ViPNet Security Gateway 3.0. Administratorhandbuch

Transkript

1 ViPNet Security Gateway 3.0 für ARM-Plattfrm Administratrhandbuch

2 Ziel und Zweck Dieses Handbuch beschreibt die Installatin und Knfiguratin vn ViPNet Security Gateway. Für neueste Infrmatinen und Hinweise zum aktuellen Sftware-Release sllten Sie in jedem Fall zusätzlich unsere Release Ntes lesen insbesndere, wenn Sie ein Sftware-Update zu einem höheren Release-Stand durchführen. Die aktuellsten Release Ntes sind immer zu finden unter Haftung Der Inhalt dieses Handbuchs wurde mit größter Srgfalt erarbeitet. Die Angaben in Ihrem Handbuch gelten jedch nicht als Zusicherung vn Eigenschaften Ihres Prdukts. Der Hersteller haftet nur im Umfang ihrer Verkaufs- und Lieferbedingungen und übernimmt keine Gewähr für technische Ungenauigkeiten und/der Auslassungen. Die Infrmatinen in diesem Handbuch können hne Ankündigung geändert werden. Zusätzliche Infrmatinen, swie Änderungen und Release Ntes für ViPNet Security Gateway finden Sie unter Der Hersteller übernimmt keine Verantwrtung für Datenverlust und Schäden, die durch den unsachgemäßen Betrieb des Prdukts entstanden sind. Cpyright InfTeCS GmbH, Berlin Versin: DEU Dieses Dkument ist Teil des Sftwarepaketes und unterliegt daher denselben Lizenzbestimmungen wie das Sftwareprdukt. Dieses Dkument der Teile davn dürfen nicht hne die vrherige schriftliche Zustimmung der Inftecs GmbH verändert, kpiert, weitergegeben etc. werden. ViPNet ist ein registriertes Warenzeichen des Sftwareherstellers Inftecs GmbH. Marken Alle genannten Markennamen sind Eigentum der jeweiligen Hersteller. Wie Sie Inftecs erreichen Oberwallstr Berlin Deutschland Tel.: +49 (0) Fax: +49 (0) WWW: supprt@inftecs.biz

3 Inhalt Einführung... 6 Über dieses Dkument... 7 Zielgruppe... 7 Verwendete Knventinen... 7 Über das Prgramm... 9 Neue Möglichkeiten in Versin Lieferumfang... 9 Anfrderungen an die Hardware-Plattfrm Kntakt FAQ und andere Hilfsinfrmatin Kntakt Kapitel 1. Übersicht Zweck und Einsatzbereich vn ViPNet Security Gateway Aufbau der Sftware Geschützte ViPNet-Netzwerk Funktinen eines Crdinatrs im privaten ViPNet-Netzwerk Sicherheitsstufen Kapitel 2. Installatin vn ViPNet Security Gateway Vrgehensweise bei der Installatin und Einstellung vn ViPNet Security Gateway Image des Installatinsdatenträgers auf ein USB-Speichermedium schreiben Installatin vn Sftware ViPNet Security Gateway ViPNet Security Gateway im ViPNet Manager einstellen Installatin der ViPNet Schlüsseldistributin Kapitel 3. Parameter für ViPNet Security Gateway einstellen Empfehlungen zur Knfiguratin vn ViPNet Security Gateway ViPNet Security Gateway zum Netzwerk verbinden Netzwerkverbindung über Ethernet-Prtkll herstellen Verbindung zum Wi-Fi-Netzwerk herstellen Verbindung zum 3G-Mbilfunknetz herstellen... 37

4 Knfiguratin der Systemparameter Datum und Uhrzeit einstellen Knfiguratin der Auslagerungsdatei Parameter für Systemprtkll einstellen Parameter für Netzwerkadapter einstelen Änderung der Sicherheitsstufe auf einem Netzwerkadaper Registrierungsparameter der IP-Pakete Bearbeitungsregeln für ffenen Traffic einstellen Regeln zur Filterung des Traffics Regeln der Adressenübersetzung Parameter für Netzwerkdienste einstellen Parameter des Wi-Fi-Zugriffspunkts einstellen Parameter des Bluetth-Zugangspunkt einstellen Parameter des DHCP-Servers einstellen Parameter des DNS-Servers einstellen Parameter des NTP-Servers einstellen Prxyserver-Parameter einstellen Grundlegende Parameter knfigurieren Inhaltskntrlle knfigurieren Antivirus knfigurieren Lizenzdatei für Kaspersky Anti-Virus installieren Knfiguratin der VIP-Serverparameter Statusinfrmatinen über ViPNet Security Gateway anzeigen Lgdatei registrierter IP-Pakete anzeigen Kapitel 4. Verwendungsszenarien für ViPNet Security Gateway ViPNet Security Gateway für Einrichtung des lkalen Netzwerks verwenden Vrgehensweise bei der Einrichtung des lkalen Netzwerks Anbindung des lkalen Netzwerkes an das Internet Verwendung einer zusätzlichen IP-Adresse auf dem Netzwerkadapter Zentralen Prxyserver verwenden Verbindungen zu ffenen Knten schützen Verbindung zwischen geschützten und ffenen Knten Geschützte Verbindungen zwischen ffenen Knten Verbindung zwischen zwei vneinander entfernten Standrten Verbindungen über den geschützten ViPNet-Kanal Verbindungen über den geschützten IPSec-Kanal... 94

5 Anhang A Anhang B

6 Einführung Über dieses Dkument 7 Über das Prgramm 9 Anfrderungen an die Hardware-Plattfrm 10 Kntakt 12 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 6

7 Über dieses Dkument Zielgruppe Dieses Dkument wendet sich an Administratren vn ViPNet OFFICE Netzwerken, die für die Einrichtung und Einstellung vn ViPNet Security Gateway zuständig sind. Das vrliegende Handbuch enthält eine allgemeine Beschreibung vn ViPNet Security Gateway und kurze Anweisungen zur dessen Einrichtung und Benutzung in gebräuchlichen Verwendungsszenaris. Das hilft Ihnen den ViPNet Security Gateway schnell einzurichten, hne sich dabei an die vllständige Versin des Administratrhandbuchs zu wenden. Um mit dem vrliegenden Buch erflgreich zu arbeiten, sllte der Leser Grundkenntnisse in Netzwerktechnlgien und Erfahrungen mit der ViPNet Sftware-Lösungen haben. Ausführliche Infrmatinen über ViPNet-Netzwerke finden Sie in ViPNet OFFICE. Benutzerhandbuch. Verwendete Knventinen Weiter unten sind Knventinen aufgeführt, die im gegebenen Dkument zur Kennzeichnung wichtiger Infrmatinen verwendet werden. Tabelle 1. Symble, die für Anmerkungen benutzt werden Symbl Beschreibung Achtung! Dieses Symbl weist auf einen Vrgang hin, der für die Daten- der Systemsicherheit wichtig ist. Hinweis. Dieses Symbl weist auf einen Vrgang hin, der es Ihnen ermöglicht, Ihre Arbeit mit dem Prgramm zu ptimieren. Tipp. Dieses Symbl weist auf zusätzliche Infrmatinen hin. Tabelle 2. Ntatinen, die zur Kennzeichnung vn Infrmatinen im Text verwendet werden Ntatin Name Taste+Taste Beschreibung Namen vn Elementen der Benutzerberfläche. Beispiele: Fensterüberschriften, Feldnamen, Schaltflächen der Tasten. Tastenkmbinatinen. Zum Betätigen vn Tastenkmbinatinen sllte zunächst die ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 7

8 Ntatin Menü > Untermenü > Befehl Cde Beschreibung erste Taste gedrückt und dann, hne die erste Taste zu lösen, die zweite Taste gedrückt werden. Hierarchische Abflge vn Elementen. Beispiele: Menüeinträge der Bereiche der Navigatinsbereich. Dateinamen, Pfade, Fragmente vn Textdateien und Cdeabschnitten der Befehle, die aus der Befehlszeile ausgeführt werden. Für die Beschreibung der Befehle werden in diesem Dkument flgende Knventinen verwendet: Befehle, die aussschließlich im Administratrmdus ausgeführt werden können, werden in rter Farbe hervrgehben. Beispiel: Befehl Parameter, die vm Benutzer festgelegt werden sllen, werden in Pfeilklammern eingeschlssen angezeigt. Beispiel: Befehl <Parameter> Optinale Parameter werden durch eckige Klammern begrenzt angezeigt. Beispiel: Befehl <bligatrischer Parameter> [ptinaler Parameter] Wenn bei der Befehlseingabe ein Parameter aus mehreren möglichen Parameterptinen ausgewählt werden sll, werden die Parameterptinen in geschwungenen Klammern durch Strich getrennt angezeigt. Beispiel: Befehl {Optin-1 Optin-2} ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 8

9 Über das Prgramm ViPNet Security Gateway stellt eine Sftwarelösung auf Basis des Betriebssystems Linux dar und ist dafür bestimmt, im geschützten ViPNet OFFICE-Netzwerk die Funktinen eines Servers des Crdinatrs zu erfüllen (s. Funktinen eines Crdinatrs im privaten ViPNet- Netzwerk auf Seite 17). Die Sftware ViPNet Security Gateway ist dafür vrgesehen, auf Cmputer, die mit ARM-Przessrarchitektur ausgestattet sind, installiert zu werden (s. Anfrderungen an die Hardware-Plattfrm auf Seite 10). Neue Möglichkeiten in Versin 3.0 In diesem Abschnitt wird eine kurze Übersicht der Änderungen und neuen Möglichkeiten der Versin 3.0 gebten. Neue ViPNet-Treiberarchitektur Es wird die neue, skalierbare Treiberarchitektur vn ViPNet angewendet, die zu einer wesentlichen Erhöhung der Leistungsfähigkeit der Verarbeitung des verschlüsselten Traffics insbesndere auf Mehrkernsystemen führt. Unterstützung der ARM-Architektur Die vrliegende Versin vn ViPNet Security Gateway ist dafür vrgesehen, auf Cmputer mit ARM-Przessrarchitektur installiert zu werden. Neue Hardware-Plattfrm In der vrliegenden Versin der Sftware wird nur eine Hardwareplattfrm unterstützt: der Minicmputer IP-Plug. Lieferumfang Zum Lieferumfang vn ViPNet Security Gateway gehören flgende Kmpnenten: Image des Installatinslaufwerks der Sftware vsg_vipnet_arm_x.x-xxx.img (wbei x.x-xxx die Versinsnummer ist). Dkument ViPNet Security Gateway für ARM-Plattfrm. Administratrhandbuch im PDF-Frmat. Dkument ViPNet Security Gateway. Referenzhandbuch im PDF-Frmat. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 9

