UserGate Proxy & Firewall USERGATE Administratorhandbuch

Transkript

1 UserGate Proxy & Firewall Administratorhandbuch 1

2 INHALT EINFÜHRUNG 4 UsERGATE Proxy & FirewALL 4 Systemvoraussetzungen 4 UserGate Server Installation 5 UserGate Registrierung 5 UserGate aktualisieren und entfernen 5 UserGate Lizenzierungsrichtlinie 6 UsERGATE AdministrationsmodUL 6 Verbindungseinstellungen 6 Erstellen eines Verbindungskennworts 7 Kennwort für Statistikdatenbank einstellen 7 Schnittstellen-EinsTELLUNGEN 7 Trafficberechnung 8 Verbindungs-Ausfallsicherung 8 Anwender und GRUPPEN 9 Persönliche Statistikseiten 10 Autorisierungstypen 10 Unterstützung von Terminal-Anwendern 11 HTTP-Autorisierung mit transparentem Proxy 12 Authorization Client verwenden 12 UsERGATE Dienste - EinsTELLUNGEN 13 DHCP-Einstellungen 13 Proxy-Diensteinstellungen 13 Unterstützung von IP-Telefonieprotokollen (SIP, H323) 14 UserGate Mail-Proxy 15 Verwenden eines transparenten Modus 16 Cascade-Proxy 16 Ports-Funktion 16 Cache-Einstellungen 17 Antivirus-Scannen 17 UserGate Planner 18 DNS-Einstellungen 18 2

3 AlarmeinsTELLUNGEN (Alert manager) 18 UsERGATE FirewALL 19 Arbeitsprinzip 19 Network Address Translation (NAT)-Regeln 19 Arbeiten mit mehreren Providern 20 Automatische Auswahl der ausgehenden Schnittstelle 20 Veröffentlichen von Netzwerkressourcen 20 Einstellung von Filterregeln 21 Routing-Support 22 UsERGATE GEschwindIGKEITsbeschräNKUNGEN 23 TraffikmANAGER 23 Application FirewALL 24 UsERGATE Traffic-mANAGEmENT 26 Traffic-Management-Regeln 26 Internetzugangsbeschränkung 26 Kategorisierte URL-Filterung (BrightCloud) 27 Einstellen einer Traffic-Verbrauchsbeschränkung 28 Beschränkung der Dateigröße 28 AbrecHNUNGssysTEm 29 Internetzugangs-Abrechnung 29 Statuskontrolle des Anwenderkontos 29 Dynamischer Tarifwechsel 29 UsERGATE Remote-AdministratioN 29 Einstellungen zu Remote-Verbindungen 29 Auf neue Versionen prüfen 29 UsERGATE Statistik-DienstproGRAmm 30 UsERGATE WebstatisTIK 30 Web Statistik-Einstellungen 31 Leistungsbewertung der Traffic-Management-Regeln 31 Antivirus-Leistungsbewertung 32 3

4 EINFÜHRUNG Ein Proxyserver ist ein Computer, der zwischen Ihren PC und das Internet geschaltet ist. Alle Anfragen an das Internet laufen über diesen Server. Zunächst verbindet sich der Client mit dem Proxyserver und fordert Ressourcen (zum Beispiel eine Datei) an, die sich auf dem Internetserver befinden. Der Proxyserver stellt dann entweder die Verbindung zu dem angegebenen Server her und empfängt die angeforderten Daten, oder er gibt sie aus dem Cache zurück (falls der Proxy einen eigenen Cache hat). In einigen Situationen kann der Proxyserver die Anfrage des Clients oder die Antwort des Servers für bestimmte Zwecke modifizieren, zum Beispiel um den Zugriff auf bestimmte Ressourcen zu blockieren. UsERGATE Proxy & Firewall UserGate ist eine umfassende Lösung, die konzipiert wurde, um Anwender mit dem Internet zu verbinden, den Traffic zu steuern und den Zugriff zu beschränken. Sie umfasst integrierte Tools zur Sicherung des Netzwerks. UserGate ermöglicht die Tarifierung des Internetzugangs von Anwendern aufgrund von Traffic-Aufkommen und Online-Zeit. Administratoren können verschiedene Abrechnungspläne hinzufügen, dynamisch zwischen Tarifen wechseln und den Zugriff auf Internetressourcen kontrollieren. Integrierte Firewall- und Antivirus-Module sorgen für den Schutz des UserGate Servers und für die Identifikation bösartiger Software im Traffic. UserGate besteht aus mehreren Modulen: dem Server, der Administrationskonsole (UserGate Administrator) und verschiedenen zusätzlichen Modulen. UserGate Server (usergate.exe-prozess) ist der Hauptteil, der Kern des Proxyservers, der seine funktionalen Fähigkeiten beherbergt. Der Server bietet Internetzugang, implementiert exakte Traffic-Berechnung, führt Online-Statistiken für Anwender aus, usw. Die UserGate Administrationskonsole ist ein Programm zur Steuerung des Servers. Die Administrationskonsole kommuniziert mit dem Server über das spezielle Protokoll TCP/IP, das auch die Remote-Administration des Servers erlaubt. UserGate umfasst vier weitere Module: UserGate Statistik, Webstatistikmodul, UserGate Authorization Client und ein Anwendungssteuerungs-Modul. Systemvoraussetzungen Es wird empfohlen, UserGate Server auf einem Computer unter Windows 2000/XP/2003 zu installieren, der über ein Modem oder eine andere Verbindung mit dem Internet verbunden ist. Die Anforderungen an die Server-Hardware sind wie folgt: Netzwerkkonfiguration Minimale Anforderungen Empfohlene Anforderungen Kleines LAN: 2 bis 5 Anwender Mittelgroßes LAN: 5 bis 20 Anwender Großes LAN: über 20 Anwender Pentium 1000 MHz, 512 MB RAM, Windows 2000, 56k-Modem Pentium 1000 MHz, 512 MB RAM, Windows 2000, 56k-Modem Pentium 1000 MHz, 512 MB RAM, Windows 2000, ISDN-Verbindung Pentium 1000 MHz, 512 MB RAM, Windows 2000, DSL Pentium 1000 MHz, 1 Gb RAM, Windows XP, Breitband-Internetverbindung Pentium 2000 MHz, 1 Gb RAM, Windows 2003, Breitband-Internetverbindung 4

5 UserGate Server Installation Um UserGate Proxy & Firewall zu installieren, die Installationsdatei auszuführen und die Optionen des Installationsassistenten auswählen. Beim ersten Installieren können Sie alle Installationsoptionen in der Standardeinstellung belassen. Während des Installationsvorgangs bietet Ihnen der Assistent an, UserGate als Systemdienst (UserGate Service) zu installieren und den allgemeinen Internetzugang automatisch zu deaktivieren, falls er aktiviert ist. UserGate installiert für die Überwachung des Traffics eigene NAT-Treiber. Klicken Sie auf Installation fortsetzen um diese korrekt im System zu integrieren. Nach der Installation sollten Sie Ihr System neustarten. UserGate Registrierung UserGate Server läuft ohne Registrierung für 30 Tage im kostenfreien Testmodus, außerdem ist die Anzahl der gleichzeitigen aktiven Anwender auf 5 beschränkt. Führen Sie zur Registrierung bitte UserGate Server aus, verbinden Sie die Administrationskonsole mit dem Server, wählen Sie im oberen Menü Hilfe und anschließend UserGate registrieren. Auf der Seite About können Sie Ihr Produkt ebenfalls registrieren. Starten Sie den UserGate Server neu. UserGate aktualisieren und entfernen Bevor Sie eine neue Version von UserGate installieren, sollten Sie die vorhergehende Version entfernen und vorher nötigenfalls die Dateien mit den Servereinstellungen (config.cfg, in dem Verzeichnis, in dem UserGate installiert wurde, im Folgenden %UserGate% genannt) und den Statistiken (log.mdb im Verzeichnis %UserGate%) sichern. UserGate Server v.5 unterstützt das Einstellungsformat von UserGate v.4. Die Konvertierung des Einstellungsformats wird nach dem ersten Start des Servers ausgeführt. Von Version 5 zu Version 4 kann nicht portiert werden. Frühere Versionen von UserGate werden nicht unterstützt. Sie können UserGate Server über das Menü Start, Alle Programme, Programmzugriff oder über Software in der Systemsteuerung deinstallieren. Nach der Deinstallation bleiben einige Dateien im UserGate Verzeichnis zurück, wie etwa die config.cfg (UserGate Server-Einstellungen), die log.mdb (UserGate Statistikdatenbank) und einige andere. 5

