die Netzwerke an, die per VPN miteinander verbunden werden sollen. Unter Local network geben Sie ihr lokales Netzwerk an. Wählen Sie die gewünschte Netzwerkmaske. Unter Remote network geben Sie das Netzwerk des Verbindungspartners an. Wählen Sie auch hier die gewünschte Netzwerkmaske. Klicken Sie auf Finish, um den Assistenten zu beenden. Die VPN Verbindung wird gespeichert. Abb. 74 VPN Netze angeben IT - Made in Germany 60

61 10 VPN Roadwarrior Klicken Sie im VPN Dropdownmenü auf den Eintrag IPSec Wizard. Es öffnet sich der Dialog IPSEC WIZARD: CREATE A NEW IPSEC CONNECTION. Wählen Sie den VPN Typ Roadwarrior Ein oder mehrere entfernte Computer können sich mit dem lokalem Netzwerk verbinden. Klicken Sie auf Next. Abb. 75 Roadwarrior Verbindung wählen Geben Sie einen Namen für die VPN Verbindung ein. Klicken Sie dann auf Next. Abb. 76 Namen für die Verbindung anlegen Wählen Sie den VPN Typ aus. Für eine native IPSec Verbindung muss der Roadwarrior einen VPN Client wie z.b. TheGreenbow VPN Client oder NCP VPN Client benutzen. Bei einer L2TP Verbindung kann der Roadwarrior den in Windows integrierten VPN Client benutzen. Klicken Sie auf Next. Abb. 77 Verbindungsart Native IPSec auswählen Abb. 78 Verbindungsart L2TP auswählen IT - Made in Germany 61

62 10 VPN Entscheiden Sie, welche Authentifizierungsmethode benutzt werden soll. Ein Preshared Key (PSK) wird von beiden Verbindungspartnern genutzt. Wählen Sie dafür Preshared Key im Auswahlfeld unter Authentication und geben das Kennwort im Feld unter Local key ein. Ein Zertifikat wird von der Firewall erstellt und an den Roadwarrior weitergegeben. Wählen Sie hierfür im Auswahlfeld unter Authentification den Eintrag Certificate und wählen unter Certificat das Serverzertifikat der Appliance aus. Bei einer Native IPSec Verbindung müssen Sie anschließend noch die Subnetze definieren. Klicken Sie dafür auf Next. Bei einer L2TP Verbindung ist die Angabe der Authentifizierungsmethode der letzte Schritt. Klicken Sie hier auf Finish. Die VPN Verbindung wird gespeichert. Abb. 79 PSK auswählen und angeben Abb. 80 Certificate wählen und das Serverzertifikat auswählen Bei einer Nativen IPSec Verbindung definieren Sie abschließend das lokale Netz, welches der Roadwarrior erreichen kann. Tragen Sie dieses im Feld bei Local subnets ein und wählen Sie die passende Subnetzmaske. Vergeben Sie noch eine IP-Adresse, die der Roadwarrior bei der Anmeldung zugewiesen bekommt. Tragen Sie diese im Feld Roadwarrior tunnel IP address ein. Beachten Sie, dass die IP-Adresse keine aus dem DHCP Pool sein sollte, damit es nicht zu Adresskonflikten kommt. Klicken Sie auf Finish, um den Assistenten zu beenden. Die VPN Verbindung wird gespeichert. Abb. 81 Setzen der Subnetze bei einer Nativen IPSec Verbindung IT - Made in Germany 62

63 10 VPN 10.2 IPSec Hier finden Sie eine Übersicht der bestehenden IPSec Verbindungen. Von hieraus können Sie die Einstellungen der Verbindungen bearbeiten, die Verbindungen löschen, laden, initiieren oder stoppen. Außerdem wird Ihnen der Status der Verbindung angezeigt. Abb. 82 Übersicht über die IPSec Verbindungen Bearbeiten der Verbindungen Eine IPSec Verbindung ist in zwei Phasen aufgeteilt. In der ersten Phase handeln die beiden Verbindungspartner die Verschlüsselungsvereinbarung und Authentifizierung aus. Das Internet Key Exchange (IKE) Protokoll definiert dabei, wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden. In der zweiten Phase wird neues Schlüsselmaterial ohne Einbezug von vorherigen Schlüsseln erzeugt. So kann von vorherigen Schlüsseln nicht auf die neuen Schlüssel geschlossen werden. Klicken Sie im IPSec Dialog auf den Button Phase 1,.um die Parameter der Phase 1 zu bearbeiten. Um Ihre Daten zu speichern, klicken Sie auf Save. IT - Made in Germany 63

64 10 VPN Abb. 83 Bearbeitungsfenster der Phase 1 Bezeichnung Local gateway ID Remote host/gateway Remote host/gateway ID Authentication Local key/ Local Certificate Start automatically Dead peer detection DynDNS name Encryption Authentication Strict Erklärung Abschnitt General ID der Appliance. Bei ppp0/eth0 wird als Firewall ID die IP-Adresse des Interface gesendet. Sie können dort auch einen Hostnamen hinterlegen (z. B. den DynDNS Namen). entferntes VPN Gateway oder Host (Name oder IP- Adresse) entferntes VPN Gateway oder Host (Name oder IP- Adresse) Gibt an welches Authentifizierungsverfahren genutzt wird. Key (PSK/Schlüssel) oder Certificate (Zertifikat). In Abhängigkeit vom Authentifizierungsverfahren ist hier der lokale Schlüssel (PSK) oder der Name des Zertifikats anzugeben. Nur bei einer Site-to-Site Verbindung aktivieren. Durch Verwendung dieser Option wird erkannt, wenn die Verbindung zur Gegenstelle unvorhergesehen abgebrochen wurde. Wird ein Abbruch bemerkt, wird der Tunnel vollständig beendet, um einen Wiederaufbau der Verbindung zu gewährleisten. Abfrage, ob die Gegenstelle einen DynDNS Namen benutzt. Abschnitt IKE Verschlüsselungsverfahren Authentifizierungsverfahren Wenn aktiviert, dann muss die Gegenstelle genau die gleichen Schlüssel und Hash Einstellungen benutzen (betrifft Phase 1 und IT - Made in Germany 64

65 10 VPN Phase 2). DH Group Angabe der Schlüssellänge des Diffie Hellmann Schlüssels. IKE life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8 Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheitsgründen nötig. Dies wird automatisch initiiert. Keyingtries Gibt an, wie oft versucht werden soll, eine Verbindung aufzubauen (im Abstand von 20 Sekunden). unlimited Es wird fortlaufend versucht eine Verbindung aufzubauen. three times Es wird dreimal versucht eine Verbindung aufzubauen. Klicken Sie im IPSec Dialog auf den Button Phase 2, um die Parameter der Phase 2 zu bearbeiten. Um Ihre Daten zu speichern, klicken Sie auf Save. Abb. 84 Phase 2 natives IPSec Abb. 85 Phase 2 L2TP Bezeichnung Local Net / Mask Remote Net / Mask L2TP subnet Erklärung Abschnitt Native IPSec Angabe des lokalen Netzes, welches per VPN mit dem entfernten Netzt verbunden wird: Angabe des entfernten Netzes, welches per VPN mit dem lokalen Netzt verbunden wird: Abschnitt L2TP lokales Subnetz für L2TP Verbindungen angeben. IT - Made in Germany 65

66 10 VPN Nur bei L2TP Verbindungen mit Windows Vista oder MacOSX, wenn der Client hinter einem Router steht. Abschnitt IKE Encryption Verschlüsselungsverfahren Authentication Authentifizierungsverfahren PFS Perfect Forward Secrecy Neue Schlüssel müssen völlig unabhängig von den Vorgängerschlüsseln generiert werden, damit von alten Schlüsseln nicht auf neue geschlossen werden kann. Key life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8 Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheitsgründen nötig. Dies wird automatisch initiiert. IT - Made in Germany 66

67 10 VPN Löschen, Laden, Initiieren und Stoppen der Verbindungen Löschen einer Verbindung Rufen Sie die IPSec Übersicht auf. Klicken Sie auf die Schaltfläche Delete der jeweiligen Verbindung, um diese zu löschen. Beantworten Sie die Sicherheitsabfrage mit Yes. Abb. 86 Verbindung löschen Laden und Initiieren Rufen Sie die IPSec Übersicht auf. Klicken Sie auf die Schaltfläche Load der jeweiligen Verbindung, um diese zu laden. Damit ist die Verbindung noch nicht gestartet, es werden lediglich die Parameter geladen. Starten Sie die Verbindung anschließend mit dem Button Initiieren. Dies geht nur bei Site-to-Site Verbindungen und wenn Sie in den Einstellungen als Initiator eingetragen sind. Abb. 87 Verbindung laden und starten Stoppen Rufen Sie die IPSec Übersicht auf. Klicken Sie auf die Schaltfläche Stop der jeweiligen Verbindung, um diese zu stoppen. Beantworten Sie die Sicherheitsabfrage mit Yes. Abb. 88 Verbindung stoppen IT - Made in Germany 67

68 10 VPN 10.3 L2TP Hier können Sie allgemeine Einstellungen für L2TP VPN Verbindungen einstellen. Klicken Sie im VPN Dropdownmenü auf den Eintrag L2TP. Es öffnet sich der Dialog VPN L2TP. Auf der Registerkarte General finden Sie allgemeine Einstellungen zum Interface. Bei Local L2TP IP geben Sie eine IP an, die vom L2TP Interface benutzt werden soll. Es existiert natürlich kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuelle Adresse an das externe Interface gebunden. Unter L2TP Address Pool können Sie den L2TP Adressbereich einstellen. Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen. Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs. Die Maximum Transmission Unit (MTU) sollte den Standardwert 1350 behalten. Legen Sie im Bereich Authentication fest, wo gegen sich die Benutzer zu authentifizieren haben. Möglich ist eine Authentifizierung an der lokalen Datenbank der Appliance, an einem Radius Server oder beim Active Directory. Speichern Sie Ihre Angaben mit Save. Abb. 89 allgemeine Einstellungen für VPN mit L2TP IT - Made in Germany 68

69 10 VPN Unter der Registerkarte NS/WINS können sie die IP-Adresse des Nameservers und des WINS-Servers (Windows Internet Name Service) eingeben. Wechsel Sie auf die Registerkarte NS/WINS. Tragen Sie die IP-Adresse des Nameservers in die entsprechenden Felder ein. Tragen Sie die IP-Adresse des WINS-Servers ein (sofern Sie einen benutzen). Speichern Sie Ihre Angaben mit Save. Abb. 90 Einstellungen für Name- und WINS-Server IT - Made in Germany 69

70 10 VPN 10.4 PPTP Die allgemeinen Einstellungen für VPN per PPTP sind fast identisch zu L2TP. Die allgemeinen Einstellungen zum PPTP Interface und PPTP Adressbereich werden auf der Registerkarte General eingestellt. Auf der zweiten Registerkarte werden die IP-Adressen des Nameservers und des WINS-Servers eingetragen. Klicken Sie im VPN Dropdownmenü auf den Eintrag PPTP. Es öffnet sich der Dialog VPN PPTP. Auf der Registerkarte General finden Sie allgemeine Einstellungen zum Interface. Bei Local PPTP IP geben Sie eine IP an, die vom PPTP Interface benutzt werden soll. Auch diese IP-Adresse wird als virtuelle Adresse an das externe Interface gebunden. Unter PPTP Address Pool können Sie den PPTP Adressbereich einstellen. Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen. Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs. Die Maximum Transmission Unit (MTU) sollte den Standardwert 1350 behalten. Schalten Sie im Bereich Radius Server Authentication die Authentifizierung gegen einem Radius Server ein oder aus. Speichern Sie Ihre Angaben mit Save. Abb. 91 allgemeine Einstellungen für VPN per PPTP IT - Made in Germany 70

71 10 VPN Unter der Registerkarte NS/WINS können sie die IP-Adresse des Nameservers und des WINS-Servers (Windows Internet Name Service) eingeben. Wechsel Sie auf die Registerkarte NS/WINS. Tragen Sie die IP-Adresse des Nameservers in die entsprechenden Felder ein. Tragen Sie die IP-Adresse des WINS-Servers ein (sofern Sie einen benutzen). Speichern Sie Ihre Angaben mit Save. Abb. 92 Einstellungen für Name- und WINS-Server IT - Made in Germany 71

72 10 VPN 10.5 SSL VPN Hier werden die allgemeinen Einstellungen für das SSL verschlüsselte VPN eingestellt. Um diesen Zugang nutzen zu können, müssen die Nutzer OpenVPN auf ihren Rechner installieren. Außerdem ist ein OpenVPN Client ratsam. Beides ist kostenlos auf der OpenVPN Internetseite erhältlich (http://openvpn.net/). Die Authentifizierung wird bei dieser VPN Variante nur durch Zertifikate realisiert. Die Zertifikate für SSL VPN unterscheiden sich von den anderen Zertifikaten. Die Appliance benötigt ein explizites SSL VPN-Serverzertifikat und jeder Roadwarrior ein SSL VPN-Clientzertifikat. Diese können im Bereich Authentication erstellt werden. Klicken Sie im VPN Dropdownmenü auf den Eintrag SSL VPN. Es öffnet sich der Dialog SSL VPN. Wählen Sie lediglich im Feld SSL VPN Certificate ein SSL Serverzertifikat aus. Alle anderen Einstellungen können beibehalten werden, außer Sie haben die IP- Adresse des virtuellen tun0 Interfaces geändert. Ist dies der Fall, gleichen Sie unter SSL VPN IP die IP-Adresse an die Adresse des tun0 Interfaces an. Speichern Sie Ihre Einstellungen mit Save. Abb. 93 kein SSL Serverzertifikat vorhanden Abb. 94 Einstellungen für das SSL VPN IT - Made in Germany 72

73 11 Menüpunkt Authentication 11 Menüpunkt Authentication In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außerdem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen. Abb. 95 Dropdownmenü unter dem Icon Authentication Bezeichnung Users External Authentication Certificates Erklärung Benutzerverwaltung zum Anlegen von neuen Benutzern und Bearbeitung bestehender Benutzer inklusive Gruppenzugehörigkeit, Kennwort, usw. Einstellungen für die Authentifizierung der Benutzer gegen einen Radius- oder LDAP-Server. Zertifikatsverwaltung zum Anlegen neuer Zertifikate, Exportfunktion und Löschung von Zertifikaten. IT - Made in Germany 73