10 Anfrderungen an die Hardware-Plattfrm Die Sftware ViPNet Security Gateway ist dafür vrgesehen, auf Minicmputer IP-Plug der Firma AK-Systems installiert zu werden. Der Minicmputer IP-Plug wurde auf Basis der ARM-Przessrarchitektur hergestellt, zeichnet sich durch niedrigen Energieverbrauch und kmpakte Größe aus und kann an das herkömmliche 220-Vlt-Strmnetz angeschlssen werden. Abbildung 1: Minicmputer IP-Plug Der Minicmputer IP-Plug verfügt über flgende technische Daten: Tabelle 3. Eigenschaften des Minicmputers IP-Plug Parameter Größe (B/H/T) Gewicht Strmversrgung Leistungsaufnahme Gleichstrm-Versrgung Przessr Arbeitsspeicher Speicher Netzwerkadapter Eigenschaften 76x118x43 mm 250 g Anschluss an das herkömmliche 220-V-Strmnetz 15 Watt 5 V, 3 A Marvell Kirkwd 88F6283, Taktfrequenz 1 GHz 1024 MB NAND Flash ab 512 MB 2 Ethernet-RJ45-Adapter 10/100/1000 МBit/s ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 10

11 Parameter I/O-Anschlüsse Eigenschaften 1 interner COM-Prt RS Anschlüsse USB 2.0 Wi-Fi b/g/n Eine Besnderheit des Minicmputers IP-Plugs ist das Fehlen eines Mnitranschlusses. Deswegen sllte für die Knfiguratin der Sftware ViPNet Security Gateway auf dem betrffenen Cmputer eine Remteverbindung über das SSH-Prtkll verwendet werden (s. Empfehlungen zur Knfiguratin vn ViPNet Security Gateway auf Seite 32). Zum Anzeigen vn Statusinfrmatinen über den Minicmputer wird eine ptische Anzeige verwendet. In der flgenden Tabelle sind Ereignisse und Przesse aufgeführt, auf die das Verhalten der Anzeige hinweisen kann. Tabelle 4. Optische Anzeige auf dem Minicmputer IP-Plug Anzeigestatus Blinkt grün Blinkt range Blinkt rt Leuchtet grün Mögliche Ereignisse und Vrgänge Cmputer wird gestartet Sftware wird installiert Neustart des Cmputers wird gestartet ViPNet-Schlüssel werden installiert (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29) Fehler beim Installieren der ViPNet-Schlüssel Installatin der Sftware erflgreich abgeschlssen Start des Cmputers und der ViPNet-Dienste erflgreich durchgeführt Wiederherstellen der Funktinsfähigkeit vn ViPNet-Diensten Leuchtet range Leuchtet rt Erflgreicher Start eines Cmputers, auf dem nch keine ViPNet- Adresslisten und -schlüssel installiert sind Fehler beim Installieren der Sftware Störung der Funktinsfähigkeit vn ViPNet-Diensten Kritische Störung im Betrieb der Linux-Dienste ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 11

12 Kntakt FAQ und andere Hilfsinfrmatin Infrmatinen über ViPNet Prdukte und Lösungen, gängige Fragen und andere nützliche Hinweise sind auf der Webseite vn InfTeCS zusammengefasst. Unter den aufgeführten Links können Sie zahlreiche Antwrten auf mögliche während des Prduktbetriebs auftretenden Fragen finden. Allgemeine Geschäftsbedingungen ViPNet Lösungen im Überblick ViPNet Wissensdatenbank Kntakt Bei Fragen zur Nutzung vn ViPNet Sftware swie möglichen Wünschen und Anregungen nehmen Sie Kntakt mit den Fachleuten der Firma InfTeCS auf. Für die Lösung aufgetretener Prblemfälle wenden Sie sich an den technischen Supprt. Anfrage an den technischen Supprt via Internetseite Supprt Htline +49 (0) (Tel.); +49 (0) (Fax). ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 12

13 1 Übersicht Zweck und Einsatzbereich vn ViPNet Security Gateway 14 Aufbau der Sftware 15 Geschützte ViPNet-Netzwerk 16 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 13

14 Zweck und Einsatzbereich vn ViPNet Security Gateway Die Sftware ViPNet Security Gateway wird als Bestandteil der Sftwarelösung ViPNet OFFICE eingesetzt, die dafür knzipiert ist, virtuelle private Netzwerke einzurichten und zu verwalten (s. Geschützte ViPNet-Netzwerk auf Seite 16). ViPNet Security Gateway stellt eine integrierte Sftwarelösung dar, die den Schutz vn Verbindungen zwischen dem Firmennetzwerk und den Cmputern entfernter Benutzer, dem Filialnetzwerken und den Netzwerken geschäftlicher Partner gewährleistet. Der Schutz vn Daten, die über öffentliche Netzwerke übertragen werden, wird mit Hilfe vn Trafficverschlüsselung, Authentisierung vn Netzwerkknten und Zugangskntrlle sichergestellt. Die Sftware ViPNet Security Gateway arbeitet unter der Verwaltung einer adaptierten Versin des Betriebssystems Linux und wird auf Minicmputer IP-Plug installiert (s. Anfrderungen an die Hardware-Plattfrm auf Seite 10). Grundlegende Funktinen vn ViPNet Security Gateway: VPN-Server, der eingehende geschützte Verbindungen zusammenfasst. ViPNet Security Gateway unterstützt die ViPNet-Technlgie, die direkte Verbindungen zwischen den Knten nach dem Client-t-Client-Schema (s. Geschützte ViPNet-Netzwerk auf Seite 16) ermöglicht, swie die IPSec-Technlgie. Firewall, die alle grundlegenden Parameter und Statuswerte vn Netzwerkverbindungen überwacht. ViPNet Security Gateway erlaubt es, für jeden Netzwerkadapter des Cmputers Filterregeln für IP-Pakete nach Prtkll, IP-Adresse der Prt einzustellen (s. Regeln zur Filterung des Traffics auf Seite 48). Außerdem führt ViPNet Security Gateway die Übersetzung vn IP-Adressen (NAT) durch (s. Regeln der Adressenübersetzung auf Seite 50). VPN-Gateway (Tunnelender Server), der die Organisatin vn abgesicherten Zugängen zu Firmenressurcen ermöglicht (s. Verbindungen zu ffenen Knten schützen auf Seite 85). ViPNet Security Gateway gewährleistet außerdem den Betrieb der Netzwerkdienste DHCP, DNS und NTP. Die grundlegenden Einsatzmöglichkeiten vn ViPNet Security Gateway in Firmennetzwerken werden im Abschnitt Verwendungsszenarien für ViPNet Security Gateway (auf Seite 74) beschrieben. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 14

15 Aufbau der Sftware Flgende grundlegende funktinelle Mdule bilden den Inhalt vn ViPNet Security Gateway: Kernel-Level-Netzwerkschutztreiber ViPNet, der unmittelbar mit anderen Netzwerkkartentreibern interagiert und den gesamten Datenaustausch des Cmputers mit dem externen Netzwerk überwacht. Steuerungsprgramm, das die benötigten Parameter für den ViPNet-Treiber lädt, Infrmatinen über die IP-Adressen vn Clients sendet und empfängt, den Traffic prtklliert, usw. Es wird empfhlen, dieses Prgramm immer laufen zu lassen. Beim Beenden des Prgramms arbeitet der ViPNet-Treiber aber weiter, der Datenaustausch wird nicht unterbrchen. Crypt-Treiber, der kryptgrafische Operatinen auf Anfrage des Treibers iplir ausführt. Failver-System, das Treiber und ein spezielle Daemn enthält. Der Treiber arbeitet auf einer sehr niedrigen Schicht und bleibt in den meisten Fällen auch dann funktinsfähig, wenn das System auf externe Ereignisse nicht mehr reagiert. MFTP-Trasprtmdul, der den Empfang und die Weiterleitung vn Transprtdateien zwischen den ViPNet-Netzwerkknten gewährleistet. Befehlszeileninterpreter, mit dessen Hilfe die integrierte Hard- und Sftwarelösung administriert wird. DHCP-Server, der für die dynamische Vergabe vn IP-Adressen an Netzwerkknten srgt. DNS-Server, der die Auflösung vn Namen in IP-Adressen gewährleistet. NTP-Server, mit dessen Hilfe die Synchrnisatin der Systemzeit erflgt. Prxyserver mit der Möglichkeit zur Kntrlle und Antivirus-Überprüfung des Inhalts vn Internetbjekten. VIP-Server, mit dessen Hilfe ein firmeninternes IP-Telefniesystem eingerichtet werden kann. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 15

16 Geschützte ViPNet-Netzwerk Die Sftware ViPNet Security Gateway ist dafür knzipiert, in einem geschützten ViPNet- Netzwerk, das auf Basis der Sftware-Lösung ViPNet OFFICE eingerichtet wurde, eingesetzt zu werden. Das ViPNet-Netzwerk stellt ein virtuelles geschütztes Netzwerk (s. Virtuelles Privates Netzwerk (VPN) auf Seite 103) dar, das über bestehende lkale der glbale Netzwerke beliebiger Struktur installiert werden kann. Im Unterschied zu vielen gängigen VPN-Lösungen gewährleistet die ViPNet-Technlgie eine abgesicherte Interaktin zwischen den Netzwerkknten (s. ViPNet-Netzwerkknten auf Seite 103) nach dem Client-t-Client - Schema. Der Schutz vn Daten wird innerhalb des ViPNet-Netzwerks mit Hilfe einer speziellen Sftware sichergestellt, die zwei grundlegende Funktinen erfüllt: Filterung des gesamten IP-Traffics der Netzwerkknten. Die Traffic-Filterung erflg in Übereinstimmung mit vrdefinierten Sicherheitsstufen (auf Seite 18) und Benutzerregeln. Verschlüsselung vn Verbindungen zwischen den ViPNet-Netzwerkknten. Für die Verschlüsselung des Traffics werden symmetrische Schlüssel verwendet, die zentralisiert angelegt und verteilt werden. Für die Administratin des geschützten ViPNet-Netzwerks wird das Prgramm ViPNet Manager (auf Seite 102) verwendet. Mit Hilfe vn ViPNet Manager werden neue Netzwerkknten angelegt, Verbindungen zwischen diesen Knten definiert, Parameter einzelner Knten knfiguriert, Schlüssel für jeden Knten erstellt und zentralisierte Updates vn Sftware und Schlüssel auf den Knten durchgeführt. ViPNet-Netzwerkknten werden in zwei Typen unterteilt: Clients: Arbeitsstatinen der Benutzer im ViPNet-Netzwerk. Auf den Clients sllte die Sftware ViPNet Client installiert sein. Crdinatren: Servern des ViPNet-Netzwerks (s. Funktinen eines Crdinatrs im privaten ViPNet-Netzwerk auf Seite 17). Ein Netzwerkknten mit installierter ViPNet Security Gateway-Sftware, die in diesem Dkument beschrieben wird, wird als Crdinatr bezeichnet. Als Crdinatren können auch Cmputer mit installierter ViPNet Crdinatr-Sftware der spezielle, kmbinierte Hard- und Sftwarelösungen verwendet werden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 16