6 UserGate Lizenzierungsrichtlinie UserGate Server wurde für die Verbindung von LAN-Anwendern mit dem Internet konzipiert. Die maximale Anzahl von Anwendern, die gleichzeitig über UserGate im Internet arbeiten können, heißt Sessions und ist durch den Registrierungsschlüssel definiert. Der Registrierungsschlüssel von UserGate v.5 ist ein eindeutiger Schlüssel, der vorherige Versionen von UserGate nicht unterstützt. Ohne Registrierung läuft UserGate Server 30 Tage lang im Testmodus mit einer Beschränkung auf 5 Sessions. Allerdings darf der Begriff Session nicht mit der Anzahl von Anwendern verwechselt werden, die Internetanwendungen oder -verbindungen gestartet haben. Im Allgemeinen ist die Anzahl der Verbindungen, die von Anwendern gestartet werden können, beliebig (vorausgesetzt, sie wurde nicht absichtlich eingeschränkt). Die in UserGate integrierte Antivirus-Software (Kaspersky, Panda) erfordert eine unabhängige Lizenzierung, z.b. erfordert Kaspersky Antivirus eine besondere Schlüsseldatei (*.key-datei), die sich im Verzeichnis %UserGate%\kav befindet. Das UserGate Distributions-Kit enthält den 30-tägigen Testschlüssel für Kaspersky Antivirus; allerdings ist dieser Schlüssel nicht kompatibel mit anderen Schlüsseln für Produkte von Kaspersky Lab. Die Lizenz für Panda Antivirus wurde gemäß der Vereinbarung mit Panda Security in den Registrierungsschlüssel für UserGate Server integriert. Die Lizenz für das BrightCloud Modul, das zur Kategorisierung von Websites konzipiert wurde, ist ebenfalls in der Lizenz für UserGate integriert. Die Lizenzdauer für BrightCloud ist auf ein Jahr beschränkt. Nach Ablauf der Lizenzdauer steht der BrightCloud Online-Service nicht mehr zur Verfügung. UsERGATE Administrationsmodul Das UserGate Administrationsmodul ist eine Anwendung, die zur Steuerung lokaler oder entfernter UserGate Server konzipiert wurde. Um UserGate Administrator zu starten, führen Sie UserGate Server aus, indem Sie UserGate Server starten im Kontextmenü des UserGate Agent auswählen ( Symbol im Infobereich der Taskleiste). Sie können UserGate Administrator auch über das Menü Start, Programme ausführen, wenn das Modul auf dem Computer installiert ist. Sie sollten das Administrationsmodul mit dem Server verbinden, um mit den Einstellungen zu arbeiten. Verbindungseinstellungen Beim ersten Start von UserGate ist unter Connections nur eine aktivierte Verbindung definiert. Dies ist die Serververbindung localhost für den Anwender Administrator ohne Verbindungskennwort. Um die Administrationskonsole mit dem Server zu verbinden, doppelklicken Sie auf die Zeile local Administrator, oder klicken Sie auf die Schaltfläche Verbinden im Bedienfeld. Sie können mit der Administrationskonsole mehrere Verbindungen erstellen. Es ist erforderlich, die folgenden Verbindungseinstellungen vorzunehmen: Servername Verbindungsname Benutzername Benutzername zur Verbindung mit dem Server Server Name der Domäne oder IP-Adresse von UserGate Server Port TCP-Port für die Verbindung mit dem Server (standardmäßig wird Port 2345 genutzt) Passwort Kennwort der Verbindung Immer nach Passwort fragen zur Verbindung mit UserGate Server immer nach Benutzernamen und Kennwort fragen Automatisch zu diesem Server verbinden Administrationsmodul verbindet sich beim Start automatisch mit dem Server. 6

7 Die Einstellungen der Administrationskonsole werden in der Datei console.xml gespeichert, die sich im Verzeichnis %UserGate%\ Administrator\ befindet. Serverseitig werden Name und Kennwort der Verbindung in der Datei config.cfg im Verzeichnis %UserGate% gespeichert. Erstellen eines Verbindungskennworts Sie können Benutzernamen und Kennwort für die Verbindung mit UserGate Server im Bereich UserGate Server auf der Seite Haupteinstellungen einstellen. In diesem Bereich können Sie auch den TCP-Port zur Verbindung bestimmen. Damit die neuen Einstellungen wirksam werden, muss UserGate Server neu gestartet werden (über UserGate Server neustarten im Menü des Agenten unten rechts). Nach dem Neustart sollten Sie die Verbindungseinstellungen der Administrationskonsole ebenfalls ändern, andernfalls kann sich der Administrator nicht mehr mit dem Server verbinden. Kennwort für Statistikdatenbank einstellen Alle Anwenderstatistiken, z.b. Traffic, Onlinezeiten, besuchte Ressourcen und Seiten, werden von UserGate Server aufgezeichnet und in einer Datenbank gespeichert. Der Zugriff auf die Datenbank erfolgt über den ODBC-Treiber, so dass UserGate Server mit verschiedenen Datenbankformaten arbeiten kann (MS Access, MS SQL und MySQL). Um UserGate mit MySQL zu verwenden, nutzen Sie bitte den MySQL Connector v Standardmäßig wird die MS Access-Datenbank log.mdb ohne Benutzernamen und -kennwort verwendet. Sie können unter Haupteinstellungen Datenbankzugriff in der Administrationskonsole ein Kennwort erstellen. Falls die Standard- Statistikdatenbank (log.mdb) verwendet wird, sollten Sie UserGate Server nach Einstellen des Kennworts stoppen, dann die Datenbank in MS Access im Admin-Modus öffnen und unter Extras Sicherheit Passwort setzen ein Kennwort erstellen. Schnittstellen-EinsTELLUNGEN Der Bereich Interfaces (Abb. 1) ist der wichtigste Bereich der UserGate Server-Einstellungen. Hier werden Funktionen definiert, wie die Genauigkeit der Traffic-Zählung, Regelerstellung für die Firewall, Beschränkungen der Bandbreiten für den angegebenen Traffic, Beziehungen zwischen Netzwerken und der Reihenfolge der Anfragebearbeitung durch den NAT (Network Address Translation)-Treiber. Abbildung 1. Verbindungseinstellungen 7

8 Im Bereich Interfaces werden alle verfügbaren Netzwerk-Schnittstellen aufgelistet, einschließlich Dial-Up (VPN)-Verbindungen. Der UserGate Administrator definiert Typen für alle Netzwerkadapter, z.b. sollten Sie den Typ WAN für über das Internet verbundene Adapter und den Typ LAN für über das Intranet verbundene Adapter wählen. Der Typ für Dial-Up (VPN)-Verbindungen kann nicht manuell geändert werden. Für diese Verbindungsart definiert UserGate Server den Typ PPP-Schnittstelle automatisch. Für eine Dial-Up (VPN)-Verbindung können Sie Benutzernamen und Kennwort eingeben, doppelklicken Sie hierzu auf die entsprechende Schnittstelle. Eine WAN- oder PPP-Schnittstelle, die sich am Anfang auf der Liste befindet, wird automatisch zur primären Internetverbindung definiert. Trafficberechnung Traffic, der über den UserGate Server verläuft ist dem User des lokalen Netzes zugeordnet, der die Verbindung initiiert hat oder dem UserGate Server selbst, wenn dieser die Verbindung initiiert hat. Für den usergate-eigenen Traffic besteht bereits ein vordefinierter User. Dieser wird ebenso in der Statistikdatenbank verwendet, um den Traffic der Antivirenupdates, des DNS- Forwardings und den Brightcloudupdates zu erfassen. Sofern alle Netzwerkadapter korrekt definiert (als WAN und LAN) wurden, wird intern Traffic zum Beispiel von Netzwerkfreigaben nicht berechnet. Bitte beachten! Der Einsatz nicht integrierter Antivirus- und Firewallprogramme können die korrekte Berechnung des Traffics beeinflussen. Es ist daher nicht empfehlenswert zusätzliche Netzwerkprogramme auf dem UserGate Server laufen zu lassen. Verbindungs-Ausfallsicherung Falls mehrere Internetverbindungen bestehen, wird die Option Alternativverbindung in den Interfaceeinstellungen verfügbar. Diese Option erlaubt, UserGate Server automatisch zu alternativen Internetverbindungen zu wechseln, wenn die primäre Verbindung nicht aufgebaut werden kann. Um die Option Alternativverbindung zu verwenden, sollten Sie folgende Einstellungen angeben (Abb. 2): die primäre Internetverbindung, eine oder mehrere Reserveverbindungen und eine Liste von Host-IP-Adressen (zur Kontrolle des korrekten DNS beim Wechsel der Verbindung). UserGate führt die Verfügbarkeitsprüfung der Kontroll-Hosts mit Hilfe von ICMP-Echoanfragen (Ping-Befehlen) durch. Die Abfrage dauert standardmäßig 30 Sekunden. Dieser Wert kann manuell geändert werden, während der Parameter Timeout bestimmt, wie lang der UserGate Server auf die Ping-Antwort warten soll. Wenn mehrere Kontroll-Hosts in den angegeben werden, prüft sie der UserGate Server nacheinander. Wenn keiner der angegebenen Kontroll-Hosts reagiert, so wird dies als Ausfall der primären Internetverbindung beurteilt. Daher wird empfohlen, dass Sie mehrere sehr stabile Internet- Hosts als Kontroll-Hosts bestimmen. Abbildung 2. Einstellungen der Alternativverbindung. 8