74 11 Menüpunkt Authentication 11.1 Users Dieser Eintrag öffnet das Fenster Users, welches eine Liste aller eingetragenen Benutzer, ihrer Rechte und eventuelle VPN IP-Adressen anzeigt. Die Benutzer werden in der Reihenfolge Ihrer Erstellung angezeigt. Neue Benutzer können angelegt und bestehende bearbeitet oder gelöscht werden. Abb. 96 Fenster Users Die Gruppenzugehörigkeit und somit die Rechte werden im Fenster Users im Binärformat in der Spalte Permissions angezeigt. Die folgende Tabelle zeigt die Zuordnung. Gruppenzugehörigkeit / Recht Permissions Firewall Admin VPN PPTP VPN L2TP Spamfilter User SPUVA User HTTP Proxy SSL VPN IT - Made in Germany 74

75 11 Menüpunkt Authentication Neuen Benutzer anlegen Registerkarte General Um einen neuen Benutzer anzulegen, öffnen Sie das Fenster Users und klicken auf die Schaltfläche Add. Es öffnet sich der Dialog Add / Edit User. In der Registerkarte General werden grundlegende Einstellungen vorgenommen. Geben Sie im Feld Login den Namen ein, mit dem sich der Benutzer einloggt. Tragen Sie im Feld Name den gesamten Namen des Nutzers ein. Vergeben Sie ein Kennwort im Feld New password und bestätigen diese durch erneute Eingabe im Feld Confirm password. Vergeben Sie jetzt Gruppenmitgliedschaften, indem Sie ein Häkchen hinter die gewünschten Gruppen setzen. Es sind Mehrfachnennungen möglich. Abb. 97 allgemeine Einstellungen auf der Registerkarte General IT - Made in Germany 75

76 11 Menüpunkt Authentication Registerkarte VPN Ist der neue Benutzer L2TP oder PPTP VPN Nutzer können Sie noch Einstellungen auf der Registerkarte VPN vornehmen. Ist der SSL VPN Nutzer müssen Sie Einstellungen auf der Registerkarte VPN vornehmen. Wechsel Sie auf die Registerkarte VPN. Geben Sie eine IP-Adresse für L2TP und PPTP VPN Nutzer an, die diese im Tunnel nutzen. Diese Angabe ist optional. Handelt es sich um einen SSL VPN Nutzer muss eine Tunnel IP-Adresse angegeben werden. Diese müssen im gleichen Netz wie das tun0 Interface liegen (standardmäßig xxx). Der letzte Teil der IP-Adresse muss nach folgender Vorschrift gewählt werden: Ein Vielfaches von 4 minus 2. Formel: x = ( 4 * y ) 2 Somit darf der letzte Teil der IP-Adresse folgende Werte annehmen: {2; 6; 10; 14; ; 246; 250; 254} Abb. 98 Eingaben auf der Registerkarte VPN IT - Made in Germany 76

77 11 Menüpunkt Authentication Registerkarte SPAM Filter Ist der Benutzer in der Gruppe Spamfilter User, dann können Sie noch auf der Registerkarte SPAM Filter, die Zugriffsrechte beschränken. Sie können Beschränkungen für einzelne E- Mail-Adressen oder Domains anlegen. Es können bis zu drei Eintragungen vorgenommen werden. Wenn keine Beschränkung eingetragen wird, kann der Benutzer auf alle s zugreifen. Beschränkungen auf einzelne -Adressen werden mit der gesamten -Adresse vorgenommen. z.b. Beschränkungen auf eine Domain werden mit führenden at Zeichen angegeben. Wechseln Sie auf die Registerkarte SPAM Filter und beschränken Sie die Ansicht der Spamfilter-Interfaces auf einzelne -Adressen oder Domains. Diese Einstellungen sind nur für einen Benutzer der Gruppe Spamfilter User relevant. Abb. 99 Die Ansicht im Spamfilter-Interface beschränken Für den Spamfilter User sind nur die -Header sichtbar, nicht der Nachrichtentext. IT - Made in Germany 77

78 11 Menüpunkt Authentication Registerkarte Extras Auf dieser Registerkarte können Sie Angaben zum Kennwort machen. Ob der Benutzer selber das Kennwort ändern darf, die minimale Länge des Kennworts, ob Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben verwendet werden müssen. Das Passwort kann nur im User-Interface geändert werden. Wechseln Sie auf die Registerkarte Extras. Entscheiden Sie im Feld User can change password, ob der Benutzer sein Kennwort im User-Interface selber ändern darf. Wählen Sie die minimale Kennwortlänge im Feld Minimum password length. Entscheiden Sie welche Zeichen das Kennwort enthalten muss: Ziffern Sonderzeichen Groß- und Kleinbuchstaben Speichern Sie alle Einstellungen mit Save. Abb. 100 Einstellungen zum Kennwort IT - Made in Germany 78

79 11 Menüpunkt Authentication Bestehende Benutzer bearbeiten oder löschen Sie können auch Einstellungen zu bestehenden Nutzern bearbeiten. Öffnen Sie die Benutzerverwaltung mit klicken auf den Eintrag Users im Dropdownmenü unter dem Icon Authenticate. Klicken Sie auf das Stift Symbol rechts neben dem zu bearbeitenden Benutzer. Es öffnet sich der Dialog Add / Edit User. Ändern Sie die Angabe wie im vorherigen Kapitel beschrieben. Speichern Sie die Änderungen mit Save. Abb. 101 Öffnen des Bearbeiten Dialogs zum Datensatz Max Mustermann Sie können auch den kompletten Datensatz löschen. Klicken Sie in der Benutzerverwaltung auf das Mülleimer Symbol neben dem betreffenden Datensatz. Beantworten Sie die Sicherheitsabfrage mit Yes. Der Betreffende Benutzer wird gelöscht. Abb. 102 Löschung des Benutzers Max Mustermann IT - Made in Germany 79

80 11 Menüpunkt Authentication 11.2 External Authentication Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durchführen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die Anmeldung an einen Radius- oder einen LDAP-Server Radius Server Öffnen Sie den Dialog External Authentication. Auf der Registerkarte Radius geben Sie die Daten des Radius Servers ein. Geben Sie den Hostnamen oder die IP-Adresse des Servers im Feld IP address or host name ein. Im Feld Mutual secret key geben Sie das gemeinsame Kennwort ein und bestätigen dieses durch wiederholte Eingabe im Feld Confirm mutual secret key. Speichern Sie Ihre Eingabe mit Save. Abb. 103 Angaben für einen Radius Server IT - Made in Germany 80

81 11 Menüpunkt Authentication LDAP Server Um einen LDAP Server zur Authentifizierung zu nutzen, gehen Sie wie folgt vor. Öffnen Sie den Dialog External Authentication. Auf der Registerkarte LDAP geben Sie die Daten des LDAP Servers ein. Geben Sie den Hostnamen oder die IP-Adresse des Servers im Feld IP address or host name ein. Im Feld User name tragen Sie Ihren Benutzername für den Server ein. Im Feld User password geben Sie Ihr Kennwort ein und bestätigen dieses durch wiederholte Eingabe im Feld Confirm user password. Speichern Sie Ihre Eingabe mit Save. Abb. 104 Angaben für eine LDAP Server Wenn Sie LDAP Authentifizierung bei HTTP-Proxy oder L2TP verwenden, müssen Sie im Active Directory (AD) neue Gruppen erzeugen und Usern, denen Sie den Zugriff erlauben wollen, müssen Mitglieder der Gruppe sein. HTTP-Proxy Gruppe im AD Wortmann HTTP L2TP Gruppe im AD Wortmann L2TP IT - Made in Germany 81

82 11 Menüpunkt Authentication 11.3 Certificates Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Identitätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifikate werden mit einer Certification Authority (CA) erstellt und signiert, um die Echtheit des Zertifikats zu garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz. Für die VPN Verbindungen, kann aber auch eine eigene CA Signatur erstellt werden, um selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und nicht von dritten ausgestellt worden sind. Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zertifikate im PEM Format oder im PKCS #12 zu exportieren. IT - Made in Germany 82

83 11 Menüpunkt Authentication CA erstellen Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authentication. Es erscheint das Fenster Certificates. Auf der Registerkarte CA sind die erstellten CAs aufgelistet. Beim ersten Öffnen ist noch keine CA erstellt und die Liste somit leer. Klicken Sie auf Add und es erscheint der Dialog New. /. Edit Certificate. Geben Sie die Daten gemäß der folgenden Tabelle ein. Klicken Sie abschließend auf Save, um Ihre Eintragungen zu speichern. Bezeichnung Erklärung Type User / Server für IPSec und PPTP VPN Verbindungen. OpenVPN Server für die Appliance bei SSL VPN Verbindungen. OpenVPN Client für die Roadwarrior bei SSL VPN Verbindungen Valid from Gültigkeitszeitraum der CA gültig ab Valid until Gültigkeitszeitraum der CA gültig bis Name Name für die CA Country Landeskennung z. B. DE für Deutschland State Bundesland (oder Region) City Ort Organisation Name der Firma oder Organisation Unit Abteilung -Adresse des Erstellers Abb. 105 CA erstellen IT - Made in Germany 83

84 11 Menüpunkt Authentication Zertifikat erstellen Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authentication. Es erscheint das Fenster Certificates. Auf der Registerkarte Certs sind die erstellten Zertifikate aufgelistet. Beim ersten Öffnen ist noch kein Zertifikat erstellt und die Liste somit leer. Klicken Sie auf Add und es erscheint der Dialog New / Edit Certificate. Geben Sie die Daten gemäß der folgenden Tabelle ein. Klicken Sie abschließend auf Save, um Ihre Eintragungen zu speichern Bezeichnung Erklärung Type User / Server für IPSec und PPTP VPN Verbindungen. OpenVPN Server für die Appliance bei SSL VPN Verbindungen. OpenVPN Client für die Roadwarrior bei SSL VPN Verbindungen. Valid from Gültigkeitszeitraum des Zertifikats gültig ab Valid to Gültigkeitszeitraum des Zertifikats gültig bis Name Name für das Zertifikat Country Landeskennung z. B. DE für Deutschland State Bundesland (oder Region) City Ort Organization Name der Firma oder Organisation Unit Abteilung -Adresse des Erstellers CA Wählen einer CA, mit der das Zertifikat signiert wird. Abb. 106 Server Zertifikat erstellen IT - Made in Germany 84

85 11 Menüpunkt Authentication CA und Zertifikate importieren Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorliegen. Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authentication. Es erscheint das Fenster Certificates. Wechseln Sie auf die jeweilige Registerkarte (CA oder Certs). Klicken Sie auf den Button Import und anschließend auf die Durchsuchen Schaltfläche im öffnenden Dialog. Wählen Sie die zu importierende Datei aus. Klicken Sie dann auf Upload. Klicken Sie abschließend auf Save, um Ihre Eintragungen zu speichern. Abb. 107 Angabe des Pfads der zu importierenden Datei IT - Made in Germany 85

86 11 Menüpunkt Authentication CA und Zertifikate exportieren Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die Appliance nur PEM Formate wieder importiert. Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authentication. Es erscheint das Fenster Certificates. Wechseln Sie auf die jeweilige Registerkarte (CA oder Certs). Am Ende jeder Zeile finden sie folgende Icons. Das linke Icon ist für den Export im PEM (*.pem)format und das rechte für den Export im PKCS #12 (*.p12) Format. Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öffnenden Dialog CA und Zertifikate löschen Direktes Löschen von Zertifikaten und CA ist nicht möglich. Man kann diese nur widerrufen, also als ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig gespeichert, damit sich niemand mit diesen Zertifikaten authentisieren kann. Beachten Sie: Wenn Sie eine CA für ungültig erklären, werden auch alle Zertifikate, die mit dieser CA signiert wurden, ungültig. Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authentication. Es erscheint das Fenster Certificates. Wechseln Sie auf die jeweilige Registerkarte (CA oder Certs). Klicken Sie am Ende der Zeile auf das Mülltonnen -Symbol. Bestätigen Sie die Sicherheitsabfrage mit Yes. Die CA bzw. die jeweiligen Zertifikate werden auf die Revoked Liste gesetzt. Diese erscheint als weitere Registerkarte mit dem Namen Revoked. Abb. 108 Registerkarte Revoked beinhaltet ungültige Zertifikate IT - Made in Germany 86

87 12 Live Log 12 Live Log Das Live Log zeigt aktuelle Protokolleinträge. Diese sind zur besseren Übersicht farblich hinterlegt. Zusätzlich können die Einträge gefiltert werden. Spaltenbezeichnung Day Time Service Content Erklärung Zeigt den Tag des Auftretens an. Beim Live Logging meist das aktuelle Datum. Zusätzlich das Protokoll oder die Aktion. Gibt die Uhrzeit in Stunden, Minuten und Sekunden an. (hh:mm:ss) Gibt an, welcher Dienst betroffen ist. Ausführliche Fehlermeldung Abb. 109 Ansicht des Live Loggings IT - Made in Germany 87

88 12 Live Log 12.1 Live Log starten Wenn Sie das Live Log Fenster betreten, ist dass Logging noch ausgeschaltet. Sie können auch keine Suchmuster eingeben. Um das Logging zu starten, gehen Sie wie folgt vor. Klicken Sie in der Navigationsleiste auf das Icon Live Log. Es öffnet sich ein neues Browserfenster. Klicken Sie auf die Schaltfläche Start logging im rechten Bereich über dem Listenfenster. Das live logging startet. Der Text des Buttons wechselt zu Stop logging. Klicken Sie erneut auf den Button, um das live logging zu stoppen. Abb. 110 Logging starten IT - Made in Germany 88

89 12 Live Log 12.2 Suchfunktion Wenn Sie das live logging gestartet haben, werden alle Ereignisse, die protokolliert werden, angezeigt. Wenn Sie etwas Bestimmtes suchen, ist die Filterfunktion hilfreich. Die Filterfunktion ist mittig über den Listenbereich zu finden. Die Funktion ist nur bei laufendem logging verfügbar. Abb. 111 Filterbereich aussuchen Klicken Sie im Bereich Search pattern auf das Dropdownmenü und wählen Sie einen Eintrag aus. Time filter die Ereignisse nach einer Uhrzeit. Service filter nach einem Dienst. Content filtert die Ereignisse nach einer Meldung. Geben Sie im rechten Feld ein Suchmuster ein. Die Form des Suchmusters ist abhängig von dem zuvor gewählten Bereich. Zeitangaben können in Stunden, Minuten und Sekunden angegeben werden. Als Separatoren werden Doppelpunkte verwendet. Bsp.: 13:16:09 ; 8:36:00 Sie können nach der Stundenangabe filtern, wenn Sie die Sekunden und Minuten nicht angeben. Beenden Sie dabei die Eingabe mit einem Doppelpunkt. Bsp.: 16: ; 9: Bei der Suche nach Minuten übergehen Sie die Stunden und Sekunden und beginnen und beenden Sie die Eingabe mit einem Doppelpunkt. Bsp.: :27: ; :09: Service: Bei der Filterung nach dem Dienst, muss Ihnen der Dienst nicht genau bekannt sein. Sie können auch Wortteile angeben. Bsp.: Webserver ; server Content: Der Inhalt der Protokollmeldung ist sehr unterschiedlich. Liegen keine klaren Fehlermeldungen vor, ist auf jeden Fall die entsprechende IP-Adresse verzeichnet. Starten Sie den Filter mit der Eingabe Taste oder mit Search. Wahlweise kann der Filter auch umgekehrt werden. Das heißt es werden alle Einträge angezeigt, auf die das Suchmuster nicht zutrifft. Aktivieren Sie dafür den Button Inverse search. Standardmäßig ist die Option Scroll automatically to the bottom aktiviert. Da neue Ereignisse unten an die Liste angefügt werden, zeigt diese Option immer die neuesten Einträge. IT - Made in Germany 89