17 Im ViPNet-Netzwerk können sich auch getunnelte Knten befinden: Cmputer der andere Geräte hne installierter ViPNet-Sftware, deren Traffic vm Crdinatr mit Hilfe der Technlgie der Tunnelung (auf Seite 102) geschützt wird. Funktinen eines Crdinatrs im privaten ViPNet-Netzwerk Ein Crdinatr (s. Crdinatr (ViPNet Crdinatr) auf Seite 97) ist ein VPN-Server in einem geschütztem ViPNet-Netzwerk. Je nachdem welche Aufgaben im ViPNet-Netzwerk benötigt werden, kann ein Crdinatr flgende Funktinen erfüllen: VPN-Server, der Infrmatinen über den Zustand vn ViPNet-Netzwerkknten speichert und diese an seine Clients weiterleitet. Jeder Client eines ViPNet-Netzwerks teilt seinem VPN-Server in gewissen Zeitabständen seinen Zustand mit. VPN-Server tauschen die vn Clients erhaltenen Infrmatinen untereinander aus. Jeder Client des ViPNet-Netzwerks bekmmt vn seinem VPN-Server Daten über die Zugangsmöglichkeiten zu denjenigen ViPNet-Netzwerkknten, mit denen er verbunden ist, swie über den Zustand dieser Netzwerkknten. Firewall. Der Crdinatr ist dafür zuständig, ffene, verschlüsselte und getunnelte IP- Pakete auf jedem Netzwerkadapter nach IP-Adressen, Prtkllen und Prts zu filtern. Filterungsverfahren für ffenen und getunnelten Datenverkehr entsprechen den vrher eingestellten Filterregeln und Sicherheitsstufen (auf Seite 18). Auch führt der Crdinatr die Umsetzung vn IP-Adressen (s. Netzwerkadressenübersetzung (NAT) auf Seite 101) für verschlüsselten und unverschlüsselten Datenverkehr durch. Die Umsetzung vn IP-Adressen für verschlüsselten Datenverkehr wird entsprechend den vreingestellten Parametern durchgeführt. Diese Parameter können nicht geändert werden. Bei der Umsetzung vn IP-Adressen für ffenen Datenverkehr ist es möglich, Regeln für die statische und dynamische NAT-Funktin einzustellen. Dadurch werden zwei wichtige Aufgaben gelöst: Verbindung eines lkalen Netzwerks mit Internet, wenn die Anzahl der Knten im lkalen Netzwerk die Anzahl der vm Prvider bereitgestellten öffentlichen IP- Adressen überschreitet. Zugang zu lkalen Netzwerkknten aus dem Internet. VPN-Gateway (tunnelender Server). Tunnelung des Datenverkehrs. Crdinatren können den Datenverkehr vn ffenen Netzwerkknten in ptenziell gefährdeten Netzwerkbereichen sichern. Das gilt für Cmputer der andere Netzwerkgeräte hne ViPNet Client- der ViPNet Crdinatr-Sftware. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 17

18 Der Datenverkehr vn einem getunnelten Netzwerkknten geht auf einen Crdinatr unverschlüsselt ein. Der Crdinatr verschlüsselt diesen Datenverkehr und leitet den an den Zielknten der ggf. einen anderen Crdinatr weiter. Verschlüsselte Daten für einen getunnelten Netzwerkknten werden durch den Crdinatr entschlüsselt und an den Netzwerkknten weitergeleitet. Kmmunikatinsserver, der Schlüssel- und Sftwareupdates, die aus dem Prgramm ViPNet Manager versendet werden, liefert und den Paketaustausch der ViPNet- Anwendungen (s. Datei (Transprtdatei) auf Seite 98) zwischen den Netzwerkknten gewährleistet. Das Ruting vn Nutzdaten und Steuerungspaketen wird durch das Transprtmdul ViPNet MFTP durchgeführt. Es nimmt die Pakete vn ViPNet-Netzwerkknten an und leitet sie an den Zielknten der an einen anderen Ruting Server weiter. Sicherheitsstufen Die ViPNet-Sftware verfügt über fünf vrknfigurierte Filterungsplicen für ffenen Datenverkehr, die als Sicherheitsstufen bezeichnet werden: 1 Alle Verbindungen blckieren. Es sind ausschließlich Verbindungen mit geschützten ViPNet-Netzwerkknten (s. Geschützter Netzwerkknten auf Seite 99) erlaubt, alle Verbindungen mit ffenen Netzwerkknten (auch mit getunnelten Knten) werden blckiert. 2 Nur erlaubte Verbindungen durchlassen. Verbindungen mit geschützten ViPNet-Netzwerkknten sind erlaubt. Eine Verbindung mit ffenen Netzwerkknten ist nur dann möglich, wenn sie in Filterregeln explizit erlaubt wurde. Es ist empfehlenswert, die zweite Sicherheitsstufe einzustellen. Standardmäßig ist sie auf allen Netzwerkadaptern eines ViPNet Security Gateway aktiviert. 3 Ausgehende Verbindungen erlauben außer verbtene. Verbindungen mit geschützten ViPNet-Netzwerkknten sind erlaubt. Ausgehende Verbindungen mit ffenen Netzwerkknten sind möglich, insfern sie in Filterregeln nicht untersagt wrden sind. Eine eingehende Verbindung ist nur dann möglich, wenn sie in Filterregeln explizit erlaubt wurde. 4 Alle Verbindungen erlauben. Verbindungen mit geschützten ViPNet-Netzwerkknten sind erlaubt. Alle Verbindungen mit ffenen Netzwerkknten sind erlaubt. Filterregeln werden dabei nicht beachtet. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 18

19 Achtung! Es wird nicht empfhlen, die vierte Sicherheitsstufe auf Netzwerkadaptern eines Crdinatrs einzustellen, denn in diesem Fall ist der Crdinatr vr einen unbefugten Zugriff nicht geschützt. Diese Stufe sllte man nur für eine kürzere Zeit zu Testzwecken aktivieren. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 19

20 2 Installatin vn ViPNet Security Gateway Vrgehensweise bei der Installatin und Einstellung vn ViPNet Security Gateway 21 Image des Installatinsdatenträgers auf ein USB-Speichermedium schreiben 23 Installatin vn Sftware ViPNet Security Gateway 25 ViPNet Security Gateway im ViPNet Manager einstellen 26 Installatin der ViPNet Schlüsseldistributin 29 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 20

21 Vrgehensweise bei der Installatin und Einstellung vn ViPNet Security Gateway Damit das Prgramm ViPNet Security Gateway benutzt werden kann, muss in der Lizenz für das ViPNet OFFICE Netzwerk (s. Lizenzerweiterung für ViPNet OFFICE auf Seite 100) die genaue Anzahl vn Crdinatren, auf welchen diese Sftware installiert wird, angegeben werden. Anderenfalls wird die Verwendung vn ViPNet Security Gateway in Ihrem Netzwerk nicht möglich sein. Die Sftware ViPNet Security Gateway wird als Image eines Installatinsdatenträgers geliefert. Dieses Image sllte auf ein tragbares USB-Speichermedium geschrieben werden. Mit Hilfe dieses USB-Sticks kann die Sftware dann auf einem Cmputer installiert werden. Anschließend sllten auf dem ViPNet Security Gateway-Crdinatr, der auf diese Weise eingerichtet wurde, eine ViPNet-Schlüsseldistributin installiert und alle ntwendigen Parameter eingestellt werden. Tabelle 5. Vrgehensweise bei der Installatin und Einstellung vn ViPNet Security Gateway Aktin Um die Sftware ViPNet Security Gateway zu erwerben, wenden Sie sich bitte an die Vertreter vn InfTeCS. Bei Bedarf aktualisieren Sie auch Ihre Lizenz für ViPNet OFFICE. Laden Sie das Image des Installatinsdatenträgers mit dem Prgramm ViPNet Security Gateway herunter und schreiben es auf das tragbare USB-Speichermedium. Installieren Sie das Prgramm ViPNet Security Gateway auf dem Rechner. Erstellen Sie einen neuen Crdinatr im Prgramm ViPNet Manager und nehmen alle ntwendigen Einstellungen vr. Auf dem ViPNet Security Gateway installieren Sie die ViPNet Schlüsseldistributin. Stellen Sie die Systemparameter des ViPNet Security Gateway ein. Verweis Siehe ViPNet OFFICE. Benutzerhandbuch. Image des Installatinsdatenträgers auf ein USB-Speichermedium schreiben (auf Seite 23). Installatin vn Sftware ViPNet Security Gateway (auf Seite 25) ViPNet Security Gateway im ViPNet Manager einstellen (auf Seite 26) Installatin der ViPNet Schlüsseldistributin (auf Seite 29) Einstellung vn Systemparameter in ViPNet Security Gateway ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 21

22 Aktin Vergewissern Sie sich, dass das ViPNet Security Gateway richtig funktiniert, indem Sie die Verbindung zwischen geschützten der getunnelten Netzwerkknten überprüfen. Verweis Verwendungsszenarien für ViPNet Security Gateway (auf Seite 74) ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 22

23 Image des Installatinsdatenträgers auf ein USB-Speichermedium schreiben Die Installatin vn ViPNet Security Gateway auf einem Rechner erflgt vn einem Flash- Stick, welcher in einen USB-Anschluss eingesteckt wird. Bevr Sie mit der Installatin anfangen, müssen Sie das erwrbene Image des Installatinsdatenträger VSG_vipnet_arm_x.xxxx.img auf das Flash-Speichermedium schreiben. Das kann swhl im Linux- als auch im Windws-Betriebssystem durchgeführt werden. Um das Image auf das Flash-Speichermedium im Betriebssystem Windws zu schreiben, kann das kstenlse Prgramm Win32 Disk Imager benutzt werden. Dafür gehen Sie wie flgt vr: 1 Laden Sie die Anwendungsdatei (binäre Datei) Win32 Disk Imager runter: 2 Schließen Sie das Flash-Speichermedium zum USB-Anschluss an. 3 Starten Sie das Prgramm Win32 Disk Imager. Hinweis. Wenn beim Prgrammstart die erste Disk nach der alphabetischen Reihenflge (z.b. Disk A) nicht verbunden ist der in einem anderen Prgramm benutzt wird, erscheint eine Fehlermeldung. Klicken Sie bitte im Meldungsfenster auf OK und setzen Sie die Arbeit frt. 4 Wählen Sie das angeschlssene Flash-Speichermedium im Prgrammfenster Win32 Disk Imager in der Liste Device aus. 5 Klicken Sie auf und geben Sie den Pfadnamen der Imagedatei VSG_vipnet_arm_x.xxxx.img im Fenster Select a disk image an. 6 Um den Schreibvrgang zu starten, klicken Sie auf Write. 7 Klicken Sie im Dialgfenster auf Yes. Der Schreibvrgang wird gestartet. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 23