9 Als Reserveverbindung kann UserGate Server entweder eine Ethernet-Verbindung (dedizierter Kanal, WAN-Schnittstelle) oder eine Dial-Up (VPN)-Verbindung (PPP-Schnittstelle) nutzen. NAT-Regeln mit der automatischen ausgehenden WAN- Schnittstellenauswahl nutzen die Reserveverbindung automatisch. Nach dem Wechsel der Reserve-Internetverbindung überprüft UserGate Server regelmäßig die Verfügbarkeit des primären Kanals und wechselt, falls möglich, die Anwender auf die primäre Internetverbindung zurück. Anwender und GRUPPEN Um Zugang zum Internet bieten zu können, müssen in UserGate zunächst Anwender angelegt werden. Um die Administration möglichst einfach und komfortabel zu gestalten, können Sie Anwendergruppen nach Zugriffsrechten erstellen. Am besten werden Anwender nach Zugriffsrechten in Gruppen zusammengefasst, weil so das Trafficmanagement deutlich einfacher wird, z.b. Trafficlimits für eine Gruppe von Usern. Standardmäßig ist in UserGate nur eine Gruppe verfügbar, die Gruppe default. Um einen neuen Anwender zu erstellen, wählen Sie User hinzufügen oder klicken Sie auf die Schaltfläche Hinzu im Bedienfeld der Seite User & Gruppen. Die folgenden Angaben für Anwender sind obligatorisch (Abb. 3): Name, Autorisierungstyp, Autorisierungsparameter (IP-Adresse, Benutzername und Kennwort usw.), Gruppe und Abrechnungsplan. Standardmäßig gehören alle Anwender zur Gruppe default. Jeder Anwender muss einen eindeutigen Namen haben. Zusätzlich können Sie das Zugriffniveau des Anwenders in der Webstatistik managen, eine interne Telefonnummer für H323 definieren, NAT-Regeln, Regeln für das Trafficmanagement oder für das Modul Anwendungs-Firewall anlegen. Abbildung 3. UserGate Anwenderprofil 9

10 Außer dem Abrechnungsplan, der neu definiert werden kann, erbt der Anwender alle Parameter der Gruppe, zu der er gehört. Der im Anwenderprofil spezifizierte Abrechnungsplan wird für alle abzurechnenden Verbindungen verwendet (Sie können einen leeren Tarif verwenden, falls die Internetverbindung nicht abzurechnen ist). Persönliche Statistikseiten Jeder User hat seine eigene Statistikseite (Abb. 4). Um diese aufzurufen, kann er oder die IP des Servers ein seinen Browser eingeben. Wenn kein Proxy definiert ist, sollten Sie IP:Port (Port des HTTP-Proxys, meist 8080) verwenden. Abbildung 4: UserGate Portalseite Auf dieser Seite können User ihre persönlichen Statistiken einsehen, die Eigenschaften ihres Accounts aufrufen und den Autorisierungs-Client downloaden. Autorisierungstypen Internetzugang wird nur denjenigen Anwendern gewährt, die sich erfolgreich am UserGate Server autorisiert haben. UserGate unterstützt die folgenden Methoden der Autorisierung: Autorisierung über IP-Adresse (oder IP-Adressbereich) Autorisierung über IP- und MAC-Kombination Autorisierung über MAC-Adresse HTTP-Autorisierung (User können sich am Server anmelden ohne einen Proxy definiert zu haben) Autorisierung über Benutzernamen und Kennwort 10

11 Autorisierung über Windows-Anmeldung Autorisierung über Active Directory vereinfachte Version der Autorisierung über Active Directory Damit die letzten vier Methoden korrekt funktionieren, müssen Sie den UserGate Autorisierungs-Client auf der Workstation des Anwenders installieren. Das entsprechende MSI-Paket (AuthClientInstall.msi) befindet sich im Verzeichnis %UserGate%\tools und kann automatisch über Active Directory-Gruppenrichtlinientools installiert werden. Der Ordner enthält außerdem das Admintemplate (*.adm). Falls die Autorisierung über Active Directory verwendet wird, erhält UserGate Server die Autorisierungsparameter (Benutzername und Kennwort) vom Authorization Client, der auf der Workstation des Anwenders gestartet wird, und überprüft diese über den Domänencontroller. Wenn der UserGate Server auf einem Computer installiert ist, der nicht zur Active Directory-Domäne gehört, sollte die vereinfachte Version der Active Directory-Autorisierung verwendet werden. In diesem Fall vergleicht der UserGate Server Benutzernamen und Domänennamen, die er vom Autorisierungs-Client erhalten hat, mit den entsprechenden Feldern des Benutzerprofils, ohne den Domänencontroller abzufragen. Unterstützung von Terminal-Anwendern Neben der Unterstützung grundlegender HTTP-Autorisierung unterstützt UserGate Server auch HTTP-Autorisierung für Terminal- Anwender. Sie können die entsprechende Option unter den Haupteinstellungen der Administrationskonsole aktivieren (Abb. 5). Diese Autorisierungsmethode erlaubt es Terminal-Anwendern, sich über ihre individuellen UserGate Konten mit dem Internet zu verbinden, über eine Abfrage der Autorisierungsinformationen (Benutzername/Kennwort) für jede Verbindung. Abbildung 5. Unterstützung von Terminal-Anwendern Der Modus HTTP-Autorisierung für Terminal-Anwender kann verwendet werden, wenn es notwendig wird, verschiedene Netzwerkanwendungen zur Verfügung zu stellen, die von einem einzelnen Computer unter verschiedenen UserGate Konten laufen. Wenn das der Fall ist, sollten Sie die geeignete Proxyserver (HTTP, Socks 5)-Adresse, Port und Autorisierungsparameter (Benutzername/Kennwort) für jede Netzwerkanwendung eingeben. 11

12 HTTP-Autorisierung mit transparentem Proxy UserGate v.5 verfügt nun auch über transparente Proxy-HTTP-Autorisierung. Wenn der Browser der Anwender-Workstation nicht so eingestellt ist, dass ein Proxyserver verwendet wird, aber der UserGate HTTP-Proxy im transparenten Modus verwendet wird, werden alle Anfragen von unautorisierten Anwendern an eine Autorisierungsseite weitergeleitet, auf der sie ihren Benutzernamen und ihr Kennwort eingeben können. Nach der Autorisierung sollte diese Seite nicht geschlossen werden. Die Autorisierungsseite wird regelmäßig über ein spezielles Skript aktualisiert, das die Anwendersitzung im aktiven Modus unterstützt. Um die Anwendersitzung zu beenden, klicken Sie auf die Schaltfläche Logout auf der Autorisierungsseite. Wichtiger Hinweis! Diese Autorisierungsmethode unterstützt keine Terminal-Anwender. Authorization Client verwenden Der UserGate Authorization Client ist eine Netzwerkanwendung, die auf Winsock-Level arbeitet, sich mit dem von UserGate Server vordefinierten UDP-Port verbindet (standardmäßig auf 5456) und Anwender-Autorisierungsparameter sendet Autorisierungstyp, Benutzernamen, Kennwort usw. In den Einstellungen zum Authorization Client werden die IP-Adresse des Clients, der UserGate Server-Port, die Autorisierungsmethode und -Parameter (Benutzername/Kennwort) entsprechend des Anwenderprofils angezeigt. Beim ersten Start durchsucht der UserGate Authorization Client den Zweig der Registry HKCU\Software\Policies\Entensys\Auth client, um Einstellungen aus den Active Directory-Domänengruppenrichtlinien zu finden. Wenn in der Registry keine Einstellungen gefunden werden, müssen Sie die Adresse von UserGate Server manuell in die dritte Bookmark (von oben) des Authorization Client eingeben. Klicken Sie nach der Definition der Serveradresse auf die Schaltfläche Apply und gehen sie zur zweiten Bookmark, wo die Autorisierungsparameter angezeigt werden. Diese Parameter werden in den Zweig der Registry HKCU\Software\Entensys\Auth client geschrieben, nachdem die Einstellungen gespeichert wurden. Abbildung 4. Authorization Client Einstellungen Der UserGate Authorization Client zeigt Informationen an über empfangene und gesendete Byte-Mengen, Onlinezeiten und -kosten der Anwender. Außerdem enthält der Authorization Client einen Link auf die persönliche Seite des Anwenders. Sie können die Oberfläche des Authorization Client ändern, indem sie die *.xml-vorlage bearbeiten, die sich im übergeordneten Verzeichnis des Clients befindet. Die Log des Clienten wird in Dokumente und Einstellungen\%USER%\Anwendungsdaten\UserGate Client abgelegt. Wichtiger Hinweis! Der Authorization Client unterstützt keine Terminal-Anwender. 12