90 12 Live Log Mit einem Doppelklick auf einen Eintrag der Liste lassen sich genauere Informationen anzeigen. Abb. 112 detaillierte Informationen anzeigen lassen 12.3 Weitere Funktionen Seite neu laden Mit dem Reload Icon können Sie die Seite wieder in den Ausgangszustand setzen. Sie finden das Icon oben rechts über dem Listenfenster. Abb. 113 Reload Button Abmelden Schließen Sie das Browserfenster mit dem Logout Buton. Sie finden den Button oben rechts über dem Listenfenster. Abb. 114 Logout Button IT - Made in Germany 90

91 12 Live Log Teil 2 User-Interface IT - Made in Germany 91

92 13 User-Interface 13 User-Interface Das User-Interface kann von allen eingetragenen Benutzern benutzt werden, die zu den Gruppen Firewall Admin oder Spamfilter User oder Userinterface gehören. Abb. 115 Login Dialog für das User-Interface Das User-Interface unterteilt sich in drei Bereiche. In Abhängigkeit der Gruppenzugehörigkeit der Benutzer, haben diese nur Zugriff auf einzelne Bereiche. Bereich Beschreibung sichtbar für Spamfilter Interface Zeigt alle empfangenen s und Spamfilter User deren Einteilung in Ham (erwünschte Mails) und Spam (unerwünschte Mails). Möglichkeit manueller Nachsortierung bei falscher automatischer Klassifizierung. Change Password Dialog zum Ändern des Kennworts. Vorgaben zur Länge und zu der verwendenden Zeichen gemäß der Benutzereinstellungen. Userinterface und Benutzer, die in der Benutzerverwaltung das zusätzliche Recht der Kennwortänderung zugebilligt bekommen haben. Download Software Bietet Software zum Herunterladen an. VPN-Clients, SSH-Clients usw. Firewall Admin Spamfilter User Userinterface Abb. 116 Bereiche des User-Interfaces IT - Made in Germany 92

93 13 User-Interface 13.1 Spamfilter Interface Der Spamfilter User kann sich im Spamfilter Interface anzeigen lassen, welche s als Ham und welche Mails als Spam klassifiziert wurden. Es kann auch überprüft werden, ob E- Mails fälschlicherweise als Spam deklariert worden sind und diese können dann als Ham gekennzeichnet werden. Wichtig ist auch, nicht erkannte Spam s aus dem Ham Bereich in den Spam Ordner zu schieben, um die Lernfunktion des Spam Filters zu trainieren. Das Spamfilter Interface kann natürlich nur s anzeigen, wenn der Spamfilter im Bereich POP3 Proxy aktiviert ist Übersicht des Interface Die Mails werden immer zeitlich geordnet (die neuste zuerst) angezeigt. Man kann aber mit mehreren Funktionen die Anzeige verändern IT - Made in Germany 93

94 13 User-Interface Bereich Beschreibung 1 Filter Im Filterbereich, kann die Liste nach Absender, Empfänger, Betreff, mit Virus, gesendet, nicht gesendet gefiltert werden. Für einige Kriterien wird ein Muster benötigt, dafür steht ein Eingabefeld zur Verfügung. Die Filterung wird nach dem Betätigen des Search Buttons ausgeführt. Mit dem Button Reset kann die Auswahl zurückgesetzt werden 2 Zeilen Standardmäßig werden pro Seite 10 Einträge angezeigt. Sie können die Einträge pro Seite zwischen 10 und 200 varriieren. Tragen Sie die gewünschte Anzahl ein und klicken Sie auf Apply. 3 Registerkarten Die Anzeige ist in verschiedene Bereiche gegliedert: Ham für erkannte erwünschte s. Spam für erkannte unerwünschte s. Deleted für gelöschte s (durch den Spamfilter User). Statistics zeigt eine Statistik der Ham- und Spam- s in Abhängigkeit des Herkunftslandes an. Durch Klicken auf die Registerkarten gelangen Sie in die verschiedenen Ansichten. 4 Aktionen Man kann für markierte s (Kreis in der ersten Spalte) eine Aktion auswählen (verschieben, löschen, verschieben und löschen). Mit dem Button Select all s kann man auch alle Einträge der Seite auswählen bzw. abwählen. Die Aktion wird erst ausgeführt, wenn der Button Apply gedrückt wird. 5 Löschen Mit dem Button Delete all s in this Folder werden alle Einträge des Bereichs gelöscht und in den Deleted Ordner verschoben. Wird diese Aktion im Deleted Ordner ausgeführt, werden die s unwiderruflich gelöscht. 6 Seitennavigation Mit dem Eingabe Feld und dem Apply Button auf der linken Seite können Sie direkt zu der angegeben Seite springen. Mit den Schaltflächen in der Mitte können Sie mit den Doppelpfeilen vor und zurück blättern. Mit den Skip-Pfeilen springen Sie zur ersten bzw. letzten Seite. IT - Made in Germany 94

95 13 User-Interface Spalten der Tabellen Bezeichnung ohne (erste Spalte) Addressing Subject Type Action Delete Beschreibung Durch Klicken auf den Kreis werden s markiert. Schon markierte s werden durch nochmaliges Anklicken abgewählt. Datum und Zeit der . Größe der . Absender der . Empfänger der . Betreff der . Typ der . Aktionen, die mit der vorgenommen werden können. Betrifft nur die jeweilige Mail. Löscht die und verschiebt sie in den Deleted Ordner bzw. löscht sie unwiderruflich wenn die Aktion im Deleted Ordner ausgeführt wird. Abb. 117 Spalten am Beispiel der Ham Registerkarte IT - Made in Germany 95

96 13 User-Interface Aktionen in der Registerkarte Ham In den Spalten Action und Delete können folgende Aktionen ausgeführt werden: Verschiebt die in den Spam Ordner. Verschiebt die Mail in den Deleted Ordner. Abb. 118 Registerkarte Ham Mit markierten s können folgende Aktionen vorgenommen werden: Classify as spam and delete Classify as spam Kennzeichnet die als Spam und verschiebt Sie in den Deleted Ordner. Kennzeichnet die als Spam. Abb. 119 Aktionen im Ham Bereich IT - Made in Germany 96

97 13 User-Interface Aktionen in der Registerkarte Spam In den Spalten Action und Delete können folgende Aktionen ausgeführt werden: Verschiebt die in den Ham Ordner. Verschiebt die Mail in den Deleted Ordner Abb. 120 Registerkarte Spam Mit markierten s können folgende Aktionen vorgenommen werden: Classify as ham Delete Kennzeichnet die als Ham und verschiebt sie in den Ham Ordner. Verschiebt die in den Deleted Ordner. Abb. 121 Aktionen im Spam Bereich IT - Made in Germany 97

98 13 User-Interface Aktionen im Deleted Bereich In den Spalten Action und Delete können folgende Aktionen ausgeführt werden: Stellt die s wieder her und verschiebt sie in den jeweiligen Ordner. Löscht die unwiderruflich. Abb. 122 Registerkarte Deleted Mit markierten s können folgende Aktionen vorgenommen werden: Restore Irrevocable delete Stellt die s wieder her und verschiebt sie in den jeweiligen Ordner. Löscht die unwiderruflich. Abb. 123 Aktionen im Deleted Bereich IT - Made in Germany 98

99 13 User-Interface Bereich Statistics Auf dieser Registerkarte wird Ihnen grafisch der Anteil der Ham- und der Spam- s sowie der mit einem Virus infizierten s angezeigt. Über den jeweiligen Säulen des Diagramms werden in die Werte in Prozent und in absoluten Zahlen angezeigt. Im Bereich Period können Sie die Statistik für gewählte Zeitintervalle generieren lassen. Das kleinste Zeitintervall ist ein Tag. Die Generierung wird mit der Schaltfläche Apply gestartet. Mit der Schaltfläche Reset wird das Zeitintervall zurückgesetzt. Abb. 124 Registerkarte Statistics IT - Made in Germany 99

100 13 User-Interface 13.2 Change Password Dieser Bereich ist nur für Benutzer sichtbar, für die in der Benutzerverwaltung festgelegt ist, dass sie ihr Kennwort ändern dürfen (siehe Abbildung). Abb. 125 Benutzerverwaltung - Optionen zum Kennwort Klicken Sie im User-Interface auf die Registerkarte Change Password. Es erscheint der Dialog Change Password. Geben Sie bei Old Password Ihr aktuelles Kennwort ein. Bei New Password geben Sie Ihr neues gewünschtes Kennwort ein. Bestätigen Sie das neue Kennwort unter Confirm new Password. Klicken Sie auf OK. Es kann sein, dass Ihr Kennwort nicht geändert wird, weil das Kennwort die Bedingungen, die in der Benutzerverwaltung eingestellt sind, nicht erfüllt. Generell sollte ein sicheres Kennwort eine Mindestlänge von 8 Zeichen haben und aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen. Abb. 126 Dialog zum Kennwort wechseln IT - Made in Germany 100

101 13 User-Interface 13.3 Download Software Der Downloadbereich stellt Software und Dokumentation zum Herunterladen zur Verfügung. Die Software umfasst VPN Clients, SSH Clients, SPUVA (Wortmann Security User Authentication Agent) Client und weitere Tools. Als Textdateien ist diese Dokumentation im PDF Format, die Lizenz, sowie eine Beispielkonfiguration für einen SSL VPN Client hinterlegt. Abb. 127 Downloadbereich des User-Interface Die Namen der herunterladbaren Dateien sind direkte Downloadlinks. Klicken Sie auf den Namen der Datei, die Sie herunterladen möchten. Ihr Browser öffnet daraufhin ein Dialog, der abfragt, ob und wo Sie die Datei speichern möchten. Bestätigen Sie die Abfrage und speichern Sie die Datei lokal ab. IT - Made in Germany 101

102 13 User-Interface Teil 3 Schritt für Schritt Anleitungen IT - Made in Germany 102

103 14 VPN - Roadwarrior Verbindungen 14 VPN - Roadwarrior Verbindungen Eine Roadwarrior VPN Verbindung verbindet einen einzelnen Computer mit dem internen Netzwerk z. B. den Laptop eines Außendienstmitarbeiters oder den PC eines Mitarbeiters im Home-Office. Die Firewall Appliance braucht nicht für jeden Roadwarrior eine einzelne Verbindung einzurichten. Es können sich mehrere Roadwarrior über die gleiche VPN Verbindung anmelden und auch gleichzeitig nutzen Roadwarrior VPN via L2TP Zertifikate erstellen Da die Authentifizierung in diesem Beispiel mit einem Zertifikat vorgenommen werden soll, muss vor der Einrichtung der VPN Verbindung ein Zertifikat für die Appliance (Server) und jeweils ein Zertifikat für jeden Roadwarrior angelegt werden. Dieses geschieht im Abschnitt Authentication. Klicken Sie in der Navigationsleiste auf das Icon Authentication und dort auf den Eintrag Certificates. Wenn noch keine CA angelegt worden ist, muss zuerst diese auf der Registerkarte CA angelegt werden. Klicken Sie auf den Button Add und geben Sie nacheinander die geforderten Werte ein. Zum Speichern der CA klicken Sie auf den Button Save. Abb. 128 Certification Authority anlegen IT - Made in Germany 103

104 14 VPN - Roadwarrior Verbindungen Um ein Zertifikat anzulegen, öffnen Sie den Dialog Certificates erneut und wechseln auf die Registerkarte Certs. Klicken Sie auf Add und geben nacheinander die geforderten Werte ein. Als Zertifikatstyp wählen Sie User / Server aus. Speichern Sie das Zertifikat mit Save. Legen Sie auf diese Weise ein Zertifikat für den Server und jeweils ein Zertifikat für jeden Roadwarrior an. Abb. 129 Zertifikate für die Appliance und den Roadwarrior IPSec Wizard Die L2TP VPN Einrichtung nimmt man mit dem IPSec Wizard vor, der sich im Abschnitt VPN befindet. Klicken Sie in der Navigationsleiste auf das Icon VPN und dort auf den Eintrag IPSec Wizard. Wählen Sie als Verbindungsart Roadwarrior aus. Bestätigen Sie mit Next. Als nächstes geben Sie der Verbindung einen Namen z. B. Roadwarrior_L2TP. Bestätigen Sie mit Next. Abb. 130 Verbindungsart wählen Abb. 131 Namen der Verbindung angeben IT - Made in Germany 104

105 14 VPN - Roadwarrior Verbindungen Geben Sie als Verbindungstyp L2TP an und bestätigen Sie mit Next. Abb. 132 Verbindungstyp wählen Sie können die Authentifizierung über einen gemeinsamen Schlüssel vornehmen oder über ein Zertifikat. In diesem Beispiel wird ein Zertifikat verwendet. Wählen Sie als Authentifizierungsmethode Certificate aus und wählen Sie aus der Dropdownliste das zuvor angelegte Server Zertifikat. Bestätigen Sie mit Next. Schließen Sie den Wizard mit Finish ab. Abb. 134 Anzeige auf der Startseite im Bereich IPSec Abb. 133 Zertifikat wählen VPN L2TP Konfigurieren Sie den L2TP Adressbereich, aus dem der Roadwarrior eine IP-Adresse bezieht, unter dem Eintrag L2TP unter dem Navigationspunkt VPN. Klicken Sie im Navigationsmenü auf den Punkt VPN und wählen hier den Eintrag L2TP. Es öffnet sich der Dialog VPN L2TP. Auf der Registerkarte General tragen Sie im Feld Local L2TP IP eine IP für das lokale L2TP Interface ein. Den Adressbereich legen Sie in den Feldern L2TP Address Pool fest. In dem linken Feld die IP-Adresse des Subnetzes und gleichzeitig der Anfang des Bereiches und rechts das Ende des Bereiches. Die Einstellung für die MTU (maximum transmission unit) belassen Sie. Entscheiden Sie sich für eine Authentifizierungsmethode. Wenn Sie sich für Radius oder Active Directory entscheiden, dann müssen Sie die Einstellungen unter Authentication External Authentication anpassen. IT - Made in Germany 105