24 Abbildung 2: Schreibvrgang eines Images im Win32 Disk Imager 8 Nachdem das Schreiben abgeschlssen wurde, kann das Flash-Speichermedium zur Installatin vn ViPNet Security Gateway verwendet werden. Im Betriebssystem Linux kann das Image auf das Flash-Speichermedium mit dem Befehl dd geschrieben werden. Um das Image zu schreiben, führen Sie flgende Aktinen auf dem Cmputer mit dem installierten Linux-Betriebssystem durch: 1 Schließen Sie das Flash-Speichermedium am USB-Anschluss an. 2 Ermitteln Sie den Pfadnamen des angeschlssenen Geräts. Dazu führen Sie den Befehl fdisk -l unter dem Administratrknt aus. 3 Um das Image auf dem Flash-Speichermedium zu schreiben, geben Sie den Befehl dd if=<imagedatei> f=<gerätpfadname>. Zum Beispiel: dd if=/hme/user/vsg_vipnet_arm_x.x-xxx.img f=/dev/sdb 4 Nachdem der Schreibvrgang abgeschlssen wurde, kann das Flash-Speichermedium zur Installatin vn ViPNet Security Gateway verwendet werden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 24

25 Installatin vn Sftware ViPNet Security Gateway Führen Sie die flgenden Schritte aus, um die Sftware ViPNet Security Gateway auf den Minicmputer IP-Plug zu installieren (s. Anfrderungen an die Hardware-Plattfrm auf Seite 10): 1 Schließen Sie den USB-Datenträger mit dem Installatinslaufwerk vn ViPNet Security Gateway an den Cmputer an. 2 Schalten Sie den Cmputer ein. Nach dem Start des Cmputers wird das Installatinsprgramm vn ViPNet Security Gateway autmatisch gestartet. Das Prgramm wird die Sftware ViPNet Security Gateway autmatisch im Flash- Speicher des Minicmputers installieren. Statusinfrmatinen über den Installatinsvrgang werden mit Hilfe der LED-Anzeige auf dem Minicmputer vermittelt. Es werden flgende Indikatren verwendet: Anzeige blinkt range: die Sftware wird installiert; Anzeige leuchtet rt: beim Installieren der Sftware ist ein Fehler aufgetreten; Anzeige leuchtet grün: die Installatin der Sftware wurde erflgreich abgeschlssen. 3 Nehmen Sie den USB-Datenträger nach Abschluss der Installatin heraus. 4 Trennen Sie den Minicmputer vm Strmnetz und schalten Sie ihn dann wieder ein. Es wird ein Neustart des Cmputers durchgeführt, anschließend wird die Sftware ViPNet Security Gateway gestartet. 5 Installieren Sie eine ViPNet-Schlüsseldistributin (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29) auf dem Cmputer mit ViPNet Security Gateway- Sftware. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 25

26 ViPNet Security Gateway im ViPNet Manager einstellen Ein Cmputer mit installierter ViPNet Security Gateway-Sftware übernimmt im ViPNet- Netzwerk die Rlle des Crdinatrs (s. Funktinen eines Crdinatrs im privaten ViPNet- Netzwerk auf Seite 17). Bevr ViPNet Security Gateway verwendet werden kann, sllte im Prgramm ViPNet Manager ein neuer Crdinatr erstellt (der ein bereits vrhandener Crdinatr passend umknfiguriert) werden und eine Schlüsseldistributin für diesen Crdinatr generiert werden. Danach sllte diese Schlüsseldistributin auf dem Cmputer ViPNet Security Gateway installiert werden (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29). Um einen Crdinatr im ViPNet Manager hinzuzufügen und einzustellen, gehen Sie wie flgt vr: 1 Um einen neuen Crdinatr zu erstellen: Klicken Sie mit der rechten Maustaste im Prgrammfenster ViPNet Manager im Navigatinsbereich auf Eigenes Netzwerk und wählen den Punkt Crdinatr hinzufügen im Kntextmenü aus. Im Fenster Verbindungen klicken Sie auf OK, um den neuen Crdinatr mit allen Netzwerkknten zu verbinden. Geben Sie einen Namen für den Crdinatr ein. 2 Bei Bedarf fügen Sie Clients zu dem Crdinatr hinzu. 3 Im Navigatinsbereich des Prgrammfensters ViPNet Manager wählen Sie den erstellten Crdinatr. 4 Für den markierten Crdinatr wählen Sie in der Registerkarte Schlüssel in der Liste Crdinatrtyp den Punkt Security Gateway aus. Hinweis. Der Typ Security Gateway wird in der Liste dann aufgeführt, wenn vn Ihrer Lizenz für das ViPNet OFFICE-Netzwerk die Verwendung vn ViPNet Security Gateway erlaubt ist. Anderenfalls wenden Sie sich an einen Vertreter der Firma Inftecs. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 26

27 Abbildung 3: ViPNet Security Gateway im Prgramm ViPNet Manager einstellen 5 Wenn ein eigenes Benutzerpasswrt vn ViPNet Security Gateway angelegt werden sll, dann klicken Sie auf die Schaltfläche Passwrt ändern und wählen Sie im Fenster Benutzerpasswrt den Kennwrttyp Benutzerdefiniert. 6 Geben Sie IP-Adressen der DNS-Namen, die zum Zugang zu dem Crdinatr benutzt werden an: Wenn es s vrgesehen ist, dass der Crdinatr über statische IP-Adressen verfügen wird, geben Sie die IP-Adressen des Crdinatrs an. Sll der Crdinatr über dynamische IP-Adressen verfügen, geben Sie in der Registerkarte DNS-Namen die DNS-Namen des Crdinatrs an. Diese Namen müssen im DNS-Service registriert sein, z.b. DynDNS. Wenn die IP-Adressen und DNS-Namen zum Zeitpunkt der Erstellung des Netzwerkkntens nicht bekannt sind, dann sllten sie später angegeben werden. IP- Adressen der DNS-Namen sllten angegeben werden, wenn auf dem ViPNet Security Gateway Clients hinzugefügt werden sllen. Wenn ViPNet Security Gateway lediglich für die Tunnelung verwendet werden sll, dann werden die Zugangsadressen zum ViPNet Security Gateway-Knten autmatisch an andere Knten übermittelt. 7 In der Registerkarte Firewall geben Sie Parameter für die Verbindung des Crdinatrs zu einem externen Netzwerk (z.b. zum Internet) an: Wenn der Crdinatr direkt mit dem externen Netzwerk verbunden wird, deaktivieren Sie das Kntrllkästchen Firewall verwenden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 27

28 Wenn die Verbindung des Crdinatrs zu einem externen Netzwerk über eine Firewall erflgt, aktivieren Sie das Kntrllkästchen Firewall verwenden, in der Liste Firewall-Typ wählen Sie den richtigen Punkt und geben Sie die anderen Verbindungsparameter an. 8 Sll der Crdinatr den Datenverkehr vn ffenen Netzwerkknten tunneln, machen Sie Flgendes in der Registerkarte Tunnelung: Geben Sie die maximale Verbindungsanzahl, welche durch diesen Crdinatr gleichzeitig getunnelt werden sllen, an. In der Liste IP-Adressen der getunnelten Verbindungen fügen Sie die IP-Adressen vn ffenen Netzwerkknten, die getunnelt werden sllen, hinzu. Hinweis. Wenn ein der mehrere der ben aufgelisteten Parameter nicht definiert wrden sind, sllten sie im ViPNet Manager später angegeben werden. In diesem Fall können die Netzwerkknten, die mit diesem Crdinatr verbunden sind, bei der Schlüsselaktualisierung die IP-Adressen des Crdinatrs und aller vn ihm getunnelten Knten, swie andere Parameter aus dem Prgramm ViPNet Manager ablesen. 9 Sbald alle ntwendigen Einstellungen vrgenmmen wurden, klicken Sie in der Registerkarte Schlüssel auf Schlüssel speichern und geben den Ordner zum Speichern der Schlüsseldistributinen an. Im ausgewählten Ordner werden die Schlüsseldistributin für den Crdinatr (Datei *.dst) und die beiden Textdateien ViPNet.txt und ViPNet_a.txt gespeichert. Diese Textdateien enthalten das Benutzer- und das Administratrpasswrt für den Netzwerkknten. Das Administratrkennwrt des Netzwerkkntens wird bei der Knfiguratin der Parameter vn ViPNet Security Gateway benötigt (s. Parameter für ViPNet Security Gateway einstellen auf Seite 31). 10 Kpieren Sie die Schlüsseldistributin auf einen USB-Stick. Diese Distributin sllte auf dem Cmputer mit ViPNet Security Gateway installiert werden (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29). Detaillierte Infrmatinen über die Einstellung vn Netzwerkknten-Parameter im ViPNet Manager Prgramm finden Sie im ViPNet OFFICE. Benutzerhandbuch. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 28

29 Installatin der ViPNet Schlüsseldistributin Die Installatin der Schlüsseldistributin auf einen Minicmputer mit ViPNet Security Gateway wird mit Hilfe eines abnehmbaren USB-Datenträgers durchgeführt, in dessen Stammverzeichnis sich die flgenden Dateien befinden sllten: Schlüsseldistributin des Netzwerkkntens, der auf dem Minicmputer installiert werden sll (Datei mit Erweiterung.dst). Datei hwinit.xml, die Installatinsparameter der Schlüsseldistributin enthält. Führen Sie die flgenden Schritte aus, um eine Schlüsseldistributin zu installieren: 1 Führen Sie zuvr die Knfiguratin des Crdinatrs im Prgramm ViPNet Manager durch (s. ViPNet Security Gateway im ViPNet Manager einstellen auf Seite 26) und speichern Sie die Crdinatr-Schlüsseldistributin auf ein Laufwerk (Datei *.dst). 2 Senden Sie die erstellte Schlüsseldistributin an einen Vertreter der Firma Inftecs. Auf Basis der Daten, die in der Distributin enthalten sind, erstellen Fachleute der Firma die Datei hwinit.xml und leiten diese an Sie weiter. Hinweis. Wenn nötig, können Sie die Datei hwinit.xml selbständig mdifizieren. Ändern Sie aber keinesfalls den Namen der Distributinsdatei der das Benutzerpasswrt. 3 Kpieren Sie die Schlüsseldistributin des Crdinatrs und die Datei hwinit.xml in das Stammverzeichnis eines USB-Datenträgers. 4 Schließen Sie den USB-Datenträger an den Minicmputer an, auf dem ViPNet Security Gateway installiert ist. 5 Trennen Sie den Minicmputer vm Strmnetz und schalten Sie ihn dann wieder ein. Es wird ein Neustart des Cmputers durchgeführt und anschließend die Verarbeitung der Datei hwinit.xml begnnen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 29