13 UsERGATE Dienste - EinsTELLUNGEN DHCP-Einstellungen Der Dienst DHCP (Dynamic Host Configuration Protocol) erlaubt die automatisierte Lieferung von Netzwerkeinstellungen an LAN-Clients. Im DHCP-Servernetzwerk können Sie für alle Netzwerkgeräte eine IP-Adresse, Gateway, DNS, WINS-Adresse usw. dynamisch einstellen. Um den DHCP-Server einzuschalten, verwenden Sie den Menüpunkt Services DHCP Server Add interface in der UserGate Administrationskonsole oder klicken Sie auf die Schaltfläche Add im Bedienfeld. Wählen Sie in dem erscheinenden Dialogfenster die Netzwerkschnittstelle aus, unter der der DHCP-Server ausgeführt wird. Für eine minimale DHCP-Serverkonfiguration reicht es aus, die folgenden Parameter einzustellen: IP-Adressbereich (Address-Pool) der Bereich der Adressen, die der Server an LAN- Clients übergibt; Netzwerkmaske und Mietdauer. Maximale Pool-Größe in UserGate darf 4000 Adressen nicht überschreiten. Sie können einige IP-Adressen vom Adress-Pool ausschließen, falls erforderlich. Sie können einem bestimmten Netzwerkgerät auch eine permanente IP-Adresse zuweisen, indem Sie diese im Bereich Reservierungen erstellen. Die Permanenz der IP-Adresse während des Mietempfangs und der Verlängerung erfolgt durch das Netzwerkgerät-MAC-Adress-Attachment. Um ein neue reservierung zu erstellen, reicht es aus, die IP-Adresse einzugeben, die MAC-Adresse wird durch einen Klick auf die entsprechende Schaltfläche automatisch definiert. Abbildung 5. DHCP-Server-Einstellungen Der UserGate DHCP-Server unterstützt den Import von Windows DHCP-Server-Einstellungen. Sie sollten vorher die Windows DHCP-Einstellungen in einer Datei speichern: Rufen Sie dazu die Befehlszeile auf (Start Ausführen cmd) und geben Sie ein netsh dhcp server IP dump > file_name, wobei IP die IP-Adresse Ihres DHCP-Servers ist. Gelieferte IP-Adressen werden im unteren Teil des Dialogfensters der Administrationskonsole angezeigt, zusammen mit der Client-Information (Name der Workstation, MAC-Adresse) und Informationen zur Mietdauer. Sie können die gelieferte IP-Adresse freigeben, indem Sie mit der rechten Maustaste darauf klicken, oder über den Menüpunkt Remove Client im Popup-Menü. Die freigegebene IP wird nach einer bestimmten Frist wieder zum Pull gestellt. Die Option zur IP-Freigabe kann nützlich sein, falls eine Workstation früher eine IP-Adresse erhalten hat und nicht länger online ist. Proxy-Diensteinstellungen Es sind mehrere Proxyserver in UserGate Server enthalten HTTP-Proxy (unterstützt FTP über HTTP-Modus und HTTPS) und FTP- Proxy, SOCKS4, SOCKS5, POP3 und SMTP, SIP und H323. Die Proxyserver-Einstellungen befinden sich im Bereich Services Proxy 13

14 Settings der Administrationskonsole. Die wichtigsten Einstellungen sind die Folgenden: Schnittstelle (Abb. 8) und die Nummer des Ports, an dem der Proxy empfängt, während er auf Anwenderanfragen wartet. Abbildung 6. Primäre Proxyserver-Einstellungen Wenn die Schnittstelle in den Proxy-Einstellungen nicht ausgewählt ist, empfängt der Server an allen verfügbaren Schnittstellen. Standardmäßig ist nur der HTTP-Proxy, mit Empfang an 8080 TCP-Port bei allen Schnittstellen, in UserGate Server aktiviert. Damit der Browser über den Proxy funktioniert, sollten Sie die Proxyadresse und den Port im entsprechenden Einstellungsdialog eingeben. Um den Proxy einzustellen, gehen Sie im Internet Explorer zu Extras Internetoptionen Verbindungen LAN- Einstellungen. Wenn Sie mit dem HTTP-Proxy arbeiten, müssen Sie Gateway und DNS in den TCP/IP-Verbindungsoptionen an der Workstation des Anwenders nicht definieren, da dies der HTTP-Proxy automatisch vornimmt. Für jeden Proxyserver ist eine Kaskadenverbindung zum höheren Proxymodus verfügbar. Wichtiger Hinweis! Ports, die in den Proxysettings definiert werden, werden automatisch in der UserGate-Firewall geöffnet. Darum ist es sinnvoll nur lokalen Interfaces Proxys zuzuweisen. Unterstützung von IP-Telefonieprotokollen (SIP, H323) UserGate v.5 unterstützt die Protokolle SIP und H323, was den Einsatz von UserGate Server als VoIP-Gateway für Software-IP- Telefone und auch für herkömmliche IP-Telefone ermöglicht. Eine SIP-Proxy-Option mit Verbindungs-Bedingungssteuerung (State Full Proxy) wurde hinzugefügt. Ein SIP-Proxy kann in UserGate unter Services Proxy settings aktiviert werden. Er funktioniert immer im transparenten Modus und empfängt an den Ports 5060 TCP und 5060 UDP. Informationen über den Verbindungsstatus (Registrierung, Anruf, warten usw.), Name (oder Nummer) des Teilnehmers, Anrufdauer und die Anzahl gesendeter und empfangener Bytes finden sich im Abschnitt Sessions der Administrationskonsole. Die gleichen Informationen werden in der UserGate Statistikdatenbank gespeichert. Für die SIP-Proxy-Verwendung sollten Sie die UserGate Server IP als Standard-Gateway im Abschnitt TCP/IP-Optionen der Workstation des Anwenders angeben, ebenso wie die DNS-Server-Adresse. Das Setup der Client-Seite wird anhand des Beispiels des Software-Telefons SJPhone und des Providers Sipnet illustriert. Führen Sie SJPhone aus, wählen Sie Options im Kontextmenü und erstellen Sie ein neues Profil. Geben Sie einen Profilnamen ein (Abb. 9), zum Beispiel sipnet.ru, geben Sie als Profiltyp Call through SIP Proxy an. 14

15 Abbildung 7. Erstellung eines SJPhone-Profils Sie sollten im Dialogfeld Profile Options die Proxyserver-Adresse Ihres VoIP-Providers definieren. Wenn Sie den Dialog schließen, sollten Sie die Daten zur Autorisierung auf dem Server Ihres VoIP-Providers (Benutzername und Kennwort) eingeben. Abbildung 8. SJPhone-Profil-Einstellungen Mit Hilfe der integrierten Unterstützung des Protokolls H323 können Sie UserGate Server als Gatekeeper verwenden. In den H323-Einstellungen sollten Sie die Schnittstelle angeben, über die alle Client-Anfragen laufen, die Port-Nummer und die H323- Gateway-Adresse und den Port. Für die Autorisierung am UserGate Gatekeeper sollte der Anwender seinen Benutzernamen (der Benutzername in UserGate), sein Kennwort (die IP-Adresse seiner Workstation) und seine Telefonnummer (zu finden in den Benutzereinstellungen von UserGate) angeben. UserGate Mail-Proxy UserGate Mail-Proxys sind konzipiert, um die Protokolle POP3 und SMTP zu unterstützen und um den Mail-Traffic auf Viren zu scannen. Wenn POP3- und SMTP-Proxy im transparenten Modus verwendet werden, ist der Mailclient auf der Workstation des Anwenders genauso einzurichten wie der direkte Internetzugang. Falls der UserGate POP3-Proxy in einem nicht-transparenten Modus verwendet wird, sollten Sie die IP-Adresse und den Port der UserGate Workstation angeben, die dem POP3-Proxy entspricht, als eine POP3-Adresse in den Client-Einstellungen der Anwender- 15