106 14 VPN - Roadwarrior Verbindungen Auf der Registerkarte NS/WINS können Sie die IP-Adresse des primären und sekundären Nameservers sowie die IP-Adressen des primären und sekundären WINS (Windows Internet Name Service) Servers (soweit verwendet) eintragen. Bestätigen Sie Ihre Eingaben mit Save. Abb. 135 Adressbereich und Authentifizierungsmethode einstellen Abb. 136 Nameserveradressen angeben Netzwerkobjekt erstellen Jetzt müssen Sie für das L2TP Subnetz noch ein Netzwerkobjekt erstellen. Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Punkt Network Objects. Es öffnet sich das Fenster Network Objects. Klicken Sie auf den Button Add VPN Host/Net. Es öffnet sich der Dialog New VPN Host/Net Object. Im Feld Name tragen Sie einen Namen für das L2TP Netz ein. Wählen bei Type den Eintrag Network. Die IP-Address ist die IP-Adresse des L2TP Interfaces. Als Netmask ist eine entsprechende Netzmaske zu wählen. Wählen Sie im Feld Zone die Zone L2TP aus. In der Übersicht wird als Zone vpn-ppp angezeigt, unter der L2TP und PPTP zusammengefasst sind. Speichern Sie das neue Objekt mit Save. Abb. 137 L2TP Netz anlegen Abb. 138 Netzwerkobjekte Übersicht IT - Made in Germany 106

107 14 VPN - Roadwarrior Verbindungen Regel anlegen Erweitern Sie jetzt den Regelsatz. Klicken Sie im Navigationsmenü auf den Punkt Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenster Portfilter. Ab Werk ist schon eingestellt, dass das Internet per L2TP auf das External Interface zugreifen darf. Es fehlt noch, dass das L2TP Netz auf das interne Netzwerk zugreifen darf. Klicken Sie dazu auf den Button Add. Es öffnet sich der Dialog Add / Edit Portfilter Rule. Auf der Registerkarte General wählen Sie aus der Liste Source das eben angelegte L2TP Netzwerkobjekt aus. In der Liste Service klicken Sie auf any für jeglichen Verkehr. In der Liste Destination wählen Sie das Netzwerkobjekt Internal Network. Wenn Sie die Ereignisse protokollieren möchten, wählen Sie einen Protokollierungstyp im Feld Logging. Sie können noch eine Beschreibung im Feld Description einfügen. Auf der Registerkarte Time, können Sie die Regel noch zeitlich begrenzen. Klicken Sie zum Anlegen der Regel auf Save. Abb. 139 Regel für den Zugriff auf das interne Netzwerk anlegen IT - Made in Germany 107

108 14 VPN - Roadwarrior Verbindungen Nutzer anlegen Erstellen Sie nun einen L2TP Nutzer. Klicken Sie in der Navigationsleiste auf den Punkt Authentication und hier auf den Punkt Users. Es erscheint das Fenster Users. Klicken Sie auf Add. Es erscheint der Dialog Add / Edit User. Geben Sie auf der Registerkarte General im Feld Login einen Login Namen für den Benutzer ein. Geben Sie weiterhin den Namen des Nutzers im Feld Name an und ein Kennwort im Feld New password, welches Sie unter Confirm password wiederholen. Wählen Sie als Gruppenzugehörigkeit im Bereich Groups VPN L2TP aus. Wechsel Sie auf die Registerkarte VPN. Geben Sie im Feld VPN L2TP IP Address eine IP-Adresse aus dem L2TP Adressbereich ein, die dem Roadwarrior im L2TP Netz zugewiesen werden soll. Diese Angabe ist nur optional, da dem Roadwarrior ansonsten automatisch eine IP- Adresse aus dem Adressbereich zugewiesen wird. Hiermit können Sie dem Nutzer aber immer dieselbe IP-Adresse zuweisen. Die IP-Adresse muss auch nicht aus dem Adressbereich gewählt werden. Dann muss für diese Adresse aber noch ein Netzwerkobjekt angelegt werden und eine Regel, die erlaubt, dass die Adresse auf das interne Netzwerk zugreifen darf. Auf der Registerkarte Extras können Sie noch weitere Optionen zum Kennwort setzen. (Nutzer darf das Kennwort ändern; minimale Länge des Kennworts; Muss- Bestandteile des Kennworts: Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben) Speichern Sie die Daten des Nutzers mit Save. Abb. 140 allgemeine Nutzereinstellungen Abb. 141 feste IP im VPN Tunnel IT - Made in Germany 108

109 14 VPN - Roadwarrior Verbindungen Abb. 142 Kennwort Optionen Dienststatus überprüfen Überprüfen Sie abschließend den Status der benötigten Dienste. Für L2TP VPN werden die Dienste IPSec Server und L2TP Server benötigt. Überprüfen Sie auf der Startseite im Bereich Applications den Status der Dienste IPSec Server und L2TP Server. Erscheint hinter den Diensten ein grüner Kreis, sind die Dienste aktiviert. Ist der Kreis grau, müssen Sie die Dienste noch aktivieren. Klicken Sie in der Navigationsleiste auf das Icon Proxies und hier auf den Eintrag Service Status. Es erscheint die Liste Service Status. Ändern Sie den Status der Dienste IPSec Server und L2TP Server von Off zu On. Speichern Sie die Einstellungen mit Save. IT - Made in Germany 109

110 14 VPN - Roadwarrior Verbindungen Abb. 143 Dienste aktivieren Führen Sie einen Reload der Startseite aus und überprüfen den Status der Dienste erneut. Abb. 144 Status der Dienste überprüfen Zertifikat exportieren Die nötigen Einstellungen auf der Server Seite sind nun vorgenommen. Bevor die Einstellungen auf der Client Seite sprich dem Roadwarrior vorgestellt werden, muss noch das Zertifikat, welches der Roadwarrior zur Authentifizierung benötigt, exportiert werden. Klicken Sie in der Navigationsleiste auf das Icon Authentication und hier auf den Eintrag Certificates. Wechsel Sie im Fenster Certificates auf die Registerkarte Cert. Suchen Sie das Roadwarrior Zertifikat für L2TP heraus. IT - Made in Germany 110

111 14 VPN - Roadwarrior Verbindungen In der Zeile des betreffenden Zertifikats können Sie mit folgenden Buttons das Zertifikat exportieren. Je nach Zielsystem müssen Sie auswählen, ob die Zertifikate im PEM Format (.pem) oder in der Personal Information Exchange Syntax (.p12) gesichert werden sollen. Für den Windows L2TP VPN Client wählen Sie das PKCS #12 Format und klicken somit auf das rechte Icon. Geben Sie im folgenden Dialog ein Kennwort ein und klicken Sie auf Export. Wählen Sie in der folgenden Browserabfrage Speichern. Das Zertifikat wird auf ihrem lokalen Rechner gespeichert. Dieses können Sie an den Roadwarrior übergeben. Abb. 145 Kennworteingabe für die PKCS #12 Datei IT - Made in Germany 111

112 14 VPN - Roadwarrior Verbindungen 14.2 Konfiguration des Windows-L2TP-VPN Roadwarriors Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor: Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPN- Verbindung. (Unter Windows XP Start Systemsteuerung Netzwerk- und Internetverbindungen Neue Verbindung erstellen) Abb. 146 Verbindungsassistent starten Abb. 147 Verbindungstyp auswählen Abb. 148 Art der Verbindungsherstellung IT - Made in Germany 112

113 14 VPN - Roadwarrior Verbindungen Abb. 149 Namen vergeben Abb. 150 Servernamen oder IP eingeben Abb. 151 Einrichtung abschließen IT - Made in Germany 113

114 14 VPN - Roadwarrior Verbindungen Eigenschaften der VPN-Verbindung einstellen Gehen Sie folgendermaßen vor: Nach dem Fertigstellen erscheint der Dialog Verbindung herstellen. Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen. Abb. 152 Eigenschaften bearbeiten In der Registerkarte Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN. Abb. 153 Netzwerkeigenschaften bearbeiten Abb. 154 Adresseinstellungen IT - Made in Germany 114

115 14 VPN - Roadwarrior Verbindungen Stellen Sie in Eigenschaften Erweitert noch die Option Standardgateway für das Remotenetzwerk verwenden ein. Abb. 155 Verwendung des Standardgateways Importieren des Clientzertifikats über die Managementkonsole (MMC) Gehen Sie folgendermaßen vor: Klicken Sie bitte auf Start Ausführen und starten die MMC. Abb. 156 Starten der Managementkonsole IT - Made in Germany 115

116 14 VPN - Roadwarrior Verbindungen Gehen Sie über Datei Snap-In hinzufügen/entfernen. Abb. 157 Managementkonsole Abb. 158 Konsolenstammzertifikat Abb. 159 Snap-In auswählen IT - Made in Germany 116

117 14 VPN - Roadwarrior Verbindungen Abb. 160 Verwaltungskonto auswählen Abb. 161 Computer auswählen Abb. 162 Snap-In fertigstellen Jetzt kann das Zertifikat, wie in der folgenden Abbildung dargestellt, importiert werden. Starten Sie hierzu, wie im Bild angegeben, den Import-Manager. Abb. 163 Import-Manager starten IT - Made in Germany 117

118 14 VPN - Roadwarrior Verbindungen Laden Sie das Zertifikat. Sie müssen dann das von Ihnen gewählte Kennwort für das Zertifikat eingeben, den Speicherort des Zertifikats angeben und den Assistenten mit Fertig stellen beenden. Abb. 164 Import-Assistent Schritt 1 Abb. 165 Import-Assistent Schritt 2 Abb. 166 Import-Assistent Schritt 3 Abb. 167 Import-Assistent Schritt 4 Abb. 168 Import-Assistent abschließen IT - Made in Germany 118

119 14 VPN - Roadwarrior Verbindungen Aktualisieren Sie mit der Taste F5 die Anzeige, um das importierte Zertifikat anzeigen zu lassen. Abb. 169 Ansicht des importierten Zertifikats Mit einem Doppelklick auf das Zertifikatssymbol können noch weitere Informationen abgerufen werden, wie z. B. den Aussteller und die Gültigkeit. Abb. 170 Zertifikatsinformationen IT - Made in Germany 119

120 14 VPN - Roadwarrior Verbindungen Starten der L2TP-Verbindung Gehen Sie folgendermaßen vor: Jetzt können Sie die L2TP-Verbindung starten. Klicken Sie auf die Verknüpfung der L2TP-Verbindung. Geben Sie den Benutzernamen und das Kennwort ein. Anschließend klicken Sie auf Verbinden. Abb. 171 Verbindung starten IT - Made in Germany 120

121 14 VPN - Roadwarrior Verbindungen 14.3 Roadwarrior VPN via PPTP VPN PPTP Zuerst nehmen Sie die allgemeinen PPTP Einstellungen vor. Klicken Sie in der Navigationsleiste auf das Icon VPN und dort auf den Eintrag PPTP. Es öffnet sich der Dialog VPN PPTP. Auf der Registerkarte General tragen Sie im Feld Local PPTP IP eine IP für das lokale PPTP Interface ein. Den Adressbereich legen Sie in den Feldern PPTP Address Pool fest. In dem linken Feld die IP-Adresse des Subnetzes und gleichzeitig der Anfang des Bereiches und rechts das Ende des Bereiches. Die Einstellung für die MTU (maximum transmission unit) belassen Sie. Entscheiden Sie, ob Sie zur Authentifizierung einen Radius Server benutzen möchten. Dann müssen Sie die Einstellungen unter Authentication External Authentication Radius anpassen. Auf der Registerkarte NS/WINS können Sie die IP-Adresse des primären und sekundären Nameservers sowie die IP-Adressen des primären und sekundären WINS (Windows Internet Name Service) Servers (soweit verwendet) eintragen. Bestätigen Sie Ihre Eingaben mit Save. Abb. 172 Adressbereich einstellen Abb. 173 Nameserver IP-Adressen angeben IT - Made in Germany 121

122 14 VPN - Roadwarrior Verbindungen Netzwerkobjekt anlegen Jetzt müssen Sie für das PPTP Netz noch ein Netzwerkobjekt erstellen. Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Punkt Network Objects. Es öffnet sich das Fenster Network Objects. Klicken Sie auf den Button Add VPN Host/Net. Es öffnet sich der Dialog New VPN Host/Net Object. Im Feld Name tragen Sie einen Namen für das PPTP Netz ein. Wählen bei Type den Eintrag Network. Die IP-Address ist die IP-Adresse des PPTP Interfaces. Als Netmask ist eine entsprechende Netzmaske zu wählen. Wählen Sie im Feld Zone die Zone PPTP aus. In der Übersicht wird als Zone vpn-ppp angezeigt, unter der L2TP und PPTP zusammengefasst sind. Speichern Sie das neue Objekt mit Save. Abb. 174 PPTP Netz anlegen Abb. 175 Netzwerkobjekte Übersicht IT - Made in Germany 122

123 14 VPN - Roadwarrior Verbindungen Regel anlegen Erweitern Sie jetzt den Regelsatz. Klicken Sie im Navigationsmenü auf den Punkt Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenster Portfilter. Ab Werk ist schon eingestellt, dass das Internet per PPTP auf das External Interface zugreifen darf. Es fehlt noch, dass das PPTP Netz auf das interne Netzwerk zugreifen darf. Klicken Sie dazu auf den Button Add. Es öffnet sich der Dialog Add / Edit Portfilter Rule. Auf der Registerkarte General wählen Sie aus der Liste Source das eben angelegte PPTP Netzwerkobjekt aus. In der Liste Service klicken Sie auf any für jeglichen Verkehr. In der Liste Destination wählen Sie das Netzwerkobjekt Internal Network. Wenn Sie die Ereignisse protokollieren möchten, wählen Sie einen Protokollierungstyp im Feld Logging. Sie können noch eine Beschreibung im Feld Description einfügen. Auf der Registerkarte Time, können Sie die Regel zeitlich begrenzen. Klicken Sie zum Anlegen der Regel auf Save. Abb. 176 Regel für den Zugriff auf das interne Netzwerk anlegen IT - Made in Germany 123