30 6 Wenn in der Datei hwinit.xml krrekte Einstellungen enthalten sind, wird die Installatin der Schlüsseldistributin durchgeführt. Während des Installatinsvrgangs der Schlüsseldistributin blinkt die Anzeige des Minicmputers range. Wenn in der Datei hwinit.xml ein Fehler festgestellt wird, blinkt die Anzeige rt. 7 Nach erflgreicher Installatin der Schlüssel leuchtet die Anzeige grün. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 30

31 3 Parameter für ViPNet Security Gateway einstellen Empfehlungen zur Knfiguratin vn ViPNet Security Gateway 32 ViPNet Security Gateway zum Netzwerk verbinden 35 Knfiguratin der Systemparameter 40 Parameter für Netzwerkadapter einstelen 43 Bearbeitungsregeln für ffenen Traffic einstellen 46 Parameter für Netzwerkdienste einstellen 52 Prxyserver-Parameter einstellen 57 Knfiguratin der VIP-Serverparameter 66 Statusinfrmatinen über ViPNet Security Gateway anzeigen 70 Lgdatei registrierter IP-Pakete anzeigen 72 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 31

32 Empfehlungen zur Knfiguratin vn ViPNet Security Gateway Damit ViPNet Security Gateway mit Knten des ViPNet-Netzwerks und dem externen Netzwerk rdnungsgemäß interagieren kann, sllte eine Reihe vn Einstellungen durchgeführt werden: Parameter der Netzwerkadapter einstellen; Parameter der externen Firewall definieren; Systemzeit einstellen; Wenn erfrderlich, zusätzliche Parameter knfigurieren: Sicherheitsstufe für die Netzwerkadapter ändern, Filterregeln des ffenen Traffics einstellen, Adressen getunnelter Knten angeben. Um Parameter vn ViPNet Security Gateway einzustellen, können Sie flgende Mittel verwenden: Prgramm ViPNet Manager, Knfiguratinsdatei hwinit.xml. Befehlsshell vn ViPNet Security Gateway (Kmmandinterpreter) über eine Remteverbindung über das SSH-Prtkll. Die Möglichkeiten zur Knfiguratin vn ViPNet Security Gateway im Prgramm ViPNet Manager sind eingeschränkt, jedch sllten die Parameter der externen Firewall und die Adressen getunnelter Knten ausschließlich in ViPNet Manager definiert werden. Ebens wird es empfhlen, die IP-Adressen und DNS-Namen des Cmputers, auf welchem die ViPNet Security Gateway-Sftware installiert ist, in ViPNet Manager anzugeben. Die Einstellung dieser Paramter in ViPNet Manager vereinfacht die Administratin und ermöglicht es, andere ViPNet- Netzwerkknten über geänderte Parameter durch den Versand vn Schlüsseln zu benachrichtigen. Weitere Infrmatinen über die Arbeit mit ViPNet Manager sind im Dkument ViPNet OFFICE. Benutzerhandbuch enthalten. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 32

33 Die Datei hwinit.xml wird beim Starten des Cmputers aus dem Stammverzeichnis des USB- Datenträgers gelesen. Wenn Sie die Knfiguratin vn ViPNet Security Gateway mit Hilfe dieser Datei durchführen möchten, wenden Sie sich an einen Vertreter vn Inftecs und teilen Sie die erfrderlichen Parameter mit. Fachleute der Firma Inftecs erstellen die Datei hwinit.xml und leiten diese an Sie weiter. Mit Hilfe der Datei hwinit.xml können Sie flgende Einstellungen knfigurieren: Installatin der Schlüsseldistributin eines Netzwerkkntens (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29). Knfiguratin des Cmputerstarts vm USB-Datenträger, falls die Sftware ViPNet Security Gateway neu installiert werden sll (s. Installatin vn Sftware ViPNet Security Gateway auf Seite 25). Wiederherstellen der Standardparameter des Cmputers bei gleichzeitigem Löschen aller Adresslisten und Schlüssel. Knfiguratin der Netzwerk-Verbindungsparameter: IP-Adresse und -Maske definieren, DHCP-Mdus aktivieren, Netzwerkadapter aktivieren der deaktivieren, statische Ruten und Standardrute festlegen (s. Netzwerkverbindung über Ethernet-Prtkll herstellen auf Seite 35). Exprt der Lgdatei der IP-Pakete und der System-Lgdatei auf den USB-Datenträger. Der Kmmandinterpreter bietet umfangreiche Möglichkeiten zur Administratin vn ViPNet Security Gateway. Wenn Sie den Kmmandinterpreter verwenden möchten, verbinden Sie sich über das SSH-Prtkll zum Netzwerkknten mit installiertem ViPNet Security Gateway. Die Verbindung kann vn jedem geschützten Knten, der mit dem ViPNet Security Gateway- Knten verbunden ist, aufgebaut werden. Geben Sie bei der Anmeldung den Benutzernamen vipnet und das Passwrt des Netzwerkkntenbenutzers ein. Das Passwrt ist in der Datei ViPNet.txt enthalten, die beim Speichern der Netzwerkkntenschlüssel erstellt wird (s. ViPNet Security Gateway im ViPNet Manager einstellen auf Seite 26). Der Kmmandinterpreter kann in einem der zwei flgenden Mdi ausgeführt werden: Benutzermdus (standardmäßig eingestellt), in welchem ein eingeschränkter Satz an Befehlen zur Verfügung steht. Als Eingabeauffrderung der Kmmandzeile wird in diesem Mdus das Symbl > verwendet. Administratrmdus, der den Zugang zu allen verfügbaren Befehlen ermöglicht. Als Eingabeauffrderung der Kmmandzeile wird das Symbl # verwendet. Zum Wechseln in den Administratrmdus sllten der Befehl enable ausgeführt und das Administratrpasswrt des Netzwerkkntens eingegeben werden. Dieses Passwrt finden ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 33

34 Sie in der Datei ViPNet_a.txt, die beim Speichern der Netzwerkkntenschlüssel angelegt wird (s. ViPNet Security Gateway im ViPNet Manager einstellen auf Seite 26). Zum Beenden des Administratrmdus sllte der Befehl exit ausgeführt werden. Die in den Befehlsbeschreibungen verwendete Ntatin wird im Abschnitt Verwendete Knventinen (auf Seite 7) behandelt. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 34

35 ViPNet Security Gateway zum Netzwerk verbinden Netzwerkverbindung über Ethernet-Prtkll herstellen Den im System installierten Ethernet-Netzwerkadaptern werden die Bezeichnungen eth0, eth1 usw. zugerdnet (je nach Anzahl der Adapter im System). Damit Verbindungen zum Ethernet- Netzwerk hergestellt werden können, sllten Sie die Parameter der Netzwerkadapter einstellen. Wechseln Sie dazu in den Administratrmdus (s. Empfehlungen zur Knfiguratin vn ViPNet Security Gateway auf Seite 32) und führen Sie die flgenden Schritte aus: Führen Sie den flgenden Befehl aus, um einen Netzwerkadapter ein- der auszuschalten: inet ifcnfig eth0 {up dwn} Hinweis. Hier und im Flgenden sllte statt eth0 der Name des benötigten Netzwerkadapters angegeben werden. Führen Sie den flgenden Befehl aus, um auf dem Netzwerkadapter den autmatischen Bezug vn Parametern vm DHCP-Server zu aktivieren: inet ifcnfig eth0 dhcp Führen Sie den flgenden Befehl aus, um dem Netzwerkadapter eine statische IP-Adresse zuzurdnen: inet ifcnfig eth0 address <IP-Adresse> netmask <Netzmaske> Wenn der Adapter vr Ausführung dieses Befehls im DHCP-Mdus gearbeitet hat, gehen Daten über DNS- und NTP-Server, die über das DHCP-Prtkll bezgen wurden, verlren. Führen Sie den flgenden Befehl aus, um die Standardrute zu definieren: inet rute add default gw <Gateway-IP-Adresse> Führen Sie den flgenden Befehl aus, um eine statische Rute zu definieren: inet rute add <IP-Zieladresse> gw <Gateway-IP-Adresse> [netmask <Netzmaske>] ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 35

36 Zum Löschen einer statischen Rute führen Sie den flgenden Befehl aus: inet rute delete <IP-Zieladresse> [netmask <Netzmaske>] Führen Sie den flgenden Befehl aus, um eine Adresse des DNS-Servers hinzuzufügen der zu löschen: inet dns {add delete} <IP-Adresse> Wenn die Adressen der DNS-Server vm DHCP-Server bezgen wurden, ist das manuelle Hinzufügen der Löschen der DNS-Server nicht möglich. Führen Sie den flgenden Befehl aus, um eine Adresse des NTP-Servers hinzuzufügen der zu löschen: inet ntp {add delete} <IP-Adresse DNS-Name> Wenn die Adressen der NTP-Server vm DHCP-Server bezgen wurden, ist das manuelle Hinzufügen der Löschen der NTP-Server nicht möglich. Beispiele für Befehle: inet ifcnfig eth0 address netmask inet rute add default gw inet dns add Verbindung zum Wi-Fi-Netzwerk herstellen Wenn der Cmputer über einen Wi-Fi-Adapter verfügt (wird als Adapter mit dem Namen wlan0 aufgeführt), dann kann ViPNet Security Gateway im Wi-Fi-Netzwerk in einem der zwei Mdi eingesetzt werden: Client: für Verbindungen zu beliebigen Wi-Fi-Netzwerken. Zugriffspunkt (s. Parameter des Wi-Fi-Zugriffspunkts einstellen auf Seite 52): für Verbindungen drahtlser Wi-Fi-Geräte zum ViPNet Security Gateway. Die Funktin des Clients und die Funktin des Zugriffspunkts können dabei nicht gleichzeitig ausgeübt werden. Führen Sie die flgenden Befehle aus, um die Verbindung vn ViPNet Security Gateway zum Wi-Fi-Netzwerk als Client einzurichten: 1 Aktivieren Sie den Netzwerkadapter wlan0 mit Hilfe des Befehls: inet wifi mde n ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 36

37 2 Schalten Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls in den Client- Mdus um: inet wifi rle client 3 Führen Sie den flgenden Befehl aus, um eine Liste verfügbarer Wi-Fi-Netzwerke anzuzeigen: inet wifi scan 4 Geben Sie den Namen des Wi-Fi-Netzwerks, zu dem Sie sich verbinden wllen, swie den Authentisierungsmdus an. Benutzen Sie dazu einen der flgenden Befehle: Wenn keine Authentifizierung im Netzwerk erfrderlich ist, führen Sie den flgenden Befehl aus: inet wifi client ssid <Netzwerkname> authenticatin pen Wenn für die Authentifizierung der Mdus WPA-PSK der WPA2-PSK verwendet wird, dann muss ein Passwrt eingegeben werden. Führen Sie dazu den flgenden Befehl aus: inet wifi client ssid <Netzwerkname> authenticatin {wpa-psk wpa2- psk} passphrase <Passwrt> Das Passwrt können Sie beim Administratr des Wi-Fi-Netzwerks, zu dem Sie sich verbinden, anfrdern. 5 Führen Sie den flgenden Befehl aus, um die Verbindungsparameter für das Wi-Fi- Netzwerk zu überprüfen: inet shw wifi Beispiele für Befehle: inet wifi mde n inet wifi ssid mynetwrk authenticatin wpa-psk passphrase qwerty Verbindung zum 3G-Mbilfunknetz herstellen ViPNet Security Gateway kann sich über 3G-Mbilfunknetze mit Hilfe eines eingebauten der externen Mdems zum Internet verbinden. Im System wird ein 3G-Mdem als Netzwerkadapter mit dem Namen ppp0 abgebildet. Für Verbindungen zum Internet können die Dienste eines beliebigen Mbilfunkanbieters genutzt werden. Dazu sind die Anschaffung einer SIM-Karte und die Aktivierung entsprechender Dienste (falls nötig) erfrderlich. Ausführliche Infrmatinen über die Bedingungen eines Internet-Anschlusses können Sie bei Ihrem Mbilfunkanbieter anfrdern. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 37