16 Workstation. Außerdem sollten Sie den Benutzernamen für Remote-POP3-Serverautorisierung im folgenden Format angeben: Zum Beispiel: Wenn die -Adresse des Anwenders lautet, sollten Sie als Benutzernamen für den UserGate POP3-Proxy eingeben. Solch ein Format ist notwendig, damit UserGate die Remote-POP-Serveradresse erkennt. Wenn der UserGate SMTP-Proxy in einem nicht-transparenten Modus verwendet wird, sollten Sie die IP-Adresse und den Port des SMTP-Servers in den Proxy-Einstellungen angeben. In diesem Fall sollten Sie die IP-Adresse und den Port von UserGate Server, entsprechend dem SMTP-Proxy als eine SMTP-Serveradresse in den Einstellungen des Mailclients der Anwender-Workstation eingeben. Wenn zum Senden von Mail Autorisierung erforderlich ist, geben Sie bitte den Benutzernamen und das Kennwort ein, entsprechend dem SMTP-Server, der in den UserGate SMTP-Proxy-Einstellungen gezeigt wird. Verwenden eines transparenten Modus Die Option Transparent Mode in den Proxyserver-Einstellungen wird aktiviert, wenn UserGate Server zusammen mit einem NAT-Treiber installiert wird. Im transparenten Modus empfängt der UserGate NAT-Treiber an konventionellen Ports der Netzwerkschnittstellen: 80 TCP für HTTP, 21 TCP für FTP, 110 und 25 TCP für POP3 und SMTP auf den Netzwerkschnittstellen der Workstation und sendet Anfragen an den entsprechenden UserGate Proxy. Wenn dieser Modus in Netzwerkanwendungen des Anwenders verwendet wird, ist die Angabe von Proxyserver-Adresse und Port nicht erforderlich, wodurch die nötige Arbeitszeit für Administratoren für die Bereitstellung des Internetzugang über das LAN beträchtlich reduziert wird. Allerdings sollten Sie UserGate Server als Gateway angeben und die Adresse des DNS-Servers in den Einstellungen der LAN-Workstations eingeben. Cascade-Proxy UserGate Server kann entweder mit direkter Internetverbindung oder über den höheren Proxy funktionieren. Solche höheren Proxy Server werden im Menüpunkt Service Cascade Proxy gezeigt. UserGate unterstützt die folgenden Cascade-Proxy-Typen: HTTP, HTTPS, Socks4 und Socks5. In den Cascade-Proxy-Einstellungen werden die konventionellen Parameter, Adresse und Port, gezeigt. Wenn der höhere Proxy die Autorisierung unterstützt, können Sie die entsprechenden Benutzerinformationen in den Einstellungen angeben. Alle erstellten Cascade-Proxies sind in den UserGate Proxyserver-Einstellungen verfügbar. Ports-Funktion UserGate unterstützt auch die Option Port Mapping. Falls Regeln zum Port-Mapping bestehen, leitet UserGate Server Anfragen von Anwendern von einem bestimmten Port der Netzwerkschnittstelle der UserGate Workstation auf die angegebene Adresse und den Port um. Die Option Port Mapping ist für TCP- und UDP-Protokolle aktiviert und erfordert nicht die Installation des UserGate NAT-Treibers. Abbildung 9. Definition von UserGate Ports Wichtiger Hinweis! Wenn die Port-Definition verwendet wird, um Zugriff auf unternehmensinterne Ressourcen bereitzustellen, sollten Sie den User spezifiert als Autorisierungs-Parameter verwenden. 16

17 Cache-Einstellungen Ein Proxyserver dient vor allem zum Caching von Netzwerkressourcen, er reduziert die Internet-Verbindungslast und beschleunigt den Zugriff auf meistbesuchte Ressourcen. Der UserGate Proxy implementiert das Caching von HTTP- und FTP-Traffic. Dokumente im Cache werden dann im lokalen Verzeichnis %UserGate%\Cache abgelegt. In den Cache-Einstellungen sollten Sie die Größe des Caches begrenzen und die Speicherzeit der Dokumente angeben. Sie können auch das Caching dynamischer Seiten und das Traffic-Zählen aus dem Cache aktivieren. Wenn die Option Count Traffic from Cache aktiviert ist, wird nicht nur der externe (Internet-) Traffic des Anwenders gezählt, sondern auch der aus dem Cache empfangene Traffic. Antivirus-Scannen Zwei Antivirus-Module sind in UserGate Server integriert Kaspersky Lab Antivirus und Panda Security Antivirus. Beide Module haben die Aufgabe, den eingehenden Traffic von UserGate HTTP-, FTP- und Mail-Proxys ebenso wie den ausgehenden Traffic des SMTP-Proxys zu scannen. Einstellungen der Antivirus-Module können Sie im Bereich Services Antiviruses der Administrationskonsole vornehmen (Abb. 12). Sie können Protokolle bestimmen, die jedes Antivirus-Modul scannen soll, die Zeitabstände zur Aktualisierung der Antivirus- Datenbanken einrichten und URLs angeben, die nicht überprüft werden müssen (URL-Filter). Sie können auch eine Gruppe von Anwendern bestimmen, deren Traffic nicht auf Viren gescannt werden muss. Abbildung 10. UserGate Antivirus-Module Vor dem Ausführen der Antivirus-Programme sollten Sie die Antivirus-Datenbanken aktualisieren. Standardmäßig wird die Kaspersky-Antivirus-Datenbank von der Kaspersky Lab Website aktualisiert, während die Panda-Antivirus-Datenbank von aktualisiert wird. UserGate Server unterstützt das gleichzeitige Arbeiten der beiden Antivirus-Programme, und erlaubt die Wahl des Protokolls, das von jedem Programm gescannt wird, ebenso wie die Bestimmung der Traffic-Scanrichtung. Wichtiger Hinweis! Wenn das Scannen des Traffics aktiviert ist, blockiert UserGate Server HTTP- und FTP-Downloads über mehrere Threads. 17

18 UserGate Planner In UserGate ist ein Auftragsplaner integriert, der die Ausführung folgender Tasks erlaubt: Initialisierung und Freigabe von Dial- Up-Verbindungen, Statistik-Bereitstellung für Anwender, beliebige Ausführung von Aufgaben, Antivirus-Aktualisierung und Reinigung der Statistik-Datenbank. Der Menüpunkt Execute Program im UserGate Planner kann für Nicht-Standard-Aufgaben verwendet werden, die als *.bat- oder *.cmd-dateien ausgeführt werden. DNS-Einstellungen Für die Namensberechtigung bietet UserGate Server zwei Möglichkeiten: Umleitung von DNS-Anfragen (DNS-Forwarding) und die NAT-Regel. Reaktionen auf DNS-Forwarding-Anfragen werden im Cache gespeichert, und so wird die Namensberechtigung nach wiederholten Anfragen beschleunigt. Einstellungen für das DNS-Forwarding können unter Services DNS Forwarding in der Administrationskonsole vorgenommen werden; hier können Sie einen oder mehrere DNS-Server angeben, an die UserGate die Client-Anfrage adressieren wird. Standardmäßig ist DNS-Forwarding deaktiviert (Abb. 13). In diesem Fall verwenden UserGate Proxyserver den DNS-Server, der in den Netzwerkeinstellungen der Workstation angegeben ist, auf der UserGate installiert ist. Abbildung 11. DNS-Einstellungen Für das Setup über NAT muss eine NAT-Regel für den UDP-Port 53 erstellt und diese dann auf alle oder einige Anwender angewendet werden. Wenn das der Fall ist, sollten Sie die DNS-IP des Internetproviders als DNS-Server angeben. AlarmeinsTELLUNGEN (Alert manager) Im Abschnitt Alert können Alarmmeldungen erstellt werden, die den UserGate Systemadministrator über UserGate Server- Ereignisse informieren. Zum Beispiel können Sie eine Meldung zur Erkennung eines Virus erstellen, eine Meldung über einen Fehler des Antivirus-Moduls oder über das Ablaufen einer Lizenz. Die Meldung wird per über den SMTP-Server verschickt, der im Menüpunkt Delivery Settings angegeben wurde. 18