124 14 VPN - Roadwarrior Verbindungen Benutzer anlegen Erstellen Sie nun einen PPTP Nutzer. Klicken Sie in der Navigationsleiste auf den Punkt Authentication und hier auf den Punkt Users. Es erscheint das Fenster Users. Klicken Sie auf Add. Es erscheint der Dialog Add / Edit User. Geben Sie auf der Registerkarte General im Feld Login einen Login Namen für den Benutzer ein. Geben Sie weiterhin den Namen des Nutzers im Feld Name an und ein Kennwort im Feld New password, welches Sie unter Confirm password wiederholen. Wählen Sie als Gruppenzugehörigkeit im Bereich Groups VPN PPTP aus. Wechseln Sie auf die Registerkarte VPN. Geben Sie im Feld VPN PPTP IP Address eine IP-Adresse aus dem PPTP Adressbereich ein, die dem Roadwarrior im PPTP Netz zugewiesen werden soll. Diese Angabe ist nur optional, da dem Roadwarrior ansonsten automatisch eine IP- Adresse aus dem Adressbereich zugewiesen wird. Hiermit können Sie dem Nutzer aber immer dieselbe IP-Adresse zuweisen. Die IP-Adresse muss auch nicht aus dem Adressbereich gewählt werden. Dann muss für diese Adresse aber noch ein Netzwerkobjekt angelegt werden und eine Regel, die erlaubt, dass die Adresse auf das interne Netzwerk zugreifen darf. Auf der Registerkarte Extras können Sie noch weitere Optionen zum Kennwort setzen. (Nutzer darf das Kennwort ändern; minimale Länge des Kennworts; Muss- Bestandteile des Kennworts: Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben) Speichern Sie die Daten des Nutzers mit Save. Abb. 177 allgemeine Nutzereinstellungen Abb. 178 feste IP im VPN Tunnel IT - Made in Germany 124

125 14 VPN - Roadwarrior Verbindungen Abb. 179 Kennwort Optionen Dienststatus überprüfen Überprüfen Sie abschließend den Status des benötigten Dienstes. Für PPTP VPN wird der Dienst PPTP Server benötigt. Überprüfen Sie dann auf der Startseite im Bereich Applications den Status des Dienstes PPTP Server. Erscheint hinter dem Dienst ein grüner Kreis, so ist der Dienst aktiviert. Ist der Kreis grau, müssen Sie den Dienst noch aktivieren. IT - Made in Germany 125

126 14 VPN - Roadwarrior Verbindungen Klicken Sie in der Navigationsleiste auf das Icon Proxies und hier auf den Eintrag Service Status. Es erscheint die Liste Service Status. Ändern Sie den Status der Dienste PPTP Server von Off zu On. Speichern Sie die Einstellungen mit Save. Führen Sie einen Reload der Startseite aus und überprüfen den Status der Dienste erneut. Abb. 181 Statusanzeige der Dienste Abb. 180 Dienst aktivieren 14.4 Konfiguration des PPTP-VPN-Roadwarriors unter Windows Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor: Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPN- Verbindung. (Unter Windows XP Start Systemsteuerung Netzwerk- und Internetverbindungen Netzwerkverbindungen Neue Verbindung erstellen) IT - Made in Germany 126

127 14 VPN - Roadwarrior Verbindungen Abb. 182 Verbindungsassistent Schritt 1 Abb. 183 Verbindungsassistent Schritt 2 Abb. 184 Verbindungsassistent Schritt 3 Abb. 185 Verbindungsassistent Schritt 4 Abb. 186 Verbindungsassistent Schritt 5 Abb. 187 Verbindungsassistent abschließen IT - Made in Germany 127

128 14 VPN - Roadwarrior Verbindungen Eigenschaften der VPN-Verbindung einrichten Gehen Sie folgendermaßen vor: Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen. Wählen Sie anschließend in den Eigenschaften Sicherheit Netzwerk. Abb. 188 Dialog Verbindung herstellen Abb. 189 Eigenschaften der Verbindung Auf der Registerkarte Netzwerk stellen Sie den VPN-Typ auf PPTP-VPN ein. Stellen Sie in Eigenschaften Erweitert noch die Option Standardgateway für das Remotenetzwerk verwenden ein. Jetzt können Sie die PPTP-Verbindung starten. Abb. 190 TCP/IP Eigenschaften Abb. 191 Gateway Eigenschaften IT - Made in Germany 128

129 14 VPN - Roadwarrior Verbindungen 14.5 Roadwarrior VPN via SSL VPN Das SSL VPN benutzt zur Verschlüsselung das Secure Socket Layer Protokoll (SSL) und beruht auf OpenVPN OpenVPN Zertifikate erstellen Um eine Verbindung anzulegen, müssen Sie zunächst ein OpenVPN Serverzertifikat und für jeden Roadwarrior ein OpenVPN Clientzertifikat erzeugen. Klicken Sie in der Navigationsleiste auf das Icon Authentication und dort auf den Eintrag Certificates. Wenn noch keine CA angelegt worden ist, muss zuerst diese auf der Registerkarte CA angelegt werden. Klicken Sie auf Add und geben Sie nacheinander die geforderten Werte ein. Zum Speichern der CA klicken Sie auf den Button Save. Abb. 192 Certification Authority anlegen Um ein Zertifikat anzulegen, öffnen Sie den Dialog Certificates erneut und wechseln auf die Registerkarte Certs. Klicken Sie auf Add und geben nacheinander die geforderten Werte ein. Als Zertifikatstyp wählen Sie OpenVPN Server aus. Speichern Sie das Zertifikat mit Save. Legen Sie auf diese Weise jeweils ein Zertifikat für jeden Roadwarrior an. Wählen Sie hierbei als Zertifikatstyp OpenVPN Client. IT - Made in Germany 129

130 14 VPN - Roadwarrior Verbindungen Abb. 193 Server Zertifikat für SSL VPN Abb. 194 Client Zertifikat für SSL VPN VPN SSL Nehmen Sie die allgemeinen Einstellungen für das SSL VPN vor. Klicken Sie in der Navigationsleiste auf das Icon VPN und hier auf den Eintrag SSL VPN. Es öffnet sich der Dialog SSL VPN. Im Feld SSL VPN IP ist schon die voreingestellte IP-Adresse eingetragen. Das SSL VPN benutzt zur Verbindung das tun0 Interface, welches werksseitig auf die IP- Adresse eingestellt ist. Wenn Sie die SSL VPN IP hier ändern, so passen Sie das Interface tun0 entsprechend an. Die Einstellungen für den Port und das Protokoll sollten Sie auf den Standardwerten belassen. Wählen Sie im Feld SSL VPN Certificate das zuvor erstellte OpenVPN Serverzertifikat. Speichern Sie Ihre Einstellungen mit Save. Abb. 195 allgemeine Einstellungen für das SSL VPN angeben IT - Made in Germany 130

131 14 VPN - Roadwarrior Verbindungen Netzwerkobjekt anlegen Jetzt müssen Sie für das SSL VPN Netz noch ein Netzwerkobjekt erstellen. Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Punkt Network Objects. Es öffnet sich das Fenster Network Objects. Klicken Sie auf den Button Add VPN Host/Net. Es öffnet sich der Dialog New VPN Host/Net Object. Im Feld Name tragen Sie einen Namen für das SSL VPN Netz ein. Wählen Sie bei Type den Eintrag Network. Die IP-Address ist die IP-Adresse des SSL VPN Interfaces. Als Netmask ist eine entsprechende Netzmaske zu wählen. Wählen Sie im Feld Zone die Zone SSL VPN aus. In der Übersicht wird als Zone vpn-openvpn angezeigt, da diese Verbindungsart auf OpenVPN basiert. Speichern Sie das neue Objekt mit Save. Abb. 196 SSL VPN Netz anlegen Abb. 197 Übersicht der Netzwerkobjekte Regel anlegen Erweitern Sie jetzt den Regelsatz. Klicken Sie im Navigationsmenü auf den Punkt Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenster Portfilter. Ab Werk ist schon eingestellt, dass das Internet per openvpn_udp auf das External Interface zugreifen darf. Es fehlt noch, dass das SSL VPN Netz auf das interne Netzwerk zugreifen darf. Klicken Sie dazu auf den Button Add. Es öffnet sich der Dialog Add / Edit Portfilter Rule. IT - Made in Germany 131

132 14 VPN - Roadwarrior Verbindungen Auf der Registerkarte General wählen Sie aus der Liste Source das eben angelegte SSL VPN Netzwerkobjekt aus. In der Liste Service klicken Sie auf any für jeglichen Verkehr. In der Liste Destination wählen Sie das Netzwerkobjekt Internal Network. Wenn Sie die Ereignisse protokollieren möchten, wählen Sie einen Protokollierungstyp im Feld Logging. Sie können noch eine Beschreibung im Feld Description einfügen. Auf der Registerkarte Time, können Sie die Regel noch zeitlich begrenzen. Klicken Sie zum Anlegen der Regel auf Save. Abb. 198 Regel für den Zugriff auf das interne Netzwerk anlegen Benutzer anlegen Erstellen Sie nun eine SSL VPN Nutzer. Klicken Sie in der Navigationsleiste auf den Punkt Authentication und hier auf den Punkt Users. Es erscheint das Fenster Users. Klicken Sie auf Add. Es erscheint der Dialog Add / Edit User. Geben Sie auf der Registerkarte General im Feld Login einen Login Namen für den Benutzer ein. Geben Sie weiterhin den Namen des Nutzers im Feld Name an und ein Kennwort im Feld New password, welches Sie unter Confirm password wiederholen. Wählen Sie als Gruppenzugehörigkeit im Bereich Groups SSL VPN aus. Wechsel Sie auf die Registerkarte VPN. Geben Sie im Feld SSL VPN IP Address eine IP-Adresse aus dem SSL VPN Adressbereich ein, die dem Roadwarrior im SSL VPN Netz zugewiesen werden soll. Hierbei sind nur bestimmte IP-Adressen erlaubt. Der letzte Teil der IP-Adresse ( xxx) muss folgendes Kriterium erfüllen: IT - Made in Germany 132

133 14 VPN - Roadwarrior Verbindungen Die Zahl ist ein Vielfaches von 4 minus 2. x = (y * 4) 2 Bsp.: (10 * 4 ) 2 = 38 Werte aus folgender Menge sind also möglich: { 2; 6; 10; 14; ; 246; 250; 254} Auf der Registerkarte Extras können Sie noch weitere Optionen zum Kennwort setzen. (Nutzer darf das Kennwort ändern; minimale Länge des Kennworts; Muss- Bestandteile des Kennworts: Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben) Speichern Sie die Daten des Nutzers mit Save. Abb. 199 allgemeine Nutzereinstellungen Abb. 200 feste IP im VPN Tunnel Abb. 201 Kennwort Optionen IT - Made in Germany 133

134 14 VPN - Roadwarrior Verbindungen Dienststatus überprüfen Überprüfen Sie abschließend den Status des benötigten Dienstes. Für SSL VPN wird der Dienst SSL VPN Server benötigt. Überprüfen Sie dann auf der Startseite im Bereich Applications den Status des Dienstes SSL VPN Server. Erscheint hinter dem Dienst ein grüner Kreis, so ist der Dienst aktiviert. Ist der Kreis grau, müssen Sie den Dienst noch aktivieren. Klicken Sie in der Navigationsleiste auf das Icon Proxies und hier auf den Eintrag Service Status. Es erscheint die Liste Service Status. Ändern Sie den Status der Dienste SSL VPN Server von Off zu On. Speichern Sie die Einstellungen mit Save. Führen Sie einen Reload der Startseite aus und überprüfen den Status der Dienste erneut. Abb. 203 Statusanzeige der Dienste Abb. 202 Dienst aktivieren IT - Made in Germany 134

135 14 VPN - Roadwarrior Verbindungen Zertifikat exportieren Die nötigen Einstellungen auf der Server Seite sind nun vorgenommen. Bevor die Einstellungen auf der Client Seite sprich dem Roadwarrior vorgestellt werden, müssen noch die CA und das Roadwarrior-Zertifikat im PEM Format exportiert werden. Klicken Sie in der Navigationsleiste auf das Icon Authentication und hier auf den Eintrag Certificates. Wählen Sie in der Registerkarte CA die CA mit der Sie die SSL VPN Zertifikate signiert haben. Wenn Sie unsicher sind, schauen Sie auf der Registerkarte Certs bei den betreffenden Zertifikaten in der Spalte CA nach. Exportieren Sie die CA mit den folgendem Button. Wählen Sie in der folgenden Browserabfrage Speichern. Das Zertifikat wird auf ihrem lokalen Rechner gespeichert. Wechsel Sie auf die Registerkarte Cert. Suchen Sie das Roadwarrior Zertifikat für SSL VPN. In der Zeile des betreffenden Zertifikats exportieren Sie mit dem folgenden Button das Zertifikat. Wählen Sie in der folgenden Browserabfrage Speichern. Das Zertifikat wird auf ihrem lokalen Rechner gespeichert. Dieses können Sie an den Roadwarrior übergeben. Beachten Sie: Das das Stammzertifikat im PEM Format exportieren wird, wird auch der Privat Key des Stammzertifikats mit in der PEM-Datei gespeichert. Den Private Key der CA sollten Sie nie an Clients weitergeben, um Missbrauch vorzubeugen. Löschen Sie daher den Private Key aus der zu exportierenden Datei. IT - Made in Germany 135

136 14 VPN - Roadwarrior Verbindungen Private Key aus der CA löschen Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen von Ihnen erstellten Zertifikaten unterscheiden. Suchen Sie die exportierte Datei auf ihrem lokalen Rechner heraus und klicken sie mit der rechten Maustaste auf die Datei. Es öffnet sich ein Kontextmenü. Abb. 204 exportiertes Stammzertifikat öffnen Klicken Sie auf Öffnen. Geben Sie im nächsten Dialog an Programm aus der Liste wählen und bestätigen Sie mit OK. Wählen Sie aus der Liste einen Editor z.b. den Microsoft Editor. Entfernen Sie ggf. den Haken bei Dateityp immer mit dem ausgewählten Programm öffnen. Bestätigen Sie mit OK. Abb. 205 Programm zum Öffnen wählen IT - Made in Germany 136

137 14 VPN - Roadwarrior Verbindungen Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei. Entfernen Sie den markierten Bereich (z.b. mit Drücken der Taste Entf bzw. del). Speichern Sie dann die Datei. Die so modifizierte Datei können Sie weitergeben. Abb. 206 Private Key markieren und entfernen Abb. 207 gekürzte Version abspeichern IT - Made in Germany 137