38 In der Sftware ViPNet Security Gateway sind standardmäßig Parameter für Internetverbindungen über die Anbieter Verizn und Vdafne eingestellt. Falls erfrderlich, können Sie weitere Anbieter in der Liste hinzufügen. Beflgen Sie dazu die Anweisungen weiter unten. Führen Sie die flgenden Schritte aus, um die Verbindung zum Internet über ein 3G- Mbilfunknetz einzurichten: 1 Wenn ein Mbilfunkanbieter, der nicht in der Standardliste enthalten ist, neu hinzugefügt werden sll, dann führen Sie die flgenden Schritte aus: Geben Sie den Namen des Anbieters mit Hilfe des flgenden Befehls an: inet usb-mdem add prvider <Anbietername> Geben Sie die IP-Adresse der den DNS-Namen des Zugriffspunkts mit Hilfe des flgenden Befehls an: inet usb-mdem prvider <Anbietername> set address <IP-Adresse DNS- Name> Wenn nötig, geben Sie den Namen des Benutzers mit Hilfe des flgenden Befehls an: inet usb-mdem prvider <Anbietername> set user <Benutzername> Wenn nötig, geben Sie das Passwrt für den Anschluss mit Hilfe des flgenden Befehls an: inet usb-mdem prvider <Anbietername> set passwrd <Passwrt> Zugriffspunktadresse, Benutzername und Passwrt erhalten Sie bei Ihrem Mbilfunkanbieter. 2 Wählen Sie aus der Liste vrgegebener Mbilfunkanbieter den Betreiber aus, mit dessen Hilfe der Zugang zum Internet erflgen sll. Führen Sie dazu den flgenden Befehl aus: inet usb-mdem set prvider <Anbietername> Als Anbieternamen können Sie Flgendes angeben: Namen der Anbieter, die standardmäßig definiert sind: vdafne, verizn. Namen der Anbieter, die manuell hinzugefügt wurden. 3 Wenn die SIM-Karte durch eine PIN geschützt ist, geben Sie die PIN mit Hilfe des flgenden Befehls an: inet usb-mdem set pin <PIN> Um Verwenden der PIN abzubrechen, benutzen Sie den Befehl: inet usb-mdem reset pin Hinweis. Falls ein USB-Mdem verwendet wird, sllte es nach dem Laden des BIOS an den Cmputer angeschlssen werden. Bei Verwendung einiger Mdelle vn USB- ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 38

39 Mdems können ab dem Zeitpunkt des Mdem-Anschlusses bis zum Aufbau einer aktiven Verbindung einige Minuten vergehen. Beispiele für Befehle: inet usb-mdem add prvider xtelecm inet usb-mdem prvider xtelecm set address internet.xtelecm.ru inet usb-mdem prvider xtelecm set user xtelecm inet usb-mdem prvider xtelecm set passwrd xtelecm inet usb-mdem set prvider xtelecm inet usb-mdem set pin 1234 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 39

40 Knfiguratin der Systemparameter Datum und Uhrzeit einstellen Damit ein Cmputer mit installiertem ViPNet Security Gateway rdnungsgemäß mit anderen Anwendungen und geschützten ViPNet-Knten kmmunizieren kann, sllten Systemdatum und -uhrzeit richtig knfiguriert werden. Achtung! Wenn das Systemdatum und die Systemuhrzeit nicht richtig eingestellt sind, können abgesicherte Verbindungen zu anderen ViPNet-Knten blckiert werden. Es wird empfhlen, die Synchrnisatin der Systemzeit über das NTP-Prtkll einzustellen (s. Parameter des NTP-Servers einstellen auf Seite 55). Führen Sie die flgenden Befehle aus, um Systemdatum und uhrzeit einzustellen: 1 Zum Anzeigen der aktuellen Systemzeit führen Sie den flgenden Befehl aus: machine shw date 2 Wenn die Zeitzne geändert werden sll, führen Sie die flgenden Schritte aus: Führen Sie den Befehl machine set timezne aus. Sbald Ihnen die Kntinente zur Auswahl stehen (Please select а cntinent r cean), geben Sie die Ihrem Kntinent entsprechende Nummer ein und drücken Eingabe. Sbald Ihnen die Länder zur Auswahl stehen (Please select a cuntry), geben Sie die Ihrem Land entsprechende Nummer ein und drücken Eingabe. Sbald Ihnen die Zeitznen zur Auswahl stehen (Please select ne f the fllwing time zne regins), geben Sie die richtige Nummer ein und drücken Eingabe. Die dem angegebenen Standrt entsprechende Zeitzne wird auf dem Bildschirm angezeigt. Um diese Zeitzne zu übernehmen, geben Sie 1 (Yes) ein. Um den Standrt neu zu definieren, geben Sie 2 (N) ein. Drücken Sie Eingabe. Nachdem die Zeitzne angenmmen wurde, wird die Systemzeit angezeigt. Um die Systemzeit zu übernehmen, drücken Sie Eingabe. Um die Zeit zu ändern, geben Sie Datum und Zeit an und drücken Eingabe. Bitte halten Sie sich an dieses Frmat: JJJJ-MM-TT hh:mm:ss. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 40

41 3 Falls erfrderlich, ändern Sie die Systemzeit mit Hilfe des flgenden Befehls: machine set date <Datum> Datum und Uhrzeit werden im Frmat MMTThhmm[JJJJ] eingegeben. Knfiguratin der Auslagerungsdatei Die Auslagerungsdatei wird als zusätzlicher virtueller Speicher genutzt, um das zur Verfügung stehende Speichervlumen auf dem Cmputer zu erweitern. Führen Sie die flgenden Schritte aus, um die Parameter der Auslagerungsdatei zu knfigurieren: Benutzen Sie den flgenden Befehl, um die Verwendung der Auslagerungsdatei zu aktivieren: machine swap mde n Benutzen Sie den flgenden Befehl, um die maximale Größe der Auslagerungsdatei festzulegen: machine swap set <Größe in MB> Wenn die festgelegte Größe der Auslagerungsdatei den zur Verfügung stehenden freien Speicherplatz auf dem Laufwerk übersteigt, wird eine entsprechende Meldung angezeigt. Achtung! Nachdem die Größe der Auslagerungsdatei festgelegt wurde, sllten auf dem Laufwerk nch mindestens 256 MB freier Speicherplatz verbleiben. Führen Sie den flgenden Befehl aus, um Infrmatinen über die Speicherverwendung und die Auslagerungsdatei anzuzeigen: machine shw memry Benutzen Sie den flgenden Befehl, um die Verwendung der Auslagerungsdatei zu deaktivieren: machine swap mde ff Nach Ausführung dieses Befehls wird die Auslagerungsdatei gelöscht. Parameter für Systemprtkll einstellen Das Systemprtkll enthält Daten über Ereignisse, die während der Laufzeit der Sftware ViPNet Security Gateway aufgetreten sind. Das Ereignisprtkll kann auf dem lkalen ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 41

42 Laufwerk der auf einem beliebigen Knten, der entsprechend knfiguriert wurde, gespeichert werden. Benutzen Sie die flgenden Befehle, um mit dem Ereignisprtkll zu arbeiten: Führen Sie den flgenden Befehl aus, um den Knten anzugeben, auf dem das Ereignisprtkll gespeichert werden sll, der um das Ereignisprtkll zu deaktivieren: machine set lghst {lcal <IP-Adresse> null} Geben Sie einen der flgenden Werte an, um den Knten zu definieren: lcal lkales Laufwerk vn ViPNet Security Gateway, IP-Adresse IP-Adresse des Kntens, an welchen Daten über Systemereignisse gesendet werden sllen, null Ereignisprtkll nicht speichern. Wenn das Ereignisprtkll auf dem lkalen Laufwerk gespeichert wird, dann führen Sie den flgenden Befehl aus, um das Lg anzuzeigen: machine shw lgs Ereignisprtklle, die auf dem lkalen Laufwerk gespeichert werden, können auf einen abnehmbaren USB-Datenträger mit Dateisystem FAT32 der ext2 exprtiert werden. Schließen Sie dazu den USB-Datenträger an den Cmputer an und führen Sie den flgenden Befehl aus: admin exprt lgs usb Führen Sie den flgenden Befehl aus, um das Ereignisprtkll auf dem lkalen Laufwerk zu löschen: admin remve lgs ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 42

43 Parameter für Netzwerkadapter einstelen Für jeden Netzwerkadapter vn ViPNet Security Gateway können flgende Parameter knfiguriert werden: Sicherheitsstufe (s. Sicherheitsstufen auf Seite 18), Parameter der Registrierung vn IP-Paketen, die den betrffenen Netzwerkadapter durchlaufen (s. Lgdatei registrierter IP-Pakete anzeigen auf Seite 72). Änderung der Sicherheitsstufe auf einem Netzwerkadaper Die Sicherheitsstufe (s. Sicherheitsstufen auf Seite 18) bestimmt die Richtlinien für die Filterung des ffenen Traffics, der den Netzwerkadapter passiert. Für jeden Netzwerkadapter existiert eine eigene Knfiguratinsdatei, in welcher die Sicherheitsstufe mit Hilfe des Parameters mde definiert werden kann. Hinweis. Standardmäßig ist auf allen Netzwerkadaptern vn ViPNet Security Gateway die zweite Sicherheitsstufe eingestellt. Es wird empfhlen, die vierte Sicherheitsstufe zeitlich eingeschränkt ausschließlich für Testzwecke zu verwenden. Wenn die Sicherheitsstufe auf irgendeinem Netzwerkadapter geändert werden sll, dann führen Sie die nachflgenden Schritte aus: 1 Wechseln Sie im Kmmandinterpreter in den Administratrmdus (s. Empfehlungen zur Knfiguratin vn ViPNet Security Gateway auf Seite 32). 2 Stppen Sie mit Hilfe des Befehls iplir stp den ViPNet-Treiber. 3 Führen Sie den flgenden Befehl aus, um die Knfiguratinsdatei des Netzwerkadapters zu editieren: iplir cnfig <Adaptername> Hinweis. Benutzen Sie den Befehl inet shw interface, um eine Liste aller Netzwerkadapter anzuzeigen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 43