19 UsERGATE Firewall Arbeitsprinzip Als Teil des UserGate NAT-Treibers soll die integrierte Firewall den Netzwerk-Traffic nach einigen vordefinierten Regeln überwachen. Um eine Regel für die Firewall zu erstellen, sollten Sie die Ursprungs- und Zieladresse, den Dienst (ein Protokoll- Port-Paar) und die Aktion, Permit oder Forbid, auf die Firewall-Regel angeben. Der Regeltyp wird automatisch aufgrund der spezifizierten Parameter definiert. Die von der Firewall unterstützten Regeltypen sind Folgende: Übersetzungsregel (NAT), Routing und Firewall-Regel (Fw). Standardmäßig ist nur eine Regel in der Firewall verfügbar die #NONUSER# Regel, die jeden Netzwerk-Traffic aus dem Internet erlauben oder verbieten soll. Wenn Sie bei dieser Regel Forbid einstellen, so blockiert die UserGate Firewall alle eingehenden und ausgehenden Pakete (mit Ausnahme von Transitpaketen). Dies ist die beste Wahl, vorausgesetzt, dass UserGate Server auf einem Einzelcomputer installiert ist. Falls der Computer, auf dem UserGate installiert ist, eine Workstation ist, die Zugang zu Internetdiensten bereitstellt, sollten Sie auch permissive Regeln in den Firewall-Einstellungen erstellen. Solche Regeln werden vor der #NONUSER# Regel angezeigt. Alle Firewall-Regeln werden nach Priorität gescannt, definiert durch die Reihenfolge der Regeln in der Regelliste von oben nach unten. Indem Sie die Regel durch die Liste verschieben, können Sie Ihre Priorität ändern. UserGate Dienste, wie Proxyserver und Port-Definitionen, können auch automatische Firewall-Regeln generieren. Diese Regeln werden zum Beispiel erstellt, wenn Sie einen Proxy ausführen und den Betrieb des Proxys für LAN-Anwender aufrechterhalten. Es handelt sich dabei um permissive Regeln. Automatische Regeln werden in der Regelliste nicht angezeigt; Sie können sie nur entfernen, indem Sie die entsprechende Proxy- oder Port-Definition deaktivieren. Trotzdem kann der UserGate Administrator die permissive automatische Regel blockieren, indem er eine geeignete ausschließende Regel erstellt und sie an den Anfang der Regelliste platziert. Network Address Translation (NAT)-Regeln Um eine neue Übersetzungsregel zu erstellen (Abb. 14), sollten Sie den UserGate LAN-Adapter als Ursprung und den WAN- Adapter als Ziel auswählen, einen oder mehrere Dienste angeben und Anwender oder Gruppen auswählen, denen erlaubt wird, diese Regel zu verwenden. 19

20 Abbildung 12. NAT-Erstellung Damit die Übersetzungsregeln korrekt funktionieren, sollten Sie einen Gateway angeben die lokale IP von UserGate Server und DNS-Server in den TCP/IP-Netzwerkeinstellungen der Workstation des Anwenders, da die Domänen-Namensberechtigung lokal ausgeführt wird (auf der Workstation des Anwenders), wenn mit NAT gearbeitet wird. Wenn der erforderliche Dienst (Protokoll Port) in der vordefinierten Diensteliste nicht aktiviert ist, kann er im Dialog zur Erstellung der Firewall-Regel als auch unter Services in der Administrationskonsole hinzugefügt werden. Arbeiten mit mehreren Providern Der UserGate NAT-Treiber unterstützt den gleichzeitigen Betrieb mehrerer Internetverbindungen. Für diesen Betriebsmodus kann der UserGate-Administrator verschiedene NAT-Regelsätze erstellen (Abb. 15), die sich nur durch die verwendeten externen Schnittstellen (WAN oder PPP) unterscheiden. Auf diese Weise kann verschiedenen Anwendergruppen der Internetzugang durch verschiedene Provider bereitgestellt werden. Es wird nicht empfohlen, zwei Übersetzungsregelsätze auf denselben Anwender oder dieselbe Gruppe anzuwenden. Automatische Auswahl der ausgehenden Schnittstelle Wenn mehrere WAN-Schnittstellen in den NAT-Regeln einer Workstation mit UserGate vorhanden sind, können Sie Any WAN interfaces als ausgehende Schnittstelle wählen. Diese Auswahl bedeutet, dass eine ausgehende Netzwerkschnittstelle dynamisch definiert wird, durch Vergleich der Hostadresse des Netzwerkziels mit dem Netzwerkteil aller UserGate WAN-Adapter. Wenn der Netzwerkteil des Ziel-Hosts nicht zu einem der WAN-Adapter passt, wird das Paket über den primären Internetkanal gesendet. Wichtiger Hinweis! Wenn der Reserve-Internetkanal verwendet wird, ist die automatische Auswahloption der WAN-Schnittstelle in den NAT-Regeln deaktiviert. Veröffentlichen von Netzwerkressourcen Sie können mit Hilfe von UserGate den Zugang zu internen Ressourcen Ihres Unternehmens ermöglichen, zum Beispiel über die Web-, FTP-, VPN- oder Mail-Server. In diesem Fall werden alle Anfragen von einer externen IP-Adresse an einen bestimmten Port der UserGate Workstation entsprechend der erstellten Regel auf den internen Server umgeleitet. Der Zugriff auf interne Ressourcen des Unternehmens kann für alle oder nur bestimmte Internetanwender bereitgestellt werden, durch einfache Definition der Ursprungsadresse. Um eine Ressource zu veröffentlichen, sollten Sie einen Dienst in der Firewall-Regel bestimmen (Abb. 16). 20

21 Einstellung von Filterregeln Abbildung 13. FTP-Server-Veröffentlichung Ein UserGate Rechner dient in einem kleinen LAN oft sowohl als Workstation als auch als Dateiserver. Wenn die #NONUSER# Regel im Verboten-Modus ist, müssen mehrere spezielle permissive Regeln für die Firewall erstellt werden. Diese Regeln sollen ausgehende Internetanfragen für solche primären Schnittstellen wie HTTP, HTTPS, FTP, POP3 und SMTP erlauben. Ein Beispiel für solche Regeln finden Sie in Abb

22 Routing-Support Abbildung 14. UserGate Server-Regeln Wenn eine Maschine mit UserGate mit verschiedenen lokalen Netzwerken verbunden ist, kann UserGate Server als Router eingerichtet werden, der eine transparente bidirektionale Verbindung zwischen Netzwerken bietet. Routing-Regeln können zwischen jedem Paar von LAN-Schnittstellen eingerichtet werden (Abb. 18). 22

23 Abbildung 15. UserGate Routing Wichtiger Hinweis! UserGate Autorisierung ist für das Routing nicht erforderlich und die Traffic-Zählung wird nicht durchgeführt. UsERGATE GEschwindIGKEITsbeschräNKUNGEN Es gibt in UserGate zwei Mechanismen zur Geschwindigkeitsbeschränkung: Der eine kann über das Anwenderprofil oder die Regel zur Traffic-Kontrolle ( Speed Set up Speed ) eingestellt werden und der andere wird über den Bandwidth Manager eingestellt. Die erste Methode ist nicht universell, da sie nur die Geschwindigkeit des eingehenden Traffics für alle Verbindungen des Anwenders beschränkt, ohne dass diese in Protokolle oder in Zieladresse und Port unterteilt werden können. Dieser Mechanismus zur Beschränkung ist der einfachste und er funktioniert über Proxy-Dienste und Übersetzungsregeln zur Beschränkung des Traffics. Da die Möglichkeit einer allgemeinen Geschwindigkeitsbeschränkung für die Anwendergruppe bei dieser Methode nicht gegeben ist, ist sie nicht aktiviert. Um die Geschwindigkeit für die Anwendergruppe allgemein zu beschränken, sollte das Modul Bandwidth Manager verwendet werden. TraffikmANAGER Der Algorithmus, der für das Bandbreitenmanagement in UserGate verwendet wird, basiert auf einem CBWFQ (Class-Based Weighted Fair Queuing)-Algorithmus, der FIFO (First In First Out)-Warteschlangen-Paket-Bearbeitung nach Prioritäten gemäß Regeln zur Paketklassifikation definiert, einschließlich Paketgewichtung (d.h. Paketgröße). Dieser Algorithmus enthält auch eine Shaping-Funktion (Kanalbandbreiten-Beschränkung für Regeln), die auch auf einer Geschwindigkeitsbeschränkungs- und Zeitverzögerungs-Priorität basiert, wenn das spezifizierte Limit für eine bestimmte Regel erreicht wird. Die Regeln des Bandbreitenmanagers fallen in zwei Kategorien: die erste ist ein Regelsatz, der einen bestimmten Traffic spezifiziert (Anwenderregeln), die zweite umfasst Standardregeln, die für jeden WAN-Adapter des Servers definiert sind. In den Anwenderregeln sind die folgenden Parameter spezifiziert: Priorität Traffic-Richtung (eingehend/ausgehend) 23