138 14 VPN - Roadwarrior Verbindungen 14.6 OpenVPN Client auf einem Windows-Rechner installieren Um sich von einem externen Rechner mit der Firewall über OpenVPN zu verbinden, müssen Sie OpenVPN auf Ihr System installieren. Auf der Internetadresse können Sie die aktuelle Version von OpenVPN herunterladen. In dem Paket ist auch ein virtuelles Interface enthalten, was zum Aufbau von OpenVPN Verbindungen benötigt wird. Von Mathias Sundman ist ein Windows Client für OpenVPN entwickelt worden, der unter der Adresse heruntergeladen werden kann. Auf der Seite finden Sie auch eine deutsche Übersetzung des Clienten Installieren von OpenVPN Laden Sie sich den Windows Installer im Software Download -Bereich herunter und führen die Installationsroutine mit einem Doppelklick auf die heruntergeladene Datei aus. Abb. 208 Startdialog des OpenVPN Installers IT - Made in Germany 138

139 14 VPN - Roadwarrior Verbindungen Folgen Sie den Anweisungen der Installationsroutine. Bestätigen Sie die Frage, ob der TAP-Win32 Adapter V8 installiert werden soll, obwohl er den Windows-Logo-Test nicht bestanden hat, mit einem Klick auf den Button Installation fortsetzen. Abb. 209 Installieren des virtuellen Interfaces bestätigen Beenden Sie die Installation mit einem Klick auf Finish. Abb. 210 Installation Beenden Unter Ihren Netzwerkverbindungen sollte jetzt ein Eintrag für den TAP-Win32Adapter V8 zu finden sein. Abb. 211 Liste der Netzwerkverbindungen IT - Made in Germany 139

140 14 VPN - Roadwarrior Verbindungen Einbinden der OpenVPN GUI (Graphical User-Interface) Kopieren Sie die Datei openvpn-gui-versionsnummer-de.exe in das bin Verzeichnis des OpenVPN Programms (z.b. C:\Programme\OpenVPN\bin). Anschließend können Sie noch eine Verknüpfung der GUI auf dem Desktop bzw. im Startmenü erstellen. Starten Sie die OpenVPN GUI über das Startmenü oder über die Verknüpfung auf dem Desktop oder über die Kopie im bin Verzeichnis von OpenVPN. In der Windows System Tray Leiste wird ein neues Icon angezeigt. Abb. 212 Icon im System Tray Das zweite Icon zeigt, dass das virtuelle Interface nicht aktiv ist. Diese Icon wird nur angezeigt, wenn dies in den Optionen des Interfaces angegeben ist. Abb. 213 Icon PopUp Menü Mit einem Rechtsklick auf das Icon wird ein Menü angezeigt, über das bislang nur Proxy- Einstellungen vorgenommen werden können. Es fehlt eine Konfiguration, über die eine Verbindung zur Firewall hergestellt werden kann. Diese ist ebenfalls im Bereich Software Download im User-Interface verfügbar. Diese Konfiguration ist im Folgenden abgebildet. IT - Made in Germany 140

141 14 VPN - Roadwarrior Verbindungen ############### Client Konfiguration ############### # OpenVPN Standard Client Konfiguration # Kommentare werden mit vorangestellter # Raute(#) oder Semikolon(;) gekennzeichnet. client dev tun tun-mtu 1500 # fragment 1300 mssfix proto udp float # Verbindungsdaten des Servers # Geben Sie nach remote die IP-Adresse # des Servers ein sowie den Port (default: 1194) remote your.vpnserver 1194 nobind persist-key persist-tun # Pfad zum Stammzertifikat und zum Client-Zertifikat # Exportieren Sie das Stammzertifikat (CA.pem) aus der Firewall im PEM Format # und löschen Sie den Privat-Key. # Exportieren Sie das Clientzertifikat im PEM Format. ca E:/OpenVPNPortable/data/config/CA.pem cert E:/OpenVPNPortable/data/config/ovClient_max.pem key E:/OpenVPNPortable/data/config/ovClient_max.pem # Beachten Sie: Sind im Pfad Leerzeichen enthalten, muss # der Pfad in Anführungszeichen ( Pfad zum Zertifikat ) angegeben werden. # Mit dieser Option akzeptiert der Client nur Zertifikate vom Server, # die mit dem Zusatz server versehen sind. Dies erschwert einen #. Man-in-the-middle Angriff. #ns-cert-type server comp-lzo verb 3 mute 20 auth-nocache auth-user-pass # Wenn Sie einen Proxy benutzen, entfernen Sie die Kommentarzeichen # und geben Sie die Server IP und Port ein. # Oder Sie nutzen die Einstellungen der OpenVPN-GUI. #http-proxy server_ip port #http-proxy-retry IT - Made in Germany 141

142 14 VPN - Roadwarrior Verbindungen Speichern Sie diese Datei in den config Ordner von OpenVPN. Die Datei muss die Endung ovpn haben. Bsp: C:\Programme\OpenVPN\config\client.ovpn Legen Sie in dem config Ordner einen weiteren Ordner keys an, soweit dieser noch nicht existiert und kopieren Sie in diesen Ordner die CA und das Zertifikat des Roadwarriors. Dies ist der Standardordner für die Zertifikate, diesen Pfad müssen Sie in der Konfigurationsdatei angegeben. Sie können natürlich auch einen anderen Speicherort wählen, sie müssen dann die Konfigurationsdatei entsprechend anpassen. Außerdem müssen Sie die Zeile remote your.vpnserver 1194 anpassen. Geben Sie hier zwischen remote und der Portangabe die IP des Servers ein, mit dem Sie sich verbinden wollen. Bsp: remote Verbindung mit der Firewall herstellen Wenn Sie jetzt mit einen Rechtsklick auf das Icon im System Tray klicken, sehe Sie, dass das Menü erweitert wurde. Abb. 214 vollständiges Icon PopUp Menü Drücken Sie die Schaltfläche Verbinden. Es öffnen sich das Logging-Fenster sowie die Login-Maske. IT - Made in Germany 142

143 14 VPN - Roadwarrior Verbindungen Abb. 215 Logging Fenster sowie Login Dialog Tragen Sie in der Login-Maske den Benutzernamen und das Kennwort des OpenVPN Benutzers ein. Eine erfolgreiche Anmeldung am System wird Ihnen mit folgender Meldung bestätigt. Abb. 216 Verbindung wird bestätigt Solange das Icon zwei grüne Monitore anzeigt, ist die Verbindung aktiv. Zeigt das Icon zwei gelbe Monitore, wird die Verbindung aufgebaut. Zwei rote Monitore stellen dar, dass keine Verbindung besteht. Beim Überfahren des Icons mit der Maus gibt ein PopUp Fenster nochmal die Verbindungsdaten an. Abb. 217 PopUp Tooltip IT - Made in Germany 143

144 14 VPN - Roadwarrior Verbindungen Punkte des Kontextmenüs Bezeichnung Verbinden Connect Trennen Disconnect Status Show Status Log Information View Log Konfiguration anpassen Edit Config Passwort ändern Change Password Proxy Einstellungen Proxy Settings Über About Beenden Exit Erklärung Startet den Verbindungsaufbau Beendet die Verbindung. Zeigt die Logging Meldungen der aktuellen Verbindung. Zeigt das gesamte Logging Protokoll der letzten Verbindung bzw. der aktuellen Verbindung, wenn eine Verbindung aktiv ist. Öffnet die Konfigurationsdatei in einem Editor, in dem Optionen direkt angepasst werden können. Änderungen werden erst bei einem neuen Verbindungsaubau übernommen. Verschlüsselt den Privaten Schlüssel im Zertifikat. Achtung: Unterstützt nicht das PEM-Format. Die Verschlüsselung löscht das Zertifikat aus der pem-datei. Hier können Einstellungen für eine Verbindung über einen Proxy vorgenommen werden. Einstellungen müssen so nicht in die Konfigurationsdatei geschrieben werden. Info-Fenster Beendet die OpenVPN Applikation. Abb. 218 Kontextmenü IT - Made in Germany 144

145 14 VPN - Roadwarrior Verbindungen 14.7 Portabler OpenVPN Client auf einem USB Stick nutzen Die gleiche GUI, wie im vorangegangenen Abschnitt vorgestellt, ist auch als portable Version erhältlich. Der Vorteil dabei ist, dass das Programm direkt vom USB Stick ausgeführt wird. Es wird nur das virtuelle Interface installiert, welches nach der Benutzung auch automatisch deinstalliert werden kann. Sie benötigen wegen der Installation des virtuellen Interfaces allerdings Administratorrechte, um die portable Version auszuführen. Die portable Version steht bei Sourceforge zum Herunterladen zur Verfügung (http://sourceforge.net/projects/ovpnp/). Laden Sie am besten die nicht komprimierte aktuelle Version von der oben angegebenen Internetseite herunter. Führen Sie die.exe Datei (OpenVPNPortable_version.paf.exe) mit einem Doppelklick aus. Bestätigen Sie die Windows Sicherheitsabfrage mit einem Klick auf den Button Ausführen. Während der Installationsroutine werden Sie nach einem Zielverzeichnis gefragt. Geben Sie hier Ihren USB Speicherstick an. Mit dem Button Install wird OpenVPNPortable auf ihren Stick installiert. Abb. 219 USB Speicherstick als Installationsziel angeben In dem Ordner OpenVPNPortable, der sich jetzt auf dem USB Speicherstick befindet, liegt der Ordner data. Hier finden Sie wiederum den Ordner config. Legen Sie hier die angepasste Client Konfiguration ab. Legen Sie in dem Ordner data noch einen Ordner mit dem Namen keys an, in den Sie die CA und das Client Zertifikat ablegen. Passen Sie die Pfade für die Direktiven ca, cert und key in der Client Konfiguration entsprechend an. IT - Made in Germany 145

146 14 VPN - Roadwarrior Verbindungen Nun können Sie das Programm starten. Doppelklicken Sie im Verzeichnis OpenVPNPortable auf die Datei openvpnportable.exe. Lassen Sie von dem Programm den Treiber für das virtuelle Interface installieren. OpenVPN wird gestartet und wird als Icon in der Taskleiste angezeigt. Verwenden Sie die portable Version wie im vorherigen Kapitel beschrieben. Abb. 220 OpenVPN Programmsymbol in der Taskleiste Abb. 221 Kontextmenü von OpenVPN Portable Wenn Sie das Programm über Exit beenden, werden Sie gefragt, ob Sie den Treiber für das virtuelle Interface wieder deinstallieren wollen. Wenn Sie den Treiber installiert lassen, dann wird der nächste Startprozess schneller ausgeführt. IT - Made in Germany 146

147 15 VPN Site-to-Site Verbindung 15 VPN Site-to-Site Verbindung Per VPN können Sie auch zwei entfernte Netzwerke miteinander verbinden. In diesem Beispiel wird die Anbindung per IPSec vollzogen IPSec Wizard Starten Sie den VPN Wizard über die Navigationsleiste VPN und den Eintrag IPSec Wizard. Wählen Sie im ersten Schritt den Verbindungsart Site to Site. Drücken Sie Next. Im zweiten Schritt geben Sie der Verbindung einen Namen. Drücken Sie Next. Abb. 222 Verbindungsart wählen Abb. 223 Verbindung einen Namen geben Geben Sie die IP-Adresse oder den Hostnamen des entfernten Gateways an. Wenn die Gegenstelle einen DynDNS Dienst verwendet, dann aktivierte Sie die Checkbox Hostname is DynDNS. Klicken Sie auf Next. Die Authentifizierung wird bei dieser Art der Verbindung durch eine Preshared Key vorgenommen. Geben Sie diesen ein. Klicken Sie Next. Abb. 224 IP-Adresse oder Hostname eingeben Abb. 225 PKS eingeben IT - Made in Germany 147

148 15 VPN Site-to-Site Verbindung Zuletzt geben Sie an, welche Subnetze Sie über die VPN Verbindung miteinander kommunizieren lassen wollen. Klicken Sie auf Finish, um den Wizard zu beenden. Abb. 226 Subnetze eintragen Damit die neue Verbindung auf der Startseite angezeigt wird, müssen sie die Seite evtl. neu laden. Drücken Sie die Schaltfläche Reload. Abb. 227 Übersicht der bestehenden IPSec Verbindungen 15.2 Netzwerkobjekt und Regel anlegen Damit die Clients der beiden Netzwerke miteinander kommunizieren können, müssen entsprechende Regeln angelegt werde. Damit diese Regeln angelegt werden können, muss ein Netzwerkobjekt für das entfernte Netzwerk angelegt werden. Klicken Sie in der Navigationsleiste auf das Icon Firewall und hier auf den Eintrag Network Objects. Es öffnet sich das Fenstern Network Objects. Klicken Sie auf Add VPN Host/Net, um ein Netzwerkobjekt hinzuzufügen. Es öffnet sich der Dialog New VPN Host/Net Object. IT - Made in Germany 148

149 15 VPN Site-to-Site Verbindung Geben Sie im Feld Namen einen Namen für das neue Netzwerkobjekt an. Wählen Sie als Typ Network aus. Geben Sie unter IP Address die IP-Adresse des entfernten internen Netzwerkes an und wählen Sie die passende Netzwerkmaske. Als Zone wählen Sie IPSec. Speichern Sie das Netzwerkobjekt mit Save. Abb. 228 Objekt für das entferne Netzwerk Um jetzt die passende Regel anzulegen, schließen Sie das Fenster Network Objects. Ab Werk ist schon eine Regel angelegt, die IPSec Verbindungen aus dem Internet zulässt. Sie müssen jetzt noch Regeln anlegen, damit die Netzwerke aufeinander zugreifen dürfen. Klicken Sie in der Navigationsleiste auf das Icon Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenstern Portfilter. Wählen Sie in der Liste Source das interne Netzwerk. Als Service wählen Sie any. Bestimmen Sie in der Liste Destination als Ziel das entfernte Netzwerk. Sie können noch die Logintensität, die Beschreibung und eine Zeitbeschränkung angeben. Klicken Sie auf Save, um die Regel zu speichern. Abb. 229 Zugriff vom internen Netz auf das entfernte Netz IT - Made in Germany 149

150 15 VPN Site-to-Site Verbindung Klicken Sie auf Add um eine weitere Regel anzulegen. Wählen Sie in der Liste Source das entfernte Netzwerk. Als Service wählen Sie any. Bestimmen Sie in der Liste Destination als Ziel das lokale Netzwerk. Sie können noch die Logintensität, die Beschreibung und eine Zeitbeschränkung angeben. Klicken Sie auf Save, um die Regel zu speichern. Abb. 230 Zugriff vom entfernten Netz auf das interne Netz 15.3 Dienststatus überprüfen Damit die Verbindung aufgebaut werden kann muss der Dienst IPSec aktiviert sein. Klicken Sie in der Navigationsleiste auf das Icon Poxies und dort auf den Eintrag Service Status. Aktivieren Sie den Dienst IPSec Server, indem Sie hinter dem Eintrag den Schaltfläche auf On setzen. Bestätigen Sie die Auswahl mit Save. Damit der aktuelle Status auch auf der Startseite angezeigt wird, müssen Sie die Seite evtl. neu laden. Abb. 231 Dienst IPSec Server gestartet IT - Made in Germany 150