44 4 Geben Sie als Wert für den Parameter mde die Nummer der benötigten Sicherheitsstufe an: 1 Alle Verbindungen blckieren. 2 Nur erlaubte Verbindungen durchlassen. 3 Ausgehende Verbindungen erlauben außer verbtene. 4 Alle Verbindungen erlauben. 5 Drücken Sie die Tastenkmbinatin Strg+O, um die Knfiguratinsdatei zu speichern, und drücken Sie dann die Eingabe. 6 Drücken Sie die Tastenkmbinatin Strg+X, um die Datei zu schließen. 7 Starten Sie den ViPNet-Treiber mit Hilfe des Befehls iplir start. Registrierungsparameter der IP-Pakete Daten über Ereignisse, die in Zusammenhang mit der Verarbeitung vn IP-Paketen durch ViPNet Security Gateway-Netzwerkadapter stehen, werden in der Registrierungslgdatei erfasst (s. Lgdatei registrierter IP-Pakete anzeigen auf Seite 72). Für jeden Netzwerkadapter können das Ausmaß der Detalisierung der registrierten Daten und die maximale Größe der Lgdatei festgelegt werden. Führen Sie die flgenden Schritte aus, um die Parameter der Registrierung vn IP-Paketen, die einen bestimmten Netzwerkadapter passieren, zu knfigurieren: 1 Wechseln Sie in der Befehlsshell in den Administratrmdus (s. Empfehlungen zur Knfiguratin vn ViPNet Security Gateway auf Seite 32). 2 Führen Sie den flgenden Befehl aus, um die Knfiguratinsdatei des Netzwerkadapters zu editieren: iplir cnfig <Adaptername> Hinweis. Benutzen Sie den Befehl inet shw interface, um eine Liste aller Netzwerkadapter anzuzeigen. 3 Geben Sie im Bereich [db] die benötigten Werte für die flgenden Parameter an: maxsize maximale Größe der Lgdatei in MB. Wenn die Größe der Lgdatei den angegebenen maximal Wert erreicht, beginnt das System, die ältesten Einträge durch neue zu ersetzen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 44

45 Wenn der Wert dieses Parameters gleich Null ist, dann wird für den betrffenen Netzwerkadapter keine Lgdatei geführt. timediff Zeitintervall (in Sekunden), innerhalb vn welchem Ereignisse mit gleichen Merkmalen in einem Eintrag der Lgdatei zusammengefasst werden. Vrgegebener Standardwert ist 60 Sekunden. Beispiel: Einträge über durchgelassene verschlüsselte IP-Pakete, bei denen die Adressen und Prts des Absenders und de s Empfängers übereinstimmen, werden zusammengefasst. Wenn der Wert dieses Parameters gleich Null ist, dann wird jedes IP-Paket mit einem eigenen Eintrag der Lgdatei registriert. registerall Parameter, der die Registrierung aller IP-Pakete aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n alle IP-Pakete registrieren; ff (Standardwert) nur blckierte IP-Pakete swie Ereignisse, die in Zusammenhang mit Änderungen vn IP-Adressen der ViPNet-Netzwerkknten stehen, registrieren; registerbradcast Parameter, der die Registrierung vn Bradcast-IP-Paketen aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n Bradcast-Pakete registrieren, ff (Standardwert) Bradcast-Pakete nicht registrieren. registertcpserverprt Parameter, der die Registrierung des Absenderprts des IP-Pakets bei Verbindungen über das TCP-Prtkll aktiviert der deaktiviert. Dieser Parameter kann die flgenden Werte annehmen: n Absenderprt nicht registrieren. In diesem Fall werden die Einträge der Lgdatei nach dem Empfängerprt gruppiert. ff (Standardwert) Absenderprt registrieren. 4 Drücken Sie die Tastenkmbinatin Strg+O, um die Knfiguratinsdatei zu speichern, und drücken Sie anschließend die Taste Eingabe. 5 Drücken Sie die Tastenkmbinatin Strg+X, um die Datei zu schließen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 45

46 Bearbeitungsregeln für ffenen Traffic einstellen Die Sftware ViPNet Security Gateway verfügt über eine Möglichkeit zur Filterung und Übersetzung vn Adressen für den ffenen (nicht verschlüsselten) IP-Traffic. Die Verarbeitungsregeln für ffene IP-Pakete sind in der Knfiguratinsdatei der Firewall enthalten. Zum Bearbeiten der Knfiguratinsdatei der Firewall sllte der Befehl iplir cnfig firewall ausgeführt werden. Die Knfiguratinsdatei der Firewall besteht aus mehreren Bereichen. Die Verarbeitungsregeln für den ffenen Traffic sind in den flgenden Bereichen enthalten: [lcal] Filterregeln für lkale IP-Pakete. Das sind Pakete, deren Sender der Empfänger ein Netzwerkknten mit installiertem ViPNet Security Gateway ist. [bradcast] Filterregeln für Bradcast-IP-Pakete. [frward] Filterregeln für Transit-IP-Pakete. Das sind Pakete, die den Netzwerkknten mit darauf installierter ViPNet Security Gateway-Sftware auf ihrem Weg vm Sender zum Empfänger passieren. Der aktuelle Netzwerkknten tritt weder als Absender nch als Empfänger der Transit-IP-Pakete auf. [tunnel] Filterregeln für getunnelte IP-Pakete. Das sind Pakete, die zwischen getunnelten Knten vn ViPNet Security Gateway und geschützten ViPNet- Netzwerkknten ausgetauscht werden. [nat] Regel der Adressenübersetzung. ViPNet Security Gateway unterstützt zwei Typen der Adressenübersetzung: Übersetzung der Absenderadresse, die auch als dynamisches NAT bezeichnet wird. Dieser Typ der Adressumsetzung wird verwendet, wenn der Internetzugang für Cmputer eingerichtet werden sll, die über private IP-Adressen verfügen. In diesem Fall wird in IP-Paketen, die vm Cmputer des lkalen Netzwerks an das externe Netzwerk weitergeleitet werden, die Absenderadresse vn ViPNet Security Gateway durch die eigene externe IP-Adresse ersetzt. In Antwrt-IP-Paketen wird die Empfängeradresse (externe IP-Adresse des Cmputers mit installiertem ViPNet Security Gateway) durch die private IP-Adresse des Rechners im lkalen Netzwerk ersetzt. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 46

47 Übersetzung der Empfängeradresse, die auch als statisches NAT bezeichnet wird. Dieser Typ der Adressumsetzung wird verwendet, wenn Zugang aus dem Internet zu Cmputern im lkalen Netzwerk ermöglicht werden sll. In diesem Fall wird in IP- Paketen, die auf einem bestimmten Prt der externen IP-Adresse vn ViPNet Security Gateway eintreffen, die Empfängeradresse durch die angegebene IP-Adresse des lkalen Netzwerks ersetzt. In Antwrt-IP-Paketen wird die Absenderadresse ersetzt. Jeder der aufgezählten Bereiche kann eine der mehrere Bearbeitungsregeln für ffene IP- Pakete enthalten. Jede Regel wird durch den Parameter rule beschrieben. Der Wert dieses Parameters setzt sich aus den flgenden Bestandteilen zusammen: rule= <Steuerkmpnente> <Aktin> <Bedingung> Hinweis. Für die Filterregel des Traffics kann auch ein Zeitplaner definiert werden. In diesem Dkument wird die Knfiguratin des Zeitplaners nicht behandelt. Jede Kmpnente der Regel kann aus mehreren Parametern (Lexemen) bestehen. Die Steuerkmpnente beschreibt Eigenschaften der Regel, die sich nicht unmittelbar auf die Bearbeitung der Pakete beziehen, und wird immer am Anfang der Regel aufgeführt. Die Bedingung definiert Parameter vn Paketen, für welche die Regel angewendet werden sll. In Bezug auf Pakete, die die Regelbedingung erfüllen, wird die angegebene Aktin durchgeführt. Die Steuerkmpnente bleibt bei allen Bearbeitungsregeln des IP-Traffics gleich, während sich Aktinen und Bedingungen für Filterregeln (s. Regeln zur Filterung des Traffics auf Seite 48) und Regeln der Adressenübersetzung (auf Seite 50) ändern können Die Steuerkmpnente kann flgende Parameter beinhalten: num <Nummer> ptinaler Parameter, der die Prirität der Regel innerhalb des Bereichs bestimmt. Die Nummer kann einen Wert zwischen 0 und annehmen. Regeln werden in Bezug auf IP-Pakete in Übereinstimmung mit ihrer Prirität angewendet. Wenn keine Nummer angegeben wird, wird die Prirität der Regel ausgehend vn der Reihenflge der Regeln innerhalb des Bereichs autmatisch festgelegt. disable ptinaler Parameter, der für zeitweise Deaktivierung der Regel verwendet wird. Wenn der Parameter disable fehlt, bedeutet das, dass die Regel aktiv ist. Die Knfiguratin vn Aktinen und Bedingungen für Regeln der Traffic-Filterung und Adressenübersetzung wird in den entsprechenden Abschnitten behandelt. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 47

48 Regeln zur Filterung des Traffics Filterregeln für ffene (nicht verschlüsselte) IP-Pakete werden in den Bereichen [lcal], [bradcast], [tunnel] und [frward] der Firewall-Knfiguratinsdatei definiert. Standardmäßig sind flgende Regeln definiert: In den Bereichen [lcal] und [bradcast] eine Reihe vn Regeln, die den Durchlass vn IP-Paketen, die vn DHCP-, NetBIOS-, DNS- und NTP-Diensten verwendet werden, gewährleistet. Im Bereich [tunnel] eine Regel, die Verbindungen zwischen allen getunnelten Knten vn ViPNet Security Gateway und allen geschützten Knten, mit denen der ViPNet Security Gateway-Knten verbunden ist, erlaubt. In den meisten Fällen ist das Einstellen zusätzlicher Regeln in diesem Bereich nicht erfrderlich. Jede Regel wird durch den Parameter rule beschrieben. Der Wert dieses Parameters setzt sich aus den flgenden Bestandteilen zusammen: rule= <Steuerkmpnente> <Aktin> <Bedingung> Eine Beschreibung der Steuerkmpnente ist im Abschnitt Bearbeitungsregeln für ffenen Traffic einstellen (auf Seite 46) aufgeführt. Die Aktin bestimmt, was mit dem IP-Paket, dessen Parameter die Regelbedingung (s. weiter unten) erfüllen, geschehen sll. Die Aktin wird durch einen der zwei Parameter festgelegt: pass IP-Paket durchlassen. drp IP-Paket blckieren. Die Bedingung definiert Parameter vn Paketen, für welche die Regel angewendet werden sll. Die Bedingung wird mit Hilfe flgender Parameter festgelegt: prt <Prtkll> bligatrischer Parameter, der das Prtkll der Netzwerkschicht, zu welchem das IP-Paket gehören sll, festlegt. Als Prtkll können flgende Werte angegeben werden: tcp, udp der icmp. Nummer beliebiger IP-Prtklle. any alle Prtklle. Wenn vn einer Regel Pakete unterschiedlicher Prtklle bearbeitet werden sllen, dann können die Prtklle durch Kmma getrennt aufgelistet werden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 48