24 Maximal erlaubte Bandbreite (Kbit/s oder Mbit/s) Paketverzögerung (ms) Protokoll (TCP/UDP/ICMP) Ursprungs-IP und Port Ziel-IP, als IP/Maske, Ziel-Port Adapter, durchgehender Traffic wird von Traffic Manager verarbeitet Wichtiger Hinweis! Der Parameter Time Delay ist in der Benutzeroberfläche nicht enthalten. Er kann in der Servereinstellungsdatei (config.cfg) eingestellt werden. Die Regelpriorität von Traffic Manager definiert, in welche FIFO-Warteschlange ein Paket nach der Klassifizierung gestellt wird. Es sind acht Prioritätswarteschlangen definiert: Vier Warteschlangen mit absoluter Priorität (HOCH, MITTEL, NORMAL und NIEDRIG) und vier Warteschlangen mit relativer Priorität. Verwaltbare Traffic-Geschwindigkeitsbegrenzung wird nur für Warteschlangen mit relativer Priorität geboten. Je nach der spezifizierten Begrenzung kann ein Paket an den ausgehenden Puffer gesendet, an den Anfang der Warteschlange verschoben (wenn die Zeitverzögerung eingestellt ist) oder zurückgewiesen werden. Warteschlangen mit einer absoluten Priorität werden bevorzugt verarbeitet. Falls erforderlich, kann dieser Traffic die volle Bandbreite des dedizierten Internetkanals ausfüllen. Es gibt nur einen Parameter, über den der Administrator privilegierte Traffic- Verarbeitung beeinflussen kann und zwar absolute Regelpriorität. Als Quelle können Sie in der Benutzerregel einen bestimmten Host oder auch einen IP-Adressbereich mit maximal 256 Elementen angeben. Sie können eine Netzwerk-IP-Adresse oder einen bestimmten Host (Maske 32) als Ziel angeben. Bitte beachten Sie Folgendes bei der Erstellung des Traffic Manager-Benutzerregelsatzes: Bandwidth Manager zielt ab auf die Traffic-Geschwindigkeitsbegrenzung für die Richtungen Server Internet und lokales Netzwerk Internet. Wenn ein Paket zu mehr als einer begrenzenden Regel passt, dann wird Traffic Manager die erste passende Regel anwenden. Bandwidth Manager unterstützt keine Dial-Up-Verbindungen. Ein Paket, das zu keiner Benutzerregel passt, wird nach der Standardregel bearbeitet. In der Standardregel werden zwei Parameter bestimmt: maximal erlaubter Bandbreitenwert (kbit/s oder Mbit/s) und Priorität. Sie sollten den Bandbreitenwert entsprechend den Internetverbindungsparametern angeben. Die in der Standardregel angegebene Bandbreite gilt sowohl für eingehenden als auch für ausgehenden Traffic. Wichtiger Hinweis! Das Modul Bandwidth Manager funktioniert nicht, wenn die WAN-Adapterregel in den BM-Einstellungen deaktiviert ist. Application Firewall Die Internet-Zugangsmanagement-Richtlinie erfährt in dem Modul Application Firewall eine logische Fortsetzung. Mit UserGate Server kann ein Systemadministrator den Internetzugang für sowohl Anwender als auch für Netzwerkanwendungen auf einer Client-Workstation managen. Um die Anwendungen einer Client-Workstation in einem lokalen Netzwerk zu steuern, muss 24

25 die Anwendung App.Firewall Service installiert werden. Das entsprechende MSI-Paket (AuthFwInstall.msi) befindet sich im Verzeichnis %Usergate %\tools. Das Management von Netzwerkanwendungen wird aufgrund von Administrator-definierten Regeln durchgeführt, angewendet auf einen Anwender oder eine Anwendergruppe. Es gibt zwei Arten von Regeln in Application Firewall: Standardregeln und Anwenderregeln. Jede Workstation kann Standardregeln erhalten, wenn Application Firewall unter folgenden Bedingungen läuft: a) Der Dienst Application Firewall erkennt UserGate Server b) Es wurde ein Satz an Standardregeln erstellt. Da alle Application Firewall-Regeln zu einer bestimmten Regelgruppe gehören müssen, wird der spezielle Ordner Default rules der Speicherung von Standardregeln zugewiesen. Der UserGate Administrator kann auch Gruppen für Anwenderregeln erstellen. Anfangs hat UserGate nur eine Standardregel, die den Zugriff aller Anwender-Netzwerkanwendungen auf alle IP-Adressen unter allen Protokollen erlaubt. Diese Regel wird zu Beginn der Einrichtung von Application Firewall für die Sammlung von Statistiken zum Einsatz von Anwendungen empfohlen. Der Dienst Application Firewall erhält Anwenderregeln erst nach der Anwenderautorisierung auf UserGate Server. Ein Anwender kann über Authorization Client oder ohne autorisiert werden, indem nur der Adressteil verwendet wird (IP-Adresse, IP + MAC, MAC- Adresse). Anwenderregeln können Standardregeln ergänzen oder verbieten. Wenn die Autorisierung über den Authorization Client erfolgt, wird das Windows-Konto und das UserGate-Konto in Application Firewall verknüpft. D.h. dass eine Änderung des Windows-Kontos, während der Authorization Client läuft, die Regeloperation des Anwenders abbricht. Die Verarbeitung von Anwendern mit HTTP-Autorisierung ist noch nicht verfügbar. Application Firewall-Policy mit Standardeinstellungen (anfänglicher Start) ist wie folgt definiert: a) Wenn UserGate Server nicht verfügbar ist, werden alle Netzwerkanwendungen zugelassen. b) Wenn UserGate Server verfügbar ist, wird nur der lokale Zugang von Netzwerkanwendungen und -diensten zugelassen. Die Netzwerkanwendungsstatistik von Application Firewall wird im lokalen Verzeichnis der Workstation des Anwenders %Program Files%\Entensys\Application Firewall\Cache gespeichert und regelmäßig (etwa alle 10 Minuten) an UserGate Server übermittelt. Die Sende-Zeitspanne wird durch den Registry-Parameter SendStatistics definiert (HKLM\Software\Policies\Entensys\Application Firewall). Außerdem werden die zugehörigen Caching-Regeln in die Application Firewall eingebettet. Wenn UserGate Server zeitweilig nicht verfügbar ist, funktioniert Application Firewall während der Aktualisierungszeit nach den Regeln, die im lokalen Cache stehen (Registry-Parameter UpdateRules). Die Regeln werden standardmäßig alle 5 Minuten aktualisiert. Die Anwender-Anwendungsstatistik ist im Abschnitt Application Firewall Statistics verfügbar. Abbildung 19 zeigt Informationen über Anwender und Workstation und über Netzwerkanwendungen. 25

26 Abbildung 16. Netzwerkanwendungsstatistik Der UserGate Administrator kann eine Anwendungsregel erstellen, indem er auf eine bestimmte Zeile des Statistikfensters doppelklickt. UsERGATE Traffic-mANAGEment Traffic-Management-Regeln UserGate Server bietet die Möglichkeit, den Internetzugang zu managen, basierend auf den Traffic-Management-Regeln. Diese Regeln dienen dazu, den Zugriff auf bestimmte Netzwerkressourcen zu verbieten, Traffic-Beschränkungen einzustellen, Internet-Zeitpläne zu erstellen und Benutzerkonten zu verfolgen. Traffic-Management-Regeln verbinden ein bestimmtes Objekt mit einer Aktion. Es sind vier Objekt-Aktion-Paare in UserGate definiert: Connection Close, Traffic Don t count, Tariff Change und Speed Set up. Für die Ausführung einer Traffic-Management-Regel sollten Sie entsprechende Bedingungen definieren. Als eine Bedingung könnten Sie Folgendes angeben: Zeit, Wochentag, URLs (IP), Traffic-Beschränkung (pro Tag, Woche oder Monat), usw. Definierte Bedingungen können auch mit Hilfe der logischen Operatoren UND und ODER kombiniert werden, wodurch das Erstellen der Regeln noch zusätzlich flexibler wird. Außerdem können Regeln auf alle oder nur auf bestimmte Protokolle angewendet werden. Sie sollten die erstellten Regeln auf Anwender oder Anwendergruppen in UserGate anwenden. Internetzugangsbeschränkung Die Internetzugangsbeschränkung ist eine typische Aufgabe für Proxyserver. Zu diesem Zweck sind in UserGate die Regeln Connection Close vorgesehen. Bei der Arbeit mit einem Proxyserver (HTTP, FTP) können Sie sowohl den Domänennamen (URL) als auch die IP-Adresse der Ressource bestimmen. UserGate Server kann die Filterung nach einem URL-Fragment (Element Whole page ), nach einem Teil der Adresse (Element Server address ) oder nach der Adresse des Dokuments (Element Document address ) implementieren. 26

27 Abbildung 17. URL-Filter-Einstellungen Bei der Angabe der IPAdresse können Sie wählen zwischen Source IP address, Destination IP address und Inverse das heißt, alle IP-Adressen außer den angegebenen. Sie sollten als Bedingung für den NAT-Traffic nur IP-Adressen angeben, da UserGate NAT nicht mit Domänennamen funktioniert. Kategorisierte URL-Filterung (BrightCloud) Im Kontext unserer technologischen Partnerschaft mit BrightCloud Inc. haben wir den gehosteten BrightCloud Service und die BrightCloud Master Database in UserGate integriert. Ein UserGate-Administrator kann den Zugriff auf bestimmte Content- Webseiten sperren, ohne die Namen dieser Webseiten angeben zu müssen. Darüberhinaus ist es möglich, von UserGate Statistics einen Bericht über die Kategorien der besuchten Webseiten zu erhalten, wie etwa Werbung, Bildung, Nachrichten usw. Der Einsatz von Website-Kategorien ermöglicht ein flexibleres Management des Internetzugangs. Kategorienfilterung ist für UserGate-Proxy-Services verfügbar, die sowohl in transparenten als auch nicht-transparenten Modi arbeiten. Wenn ein Browser auf einem Client-Rechner nicht für die Verwendung eines Proxys eingestellt ist, wird die Kategorienfilterung nur dann verfügbar sein, wenn in UserGate DNS-Weiterleitung aktiviert ist. Kategorienfilterung ist für NAT- Traffic nicht freigegeben. Um den Zugriff auf bestimmte Kategorien zu verweigern (Abb. 21), öffnen Sie Traffic Policy Traffic Rules, erstellen Sie eine Connection Close -Regel, und geben Sie dann die unerwünschte Kategorie auf Seite fünf des Dialogs zur Regelerstellung an. 27