151 15 VPN Site-to-Site Verbindung Beachten Sie: Auf dieser Seite ist die Konfiguration abgeschlossen. Auch das entfernte Netzwerk muss die Site-to-Site Verbindung einrichten, damit sich die beiden Netzwerke miteinander verbinden können. Sie können die Verbindung starten, indem Sie unter VPN Eintrag IPSec die Site-to- Site Verbindung wählen und den Button Load und danach Initiate klicken. Abb. 232 Site-to-Site Verbindung aufbauen IT - Made in Germany 151

152 16 Port Forwarding 16 Port Forwarding Hier werden Ihnen zwei Möglichkeiten geboten. Port Forwarding: Diese Option ermöglicht es eine Anfrage auf einen bestimmten Port von Netzen oder einzelnen Rechner an einen bestimmten Rechner weiterzuleiten. So kann zum Beispiel eine http Anfrage aus dem Internet gleich zum Webserver weitergeleitet werden. Dieses kann genau spezifiziert werden, da http Anfragen standardmäßig den Port 80 verwenden. Port Translation: Diese Funktion funktioniert ganz ähnlich nur wird die Anfrage nicht nur einem bestimmten Rechner zugewiesen, sondern auch an einen anderen Port als dem standardmäßigen. Die http Anfrage auf Port 80 kann somit dem Webserver auf einen beliebigen Port (z. B. 2080) weitergeleitet werden. Dabei muss der Webserver allerdings so konfiguriert sein, dass dieser http Anfragen auf Port 2080 erwartet Port Forwarding In diesem Beispiel wird demonstriert, wie eine http Anfrage aus dem Internet direkt an den Webserver in der DMZ (Demilitarisierte Zone) weitergeleitet wird. IP des DMZ Interface: IP des Webservers: Netzwerkobjekt anlegen Zuerst muss für den Webserver ein Netzwerkobjekt angelegt werden. Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Network Objects. Es öffnet sich das Fenster Network Objects. Klicken Sie auf den Button Add Host/Net. Es öffnet sich der Dialog New Host/Net Object. Geben Sie im Feld Name einen Namen für den Webserver an. Wählen Sie im Feld Type Single Host. Im Feld IP Address geben Sie die IP-Adresse des Webservers ein. Als Zone wählen Sie DMZ1. Klicken Sie auf Save, um die Einstellungen zu speichern. IT - Made in Germany 152

153 16 Port Forwarding Abb. 233 Netzwerkobjekt für den Webserver anlegen Port Forwarding Regel erstellen Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Port Forwarding. Es öffnet sich das Fenster Port Forwarding. Klicken Sie auf den Button Add. Es öffnet sich der Dialog New Port Forwarding Rule. Geben Sie im Feld Type die Art der Weiterleitung als Port Forwarding an. Unter Source wählen Sie die Quelle Internet aus. Unter Interface wird das Interface des Eingangs bestimmt. In diesem Fall eth0. Sie können hier auch die externe IP des Interfaces auswählen. Das Ziel der Anfrage wird unter Destination ausgewählt. Für dieses Beispiel der Webserver. Unter External Port wird abgefragt auf welchen Port die Anfrage eintreffen muss, damit sie umgeleitet wird. In diesem Beispiel handelt es sich um eine http Anfrage also Port 80. Wollen Sie außerdem noch https Anfragen weiterleiten, müssen Sie eine weitere Regel anlegen. Klicken Sie auf Save, um die Forwarding Regel zu speichern. Abb. 234 Regel für das Port Forwading anlegen Abb. 235 Port Forwarding für https Anfragen IT - Made in Germany 153

154 16 Port Forwarding Portfilter Regeln anlegen Die Portweiterleitung muss auch im Regelwerk eingetragen werden. Die Regel muss den Zugriff aus dem Internet über den Port 80 bzw. Port 443 auf den Webserver erlauben. Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Portfilter. Es erscheint das Fenster Portfilter. Geben Sie die Quelle der Anfrage in der Liste Source mit Internet an. Der benutzte Dienst wird in der Liste Service als http bzw. https ausgewählt. In der Liste Destination wird das Ziel der Anfrage mit Webserver angegeben. Sie können noch die Logintensität, die Beschreibung und eine Zeitbeschränkung angeben. Klicken Sie auf Save, um die Regel mit aufzunehmen. Abb. 236 Regel für den Webserverzugriff über Port 80 Abb. 237 Regel für den Webserverzugriff über Port 443 IT - Made in Germany 154

155 16 Port Forwarding 16.2 Port Translation In diesem Beispiel wird demonstriert, wie eine http Anfrage von Port 20 an den Port 80 des Webservers weitergeleitet wird. Wenn Sie einen Standardport auf einen benutzerdefinierten Port umlegen, muss dieser Port auch in der Konfiguration des jeweiligen Rechners festgelegt sein Netzwerkobjekt anlegen Zuerst muss für den Webserver ein Netzwerkobjekt angelegt werden. Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Network Objects. Es öffnet sich das Fenster Network Objects. Klicken Sie auf den Button Add Host/Net. Es öffnet sich der Dialog New Host/Net Object. Geben Sie im Feld Name einen Namen für den Webserver an. Wählen Sie im Feld Type Single Host. Im Feld IP Address geben Sie die IP-Adresse des Webservers ein. Als Zone wählen Sie DMZ1. Klicken Sie auf Save, um die Einstellungen zu speichern. Abb. 238 Netwerkobjekt für den Webserver erstellen IT - Made in Germany 155

156 16 Port Forwarding Dienst für die Port Translation definieren Da der externe Port nur über einen Dienst definiert wird, muss zuerst ein Dienst für den Port 20 erstellt werden. Klicken Sie in der Navigationsleiste auf das Icon Firewall und hier auf den Eintrag Services. Es erscheint das Fenster Services. Klicken Sie auf Add new Service. Es erscheint der Dialog New Service. Geben Sie im Feld Designation einen Namen für den Dienst ein. Wählen Sie im Feld Protocol das benutzte Protokoll. Unter Type geben Sie an, ob nur ein Port oder ein Portbereich benutzt wird. Unter Destination Port geben Sie den jeweiligen Port an. Handelt es sich um einen Portbereich, geben Sie den Anfang und das Ende des Bereichs an. Speichern Sie den neuen Dienst mit Save. Abb. 239 neuen Dienst für Port 20 anlegen IT - Made in Germany 156

157 16 Port Forwarding Port Translation Regel anlegen Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Port Forwarding. Es öffnet sich das Fenster Port Forwarding. Klicken Sie auf den Button Add. Es öffnet sich der Dialog New Port Forwarding Rule. Geben Sie im Feld Type die Art der Weiterleitung als Port Translation an. Unter Source wählen Sie die Quelle Internet aus. Unter Interface wird das Interface des Eingangs bestimmt. In diesem Fall eth0. Sie können hier auch die externe IP des Interfaces auswählen. Das Ziel der Anfrage wird unter Destination ausgewählt. Für dieses Beispiel der Webserver. Unter External Port wird abgefragt auf welchen Port die Anfrage eintreffen muss, damit sie umgeleitet wird. In diesem Beispiel handelt es sich um Port 20 also der neu angelegte Dienst http_webserver. Im Feld Original Port tragen Sie ein, auf welchen Port die Anfrage umgeleitet werden soll. In diesem Fall Port 80. Klicken Sie auf Save, um die Forwarding Regel zu speichern. Abb. 240 Port Translation von Port 20 zu 80 IT - Made in Germany 157

158 16 Port Forwarding Portfilter Regeln für die Port Translation anlegen Es muss noch eine Regel für die Port Translation angelegt werden. In diesem Beispiel muss die Regel den Zugriff aus dem Internet auf den Webserver über den Port 20 zulassen. Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Portfilter. Es erscheint das Fenster Portfilter. Geben Sie die Quelle der Anfrage in der Liste Source mit Internet an. Der benutzte Dienst wird in der Liste Service als http_webserver ausgewählt. In der Liste Destination wird das Ziel der Anfrage mit Webserver angegeben. Sie können noch die Logintensität, die Beschreibung und eine Zeitbeschränkung angeben. Klicken Sie auf Save, um die Regel mit aufzunehmen. Abb. 241 Zugriff aus dem Internet auf den Webserver über Port 20 IT - Made in Germany 158

159 17 Hide-Nat 17 Hide-Nat Unter NAT (Network Address Translation) versteht man, dass IP-Adressen des internen Netzes durch die IP-Adresse des externen Interfaces ersetzt werden. Dies ist notwendig, weil private interne IP-Adressen im Internet nicht geroutet werden. Die Appliance speichert dabei die Umsetzung, damit Antwortpakete wieder den richtigen Client im internen Netz erreichen. Ab Werk sind vier Hide-NAT Regeln vorkonfiguriert: Abb. 242 voreingestellte NAT Regeln Durch die erste Regel ersetzt die Appliance die IPs des internen Netzwerkes durch die IP des externen Interfaces, wenn Pakete ins Internet geschickt werden. Es folgen drei Exclude-Regeln. Diese werden vom NAT explizit ausgeschlossen. Pakete aus dem internen Netz werden nicht genatet, wenn das Ziel ein IPSec Netzwerk mit privaten Adressbereich ist. Private Netze sind IP-Adressbereiche, die zum privaten internen Gebrauch zur Verfügung stehen. Private Class A / Private Class B / Private Class C / Bei der Abarbeitung der NAT Regeln werden die Exclude-Regeln immer zuerst abgearbeitet, ungeachtet ihrer Position im Regelwerk. IT - Made in Germany 159

160 18 Neuaufspielen der Firewall Software 18 Neuaufspielen der Firewall Software Zum Neuinstallieren der Firewall Software benötigen Sie folgendes: USB Speicherstick (mindestens 512 MB, maximal 2 GB) Imaging Tool Firewall Software Image 18.1 Vorbereitungen Das Imaging Tool und das Image der Firewall Software sind auf folgender Adresse zum Download bereitgestellt. Installieren Sie das Imaging Tool auf einen lokalen Rechner. Folgende Sie bei der Installation den Anweisungen der Installationsroutine Bespielen des USB Speichersticks Mit Hilfe des Imaging Tools kann der USB Speicherstick mit dem Firewall Software Image bespielt werden. Starten Sie das Imaging Tool. Wählen Sie die Registerkarte Image Datenträger. Wählen Sie als Quelle das heruntergeladene Firewall Software Image. Ihr eingesteckter USB Speicherstick ist als logischer und physikalischer Datenträger aufgeführt. Wählen Sie als Ziel Ihren USB Speicherstick als physikalischen Datenträger. Klicken Sie auf den Button Image kopieren, um das Image auf den USB- Speicherstick zu übertragen. Beachten Sie: Alle vorhandenen Daten auf dem USB Speicherstick gehen unwiderruflich verloren. Sichern Sie vorher evtl. auf den Stick befindliche Daten. IT - Made in Germany 160

161 18 Neuaufspielen der Firewall Software Abb. 243 Image af USB Speicherstick übertragen 18.3 Installation der Firewall Software Schalten Sie die Appliance aus (soweit noch nicht geschehen). Stecken Sie den mit dem Firewall Software Image bespielten USB Speicherstick in des USB Port der Appliance. Starten Sie dann die Appliance mit dem Ein-/Ausschalter. Die Installation startet automatisch. Der Installationsvorgang dauert ungefähr 40 Sekunden. Nach Abschluss der Installation ertönt ein Piepton. Ziehen Sie den USB Speicherstick unmittelbar nach dem Piep aus der Appliance. Die Appliance führ automatisch einen Neustart durch. Die Firewall befindet sich jetzt wieder im Auslieferungszustand. Die interne IP-Adresse ist auf zurückgesetzt. Beachten Sie: Bei der Installation gehen alle Einstellungen und Datenbanken der vorherigen Konfiguration verloren. Vorsicht: Behandeln Sie den erstellten USB Speicherstick mit Umsicht. Falls Sie den Datenträger zum Beispiel in Ihrem Rechner vergessen sollten und es neu starten, wird beim Booten des Rechners möglicherweise das Installationsprogramm automatisch gestartet und Sie verlieren alle Daten auf Ihrem System. IT - Made in Germany 161

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...

Mehr

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Technical Note 30 Endian4eWON einrichten für VPN Verbindung Technical Note 30 Endian4eWON einrichten für VPN Verbindung TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 1 von 21 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Grundkonfiguration mit dem Securepoint Security Manager Securepoint Security Systems Version 2007nx Release 3 Inhalt 1. Verwenden des Securepoint Security Managers... 3 1.1 Starten des Securepoint

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Virtuelle Maschine in VMware für eine Securepoint Firewall einrichten Securepoint Security Systems Version 2007nx Release 3 Inhalt 1 VMware Server Console installieren... 4 2 VMware Server Console

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

How-to: VPN mit L2TP und Zertifikaten und dem Mac OSX VPN-Client. Securepoint Security System Version 2007nx. Seite 1

How-to: VPN mit L2TP und Zertifikaten und dem Mac OSX VPN-Client. Securepoint Security System Version 2007nx. Seite 1 How-to: VPN mit L2TP und Zertifikaten und dem Mac OSX VPN-Client Securepoint Security System Version 2007nx Seite 1 Inhaltsverzeichnis VPN mit L2TP und Zertifikaten und dem Mac OSX VPN-Client... 3 1 Konfiguration

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Installation Securepoint 10 Securepoint Security Systems Version 10 Inhalt 1 Wichtiger Hinweis vor der Installation... 3 2 Neue Features der Securepoint Version 10... 3 2.1 Allgemein... 3 2.2 HTTP

Mehr

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client (Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:

Mehr

VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand

VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand Diese Anleitung zeigt, wie man das IPhone per VPN IPSec Tunnel an einen bintec Router anbindet. Die VPN Verbindung wird

Mehr

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung Sie konfigurieren den OOBA, um die Webzugriffe mit HTTP ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten Benutzern

Mehr

Schnellstart. MX510 mit public.ip via OpenVPN

Schnellstart. MX510 mit public.ip via OpenVPN Schnellstart MX510 mit public.ip via OpenVPN Diese Schnellstartanleitung beschreibt die Einrichtung des MX510 bei Verwendung Ihrer eigenen SIM-Karte und der mdex Dienstleistung public.ip zum Fernzugriff.