28 Abbildung 18. Kategorisierte Filterregeln Einstellen einer Traffic-Verbrauchsbeschränkung Die Verbindung - Schließen -Traffic-Management-Regeln können nicht nur für das Sperren bestimmter Internetressourcen verwendet werden, sondern auch für eine Beschränkung des Traffic-Verbrauchs. In diesem Fall sollten Sie als Bedingung den maximalen Wert für eingehenden/ausgehenden (oder Gesamt-) Traffic pro Tag, Woche oder Monat eingeben (Abb. 22). Abbildung 19. Traffic-Beschränkung Wenn die Traffic-Verbrauchsbeschränkung für einen Anwender angewendet wird, wird der Internetzugang vollständig oder teilweise blockiert (abhängig von zusätzlichen Parametern, z.b. Protokollen, auf die die Regel angewendet wird), wenn das Limit überschritten wurde. Beschränkung der Dateigröße Die UserGate Traffic-Management-Regeln erlauben die Beschränkung der Größe von Dateien, die heruntergeladen werden. Diese Option ist für die logische ODER Regel aktiviert und wird nur auf Proxy-Traffic angewendet. 28

29 AbrecHNUNGssystem Internetzugangs-Abrechnung Neben der direkten Traffic-Registrierung kann UserGate Server für die Kostenberechnung der Internetverbindung verwendet werden. Diese erfolgt durch ein integriertes Abrechnungssystem. Dem Abrechnungssystem liegt der Begriff Tarif zu Grunde. Standardmäßig gibt es nur einen Tarif in UserGate, mit dem Kostenwert Null für eingehenden, ausgehenden und temporären Traffic. Der UserGate Administrator kann eine beliebige Anzahl Tarife erstellen, entsprechend der Kostenrichtlinien des Internetproviders oder nach seinen eigenen Präferenzen, wenn UserGate für die Bereitstellung von kostenpflichtigem Internetzugang verwendet wird. Der UserGate Zugangstarif kann sowohl auf Anwender als auch auf Anwendergruppen angewendet werden. Standardmäßig werden die Internetverbindungen aller Anwender, die zur selben Gruppe gehören, nach dem für diese Gruppe geltenden Tarif abgerechnet. Allerdings kann der Administrator den Anwendertarif neu definieren. Statuskontrolle des Anwenderkontos Die Funktionen des UserGate Abrechnungssystems ergänzen das integrierte Traffic-Management-System perfekt. Wenn UserGate Server zur Bereitstellung eines kostenpflichtigen Internetzugangs verwendet wird, können Sie den Status des Anwenderkontos mit dem Traffic-Management-System kontrollieren. So können Sie in der Regel Connection Close die Option Account Status als Bedingung aktivieren und dort den Schwellenwert des Anwenderkontos angeben. Die Regel gilt dann für den Fall, dass die Menge des Anwenderkontos unter dem Schwellenwert bleibt. Dynamischer Tarifwechsel Die UserGate Traffic-Management-Regeln können für dynamischen Tarifwechsel verwendet werden. Die häufigste Aufgabe bei der Arbeit mit Dial-Up-Verbindungen ist der Wechsel zwischen Tag- und Nacht-Tarifen. Eine weitere Aufgabe wäre zum Beispiel, wenn Sie verschiedene Tarife für Provider innerhalb des Netzwerks und für das Internet nutzen. Beide Aufgaben werden über die Regel Tariff Change ausgeführt. UsERGATE Remote-Administration Einstellungen zu Remote-Verbindungen Sie können mit dem UserGate Administrationsmodul einen Remote-Server steuern. Geben Sie unter Server address in den Verbindungseinstellungen den Domänennamen oder die IP-Adresse des Remote-Rechners an, auf dem UserGate läuft. Um das Administrationsmodul eines Remote-Rechners zu verwenden, sollten Sie das Verzeichnis %UserGate%\Administrator darauf verschieben und install.bat ausführen, das die erforderlichen dynamischen Bibliotheken registriert. Auf neue Versionen prüfen Unter General Settings in UserGate Administrator gibt es die Option Version checking. Wenn diese Option aktiviert ist, fragt 29

30 UserGate Server die Nummer der letzten auf der UserGate-Homesite verfügbaren Version ab. Wenn die installierte Version eine frühere ist als diejenige, die auf der Homesite verfügbar ist, erscheint eine entsprechende Meldung in der Administrationskonsole. In diesem Fall kann der Administrator die verfügbare Version herunterladen und installieren. Eine automatische Neuinstallation von UserGate wird nicht unterstützt. UsERGATE Statistik-DienstproGRAmm Statistikinformationen zum Traffic werden in UserGate Servers eigener Datenbank gespeichert. Standardmäßig wird die MS Access Datenbank verwendet, die sich als log.mdb Datei im UserGate Verzeichnis befindet. Kurze Informationen über den gesamten Traffic von Anwendern und Gruppen finden sich unter Monitoring in UserGate Administrator. Detaillierte Statistikinformationen werden im Statistikmodul von UserGate angezeigt, einer Anwendung für die Arbeit mit der UserGate Statistikdatenbank (Abb. 20). Abbildung 20. UserGate Statistik Sie können mit Hilfe von Filtern detaillierte Statistiken über jeden Anwender oder jede Gruppe abrufen. Filter erlauben das Erstellen von Berichten nach Zugriffszeit, nach Protokollen, nach angefragten Ressourcen, usw. Der Bericht wird in einer Tabelle angezeigt, die nach MS Excel oder ins HTML-Format exportiert werden kann, falls erforderlich. UsERGATE Webstatistik UserGate v.5 enthält ein neues Statistikmodul. Mit dem Webstatistikmodul lassen sich detaillierte Statistiken über die 30

31 Internetverbindungen von jedem Punkt der Welt über einen gewöhnlichen Browser abrufen. Sie können bestimmte Regeln für jeden Anwender erstellen, nach denen er auf UserGate Statistiken zugreifen kann. So dürfte ein normaler Anwender eventuell seine eigene Statistik einsehen, ein Vorgesetzter die Statistiken aller Anwender, und ein Administrator darüberhinaus über das Recht zur Erstellung von Vorlagen für Statistikberichte verfügen. Statistische Informationen werden jetzt nicht nur tabellarisch, sondern auch grafisch (in Form von Diagrammen) dargestellt, wodurch die Berichte lesbarer werden. Sie erhalten Zugriff auf die Statistik über den Link (wobei zum Beispiel die Adresse von UserGate Server ist) oder über den entsprechenden Bereich auf der persönlichen Anwenderstatistik-Seite (wobei 8080 zum Beispeil der HTTP-Proxy-Port ist). Web Statistik-Einstellungen In den Statistikeinstellungen können Sie regionale Einstellungen vorehmen, den Cache aktivieren und seine Speicherzeit bestimmen und die Aufzeichnung der Haushaltsinformationen aktivieren. Unter den Ansichtseinstellungen können Sie die Anzahl von Bytes pro Kilobyte entsprechend der Definition des Providers bestimmen, die Details zur Spezifizierung von Information angeben und die Darstellung der URL-Adressen aktivieren. Um ein übermäßiges Laden des Statistik-Bildschirms zu vermeiden, können Sie die Anzeige eines Anwenderkontos ausschalten. Leistungsbewertung der Traffic-Management-Regeln Um den Internetzugang zu managen, kann der UserGate Administrator Management-Regeln erstellen und sie auf einen Anwender oder Anwendergruppen anwenden. Es kann jedoch eine Situation eintreten, in der die erstellten Regeln nicht mehr effektiv funktionieren. Zum Beispiel, wenn eine Regel, die für alle Anwender gilt, auch auf die aktivsten Anwender angewendet wird. In diesem Fall ist es sinnvoll, die Regel für diejenigen Anwender zu deaktivieren, für die sie nicht länger nötig ist. Da der Traffic dieser Anwender nicht mehr zusätzlich überprüft werden muss, sind beim Betrieb von UserGate Server einige Verbesserungen in der Produktivität möglich. Um die Effizienz der Regeln zu schätzen, gibt es den Abschnitt Rules events log in der Webstatistik. 31