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

EgoSecure Mail Encryption Quick Setup Guide

EgoSecure Mail Encryption Quick Setup Guide EgoSecure Mail Encryption Quick Setup Guide Inhalt 1 Einleitung... 2 2 Vorbereitung... 3 2.1 Firewall... 3 3 Inbetriebnahme... 3 3.1 Einschalten und anschließen... 3 3.2 Erstes Login... 3 3.3 Admin-Passwort

Mehr

Verwendung von DynDNS

Verwendung von DynDNS Verwendung von DynDNS Die Sunny WebBox über das Internet aufrufen Inhalt Dieses Dokument beschreibt, wie Sie Ihre Sunny WebBox von einem beliebigen Computer aus über das Internet aufrufen. Sie können Ihre

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: VPN mit OpenVPN, Zertifikaten und OpenVPN-GUI Securepoint Security Systems Version 2007nx Release 3 HowTo: VPN mit OpenVPN und Roadwarrior und Zertifikaten Version 2007nx Release 3 Inhalt 1 Einstellungen

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Sophos UTM Software Appliance

Sophos UTM Software Appliance Sophos UTM Software Appliance Quick Start Guide Produktversion: 9.300 Erstellungsdatum: Montag, 1. Dezember 2014 Sophos UTM Mindestanforderungen Hardware Intel-kompatible CPU mind. 1,5 GHz 1 GB RAM (2

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden: 1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.

Mehr

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011 FTP HOWTO zum Upload von Dateien auf Webserver Stand: 01.01.2011 Copyright 2002 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx). Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Port-Weiterleitung einrichten

Port-Weiterleitung einrichten Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden SUNNY WEBBOX Kurzanleitung zur Inbetriebnahme der Sunny WebBox unter Windows XP Version: 1.0 1 Hinweise zu dieser Anleitung Diese Anleitung unterstützt Sie bei der Inbetriebnahme der Sunny WebBox in ein

Mehr

Securepoint 10. Securepoint Security Solutions 1

Securepoint 10. Securepoint Security Solutions 1 10 10 Security Solutions 1 Produktübersicht Produktübersicht Dieses Handbuch ist für folgende Produkte gültig: VPN-Produkt TERRA VPN-Gateway Das TERRA VPN-Gateway hat einen kleineren Funktionsumfang als

Mehr

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme

Mehr

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3.

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3. Version 5.2.0 1 Einleitung Wir gratulieren Ihnen zum Kauf Ihrer SEPPmail Appliance. Dieser Quick Setup Guide soll Ihnen helfen, die Appliance ohne Komplikationen in Betrieb zu nehmen. In diesem Quick Setup

Mehr

Horstbox Professional (DVA-G3342SB)

Horstbox Professional (DVA-G3342SB) Horstbox Professional (DVA-G3342SB) Anleitung zur Einrichtung eines VoIP Kontos mit einem DPH-120S Telefon im Expertenmodus: Vorraussetzung ist, dass die Horstbox bereits mit den DSL Zugangsdaten online

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

Check_MK rail1 - Handbuch

Check_MK rail1 - Handbuch Check_MK rail1 - Handbuch i Check_MK rail1 - Handbuch Check_MK rail1 - Handbuch ii Inhaltsverzeichnis 1 Schnellstart-Anleitung 1 2 Lieferumfang 3 3 Anforderungen an die SD-Karte 4 4 Informationen zur SD-Karte

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

Anleitung. E-Mail Kontenverwaltung auf mail.tbits.net

Anleitung. E-Mail Kontenverwaltung auf mail.tbits.net Anleitung E-Mail Kontenverwaltung auf mail.tbits.net E-Mail Kontenverwaltung auf mail.tbits.net 2 E-Mail Kontenverwaltung auf mail.tbits.net Leitfaden für Kunden Inhaltsverzeichnis Kapitel Seite 1. Überblick

Mehr

Handbuch Schnelleinstieg

Handbuch Schnelleinstieg V44.01 IP kabellose Kamera / Kamera mit Kabel Handbuch Schnelleinstieg (Für MAC OS) Modell:FI8904W Modell:FI8905W ShenZhen Foscam Intelligent Technology Co., Ltd Packungsliste FI8904W/05W Handbuch Schnelleinstieg

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Technical Note 0605 ewon

Technical Note 0605 ewon PCE Deutschland GmbH Im Langel 4 59872 Meschede Telefon: 02903 976 990 E-Mail: info@pce-instruments.com Web: www.pce-instruments.com/deutsch/ Technical Note 0605 ewon 2 ewon per VPN miteinander verbinden

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung POP3 und Bridge-Modus Inhaltsverzeichnis 1 POP3 und Bridge-Modus 2 1.1 Funktionsweise von POP3 mit REDDOXX 2 1.2 Betriebsarten 3 1.2.1 Standard-Modus 3 1.2.2 Bridge-Modus 6 1.2.3

Mehr

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding? Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,

Mehr

Live Update (Auto Update)

Live Update (Auto Update) Live Update (Auto Update) Mit der Version 44.20.00 wurde moveit@iss+ um die Funktion des Live Updates (in anderen Programmen auch als Auto Update bekannt) für Programm Updates erweitert. Damit Sie auch

Mehr

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP ADSL INSTALLATION - ETHERNET Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP HostProfis ISP ADSL Installation 1 Bankverbindung: ADSL INSTALLATION

Mehr

IP kabellose Kamera / Kamera mit Kabel. Handbuch Schnelleinstieg. (Für MAC Betriebssysteme)

IP kabellose Kamera / Kamera mit Kabel. Handbuch Schnelleinstieg. (Für MAC Betriebssysteme) IP kabellose Kamera / Kamera mit Kabel Handbuch Schnelleinstieg (Für MAC Betriebssysteme) Modell:FI8916W Farbe: schwarz Modell:FI8916W Farbe: weiβ ShenZhen Foscam Intelligent Technology Co., Ltd Handbuch

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 6. FTP Proxy (Anti Virus) 6.1 Einleitung Sie konfigurieren den FTP Proxy, um den Datentransfer übers Internet zu kontrollieren. Ein FTP Server befindet sich vorkonfiguriert im Internet mit der IP-Adresse

Mehr

VPN- Beispielkonfigurationen

VPN- Beispielkonfigurationen VPN- Beispielkonfigurationen für die Router-Modelle FVS114 FVS318v1, v2, v3 FVM318 FVS328 FVS338 FVL328 FWAG114 FWG114Pv1, v2 FVG318 FDVG338 FVX538 sowie die ProSafe VPN Client Software Seite 1 von 113

Mehr

BusinessMail X.400 Webinterface Mailbox V2.6

BusinessMail X.400 Webinterface Mailbox V2.6 V2.6 Benutzerinformation (1) In der Vergangenheit mussten Sie eine Sperre für Mitteilungen aus dem Internet bzw. die Freischaltung von definierten Partner über ein Formblatt bei der zentralen Administration

Mehr

Bedienungsanleitung AliceComfort

Bedienungsanleitung AliceComfort Bedienungsanleitung AliceComfort Konfiguration WLAN-Router Siemens SL2-141-I Der schnellste Weg zu Ihrem Alice Anschluss. Sehr geehrter AliceComfort-Kunde, bei der Lieferung ist Ihr Siemens SL2-141-I als

Mehr

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden. Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum

Mehr

WIE-SERVICE24. Konfiguration Ihres Zugangs. VPN Portal. WIE-SERVICE24.com. Technical Notes. 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev.

WIE-SERVICE24. Konfiguration Ihres Zugangs. VPN Portal. WIE-SERVICE24.com. Technical Notes. 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev. WIE-SERVICE24 Konfiguration Ihres Zugangs VPN Portal WIE-SERVICE24.com Technical Notes 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev. A) Inhalt Inhalt 1 Allgemeines... 3 1.1 Information... 3 1.1

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

In Verbindung mit IP Cam D-Link DCS-7110 Tech Tipp: IP Kamera Anwendung mit OTT netdl 1000 Datenfluss 1. 2. OTT netdl leitet das Bild der IP Cam an den in den Übertragungseinstellungen definierten Server

Mehr

1. Installation / Konfiguration der Software unter Windows XP :

1. Installation / Konfiguration der Software unter Windows XP : www.damian-dandik.de NETZWERK MIT WINDOWS XP RECHNERN Netzwerk - Installation Anleitungen unter Windows XP Installation / Konfiguration. Windows XP und Windows 95/98/Me/2000 über das Netzwerk verbinden.

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

IP kabellose Kamera / Kamera mit Kabel. Handbuch Schnelleinstieg. (Für Windows Betriebssysteme)

IP kabellose Kamera / Kamera mit Kabel. Handbuch Schnelleinstieg. (Für Windows Betriebssysteme) IP kabellose Kamera / Kamera mit Kabel Handbuch Schnelleinstieg (Für Windows Betriebssysteme) Modell:FI8910W Farbe: schwarz Modell:FI8910W Farbe: weiβ ShenZhen Foscam Intelligent Technology Co., Ltd Handbuch

Mehr

Installationsanleitung. MC Router Starter Kit

Installationsanleitung. MC Router Starter Kit Installationsanleitung MC Router Starter Kit MC Router Starter Kit Diese Anleitung versetzt Sie in die Lage mit dem MC Router Starter Kit ein sicheres privates OpenVPN-Netzwerk zwischen zwei Endgeräten

Mehr

Anleitung. E-Mail Spam Filter mit Quarantäne Eine kurze Funktionsübersicht. Internet- & Netzwerk-Services

Anleitung. E-Mail Spam Filter mit Quarantäne Eine kurze Funktionsübersicht. Internet- & Netzwerk-Services Anleitung E-Mail Spam Filter mit Quarantäne Internet- & Netzwerk-Services 1. Anmeldung Die Anmeldung erfolgt über: http://mailadmin.tbits.net Jeder Benutzer meldet sich mit der E-Mail-Adresse als Benutzername

Mehr

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014

Sophos Anti-Virus. Felizitas Heinebrodt. Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg. Version 12 September 2014 Sophos Anti-Virus Felizitas Heinebrodt Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg Version 12 September 2014 DokID: sophos Vers. 12, 20.08.2015, RZ/THN Informationen des

Mehr

Bedienungsanleitung Modbus-LAN Gateway

Bedienungsanleitung Modbus-LAN Gateway Bedienungsanleitung Modbus-LAN Gateway Bedienungsanleitung Modbus-LAN Gateway Inhalt 1. Starten der Konfigurationsoberfläche des MLG... 3 2. Konfiguration MLG... 4 2.1. Network Settings... 4 2.1.1 Statische

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen.

Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen. Infoblox GUI Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen. Inhalt 1. Einleitung... 2 2. Login / Logout ins GUI... 2 3. Assign Fixed IP... 4 4. Add Host... 6

Mehr

Anleitung zur Inbetriebnahme des Webservers Einrichten einer Website

Anleitung zur Inbetriebnahme des Webservers Einrichten einer Website Anleitung zur Inbetriebnahme des Webservers Einrichten einer Website Mit dieser Anleitung soll das Einrichten eines Webservers auf dem Betriebssystem Server 2008 R2 sowie das anschließende in Betrieb nehmen

Mehr

Installation des edu- sharing Plug- Ins für Moodle

Installation des edu- sharing Plug- Ins für Moodle Installation des edu- sharing Plug- Ins für Moodle [edu-sharing Team] [Dieses Dokument beschreibt die Installation und Konfiguration des edu-sharing Plug-Ins für das LMS Moodle.] edu- sharing / metaventis

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail 10.00. Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail

Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail 10.00. Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen um Ihren Mailclient zu konfigurieren

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

Bedienungsanleitung htp Net Business VPN Remote Access

Bedienungsanleitung htp Net Business VPN Remote Access Liebe Kundin, lieber Kunde, Wir freuen uns, dass Sie sich für htp Net Business VPN RemoteAccess entschieden haben. Die Leistungen dieses Produkts sind speziell auf Ihre Anforderungen als Geschäftskunde

Mehr

Arbeiten mit UAG. Inhaltsverzeichnis. 1. Einleitung. 2. Voraussetzungen

Arbeiten mit UAG. Inhaltsverzeichnis. 1. Einleitung. 2. Voraussetzungen Arbeiten mit UAG Inhaltsverzeichnis 1. Einleitung...1 2. Voraussetzungen...1 2.1. Windows...1 2.2. Mac OS X...1 3. Dienste und Programme...2 4. Vorgehen mit Windows 7...2 4.1. Eintragen der SRZA-Adresse

Mehr

Synology MailStation Anleitung

Synology MailStation Anleitung Nach dem englischen Original von Synology Inc. Synology MailStation Anleitung Übersetzt von Matthieu (synology-forum.de) Matthieu von synology-forum.de 04.08.2009 Inhaltsverzeichnis Einleitung... 3 1.

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client.

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client. Deckblatt Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client FAQ August 2012 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt

Mehr

Anleitung zur Einrichtung der Zugriffssteuerung - Access Control

Anleitung zur Einrichtung der Zugriffssteuerung - Access Control Anleitung zur Einrichtung der Zugriffssteuerung - Access Control Für DIR-645 Um bestimmten Rechnern im LAN den Internetzugang oder den Zugriff auf bestimmte Dienste zu verbieten gibt es im DIR- Router

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Vodafone-ePOS-Direct

Vodafone-ePOS-Direct Vodafone-ePOS-Direct Diese Kurzanleitung liefert Ihnen wichtige Informationen zu der Installation von Vodafone-ePOS-Direct. Wir wünschen Ihnen viel Erfolg mit der neuen Vodafone-Auftragserfassung. 1. Vodafone-ePOS-Direct

Mehr

A1 WLAN Box Thomson Gateway 789 für Windows XP

A1 WLAN Box Thomson Gateway 789 für Windows XP Installationsanleitung Einfach A1. A1 WLAN Box Thomson Gateway 789 für Windows XP Einfach schneller zum Ziel. Zu Ihrer A1 WLAN Box haben Sie eine A1 Installations-CD erhalten, mit der Sie alle Einstellungen

Mehr

2 ALLGEMEINE HINWEISE ZUM EINSATZ DES ELSTER-TELEMODULS ÜBER PROXY/GATEWAY BZW. FIREWALL 2

2 ALLGEMEINE HINWEISE ZUM EINSATZ DES ELSTER-TELEMODULS ÜBER PROXY/GATEWAY BZW. FIREWALL 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS 1 2 ALLGEMEINE HINWEISE ZUM EINSATZ DES ELSTER-TELEMODULS ÜBER PROXY/GATEWAY BZW. FIREWALL 2 2.1 PROXY/GATEWAY 2 2.2 FIREWALL 2 3 KONFIGURATION DES JANA-SERVERS

Mehr