49 Hinweis. Für Regeln im Bereich [bradcast] können ausschließlich die Werte udp und icmp angegeben werden. frm <Adressliste> bligatrischer Parameter, der die IP-Adresse und den Prt des Paketabsenders festlegt. Adresse und Prt sllten durch einen Dppelpunkt getrennt aufgeführt werden, zum Beispiel: :22. Wenn kein Prt angegeben wird, gilt die Bedingung für alle Prts. Hinweis. Es dürfen keine Prtnummern angegeben werden, falls als Prtkll icmp der any definiert wurde. Neben einzelnen IP-Adressen und Prts können auch Adress- der Prtbereiche der IP- Adressmasken definiert werden. Es können auch mehrere IP-Adressen durch Kmma getrennt angegeben werden. Zum Beispiel: : /24: :22, :25 Statt Adressen der Adressbereichen können auch flgende Schlüsselwörter angegeben werden: anyip alle Adressen (Bereich ). bradcast die Adresse t <Adressliste> bligatrischer Parameter, der die IP-Adresse und den Prt des Paketempfängers definiert. Die Adressen und Prts werden genaus definiert wie beim Parameter frm. Im Bereich [bradcast] können für den Parameter t ausschließlich flgende IP- Adressen angegeben werden: bradcast repräsentiert die Adresse directed-bradcast repräsenteirt Bradcast-Adressen aller Subnetze, die an die Netzwerkadapter des Cmputers angeschlssen sind. Knkrete Bradcast-Adressen vn Subnetzen, die an die Netzwerkadapter des Cmputers angeschlssen sind. in der ut ptinaler Parameter, der die Verbindungsrichtung (eingehende der ausgehende Verbindung) angibt. Beim Festlegen dieser Parameter sllte darauf geachtet ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 49

50 werden, dass die Verbindungsrichtung und die Senderichtung bestimmter IP-Pakete nicht miteinander verwechselt werden. Die Festlegung der Verbindungsrichtung ist ptinal. Es wird dabei angenmmen, dass Verbindungen, die in beiden Richtungen aufgebaut werden, unter die Bedingung fallen. Für das TCP-Prtkll werden Verbindungen immer überwacht. In manchen Fällen kann die Verbindungsrichtung auch für das UDP-Prtkll ermittelt werden. Hinweis. Für Regeln im Bereich [frward] und [tunnel] kann keine Verbindungsrichtung festgelegt werden. Beispiele für Filterregeln für IP-Pakete: num 15 pass prt any frm anyip t :22 in pass prt tcp,udp frm anyip:53 t /16, /24 Regeln der Adressenübersetzung Die Regeln der Adressenübersetzung für ffene (nicht verschlüsselte) IP-Pakete werden im Bereich [nat] der Firewall-Knfiguratinsdatei definiert. Hinweis. Für den geschützten (verschlüsselten) Traffic ist die Festlegung vn Regeln der Adressenübersetzung nicht nötig. Die Adressenumsetzung wird beim verschlüsselten Traffic autmatisch durchgeführt. Jede Regel der Adressenübersetzung wird durch den Parameter rule beschrieben, dessen Wert sich aus flgenden Kmpnenten zusammensetzt: rule= <Steuerkmpnente> <Aktin> <Bedingung> Eine Beschreibung der Steuerkmpnente ist im Abschnitt Bearbeitungsregeln für ffenen Traffic einstellen (auf Seite 46) aufgeführt. Die Aktin bestimmt, welche Parameter des IP-Pakets auf welche Weise mdifiziert werden sllen. In Abhängigkeit davn, welcher Typ der Adressenübersetzung angewendet werden sll, kann die Aktin einen der flgenden Werte annehmen: Zum Übersetzen der Absenderadresse: change src=<ip-adresse>:dynamic, w <IP-Adresse> die externe Adresse vn ViPNet Security Gateway ist. Diese Adresse sll die IP-Adresse des Paketabsenders ersetzen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 50

51 Zum Übersetzen der Empfängeradresse: change dst=<ip-adresse>:<prt>, w <IP-Adresse> und <Prt> die IP-Adresse und den Prt des Cmputers im lkalen Netzwerk repräsentieren. An diesen Cmputer sllen IP-Pakete umgeleitet werden. Die Bedingung der Regel für die Adressenübersetzung besitzt die gleiche Syntax wie die Bedingung der Regel für die Trafficfilterung (s. Regeln zur Filterung des Traffics auf Seite 48), verfügt allerdings über einige Besnderheiten: Damit Absenderadressen übersetzt werden (dynamisches NAT), sllte der Parameter prt den Wert any und der Parameter t den Wert anyip haben. Zum Umsetzen der Absenderadresse legt der Parameter frm eine Liste vn IP-Adressen des internen Netzwerks fest, die übersetzt werden sllen. Beim Festlegen des Parameters frm dürfen keine Prts der Prtbereiche angegeben werden. Damit Empfängeradressen übersetzt werden (statisches NAT), sllte der Parameter frm den Wert anyip haben. Als Wert des Parameters t sllten die externe IP-Adresse und der Prt des ViPNet Security Gateway-Kntens, auf welchem die umzuleitenden IP-Pakete eintreffen werden, festgelegt werden. In diesem Fall dürfen beim Parameter t keine IP- Adressbereiche der Masken swie keine Prtbereiche angegeben werden. Beispiele für Regeln der Adressenübersetzung: Zum Übersetzen der Absenderadresse: rule= num 10 change src= :dynamic prt any frm /24 t anyip Zum Übersetzen der Empfängeradresse: rule= num 100 change dst= :8080 prt tcp frm anyip t :80 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 51

52 Parameter für Netzwerkdienste einstellen Parameter des Wi-Fi-Zugriffspunkts einstellen Wenn der Cmputer über einen Wi-Fi-Adapter verfügt (wird als Netzwerkadapter mit dem Namen wlan0 aufgelistet), kann ViPNet Security Gateway als Wi-Fi-Zugriffspunkt verwendet werden. Wenn der Wi-Fi-Zugriffspunkt aktiviert ist, wird dem Netzwerkadapter wlan0 autmatisch die IP-Adresse zugewiesen. Auf diesem Adapter wird ein DHCP-Server gestartet. Der DHCP-Server verfügt über fixe Parameter, die nicht vm Benutzer geändert werden können: Bereich der zu verteilenden IP-Adressen: Adresse des DNS- und NTP-Servers: (Adresse des Netzwerkadapters wlan0). Hinweis. Wenn die Möglichkeit vn Verbindungen zwischen Geräten, die mit dem Wi- Fi-Netzwerk verbunden sind, und Cmputern, die an das Ethernet-Netzwerk angeschlssen sind, sichergestellt werden sll, dann sllten in der Knfiguratinsdatei der ViPNet Security Gateway-Firewall Transitregeln definiert werden, die den Durchlass vn IP-Paketen zwischen diesen beiden Netzwerken erlauben (s. Bearbeitungsregeln für ffenen Traffic einstellen auf Seite 46). Führen Sie die flgenden Schritte aus, um ViPNet Security Gateway als Wi-Fi-Zugriffspunkt einzustellen: 1 Aktivieren Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls: inet wifi mde n 2 Schalten Sie den Netzwerkadapter wlan0 mit Hilfe des flgenden Befehls in den Zugriffspunkt-Mdus um (ist standardmäßig eingestellt): inet wifi rle access-pint 3 Geben Sie den Namen Ihres Wi-Fi-Netzwerks und den Authentisierungsmdus für die Netzwerkbenutzer an. Benutzen Sie dazu einen der flgenden Befehle: Wenn keine Authentifizierung im Netzwerk erfrderlich ist, führen Sie den flgenden Befehl aus: ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 52

53 inet wifi access-pint ssid <Netzwerkname> authenticatin pen Wenn für die Authentifizierung ein Passwrt verwendet werden sll, dann wählen Sie den Authentifizierungsmdus WPA-PSK der WPA2-PSK und definieren Sie ein Passwrt. Führen Sie dazu den flgenden Befehl aus: inet wifi access-pint ssid <Netzwerkname> authenticatin {wpa-psk wpa2-psk} passphrase <Passwrt> Das angegebene Passwrt sllte allen Benutzern, die sich zu Ihrem Wi-Fi-Netzwerk verbinden, mitgeteilt werden. 4 Wenn für Ihr Wi-Fi-Netzwerk ein Funknetzwerk-Standard festgelegt werden sll, führen Sie den flgenden Befehl aus: net wifi server hwmde {a b g} Es werden flgende Standards unterstützt: a IEEE a 5 GHz, Verbindungsgeschwindigkeit bis 4 МBit/s. b IEEE b 2,4 GHz, Verbindungsgeschwindigkeit bis 11 МBit/s. g IEEE g 2,4 GHz, Verbindungsgeschwindigkeit bis 54 МBit/s (standardmäßig eingestellt). 5 Wenn die Nummer des verwendeten Wi-Fi-Kanals angegeben werden sll, führen Sie den flgenden Befehl aus: inet wifi server channel <Kanalnummer> Standardmäßig wird Kanal Nummer 1 verwendet, zulässig sind Nummern vn 1 bis 14. Parameter des Bluetth-Zugangspunkt einstellen Falls der Cmputer mit installierter ViPNet Security Gateway-Sftware über einen Bluetth- Adapter verfügt, dann können an diesen Rechner unterschiedliche Bluetth-Geräte angeschlssen werden. Die Tunnelung dieser Geräte ist ebenfalls möglich. Bei der Anbindung des Geräts wird eine PIN benötigt, die standardmäßig den Wert 4321 hat. Zum Ändern der PIN kann der flgende Befehl benutzt werden: inet bluetth pin <neuer PIN-Wert> Zum Zeitpunkt der Verbindung wird im System ein Netzwerkadapter mit dem Namen bnep0 erstellt, dem die IP-Adresse zugerdnet wird. Auf diesem Netzwerkadapter wird autmatisch ein DHCP-Server gestartet. Der DHCP-Server besitzt fest eingestellte Parameter, die vm Benutzer nicht geändert werden können: Bereich der zu verteilenden IP-Adressen: DNS- und NTP-Server-IP-Adresse: (Adresse des Netzwerkadapters bnep0). ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 53

54 Es kann sich nur jeweils ein Bluetth-Gerät gleichzeitig mit Hilfe vn ViPNet Security Gateway zum Netzwerk verbinden. Hinweis. Wenn Verbindungen zwischen Geräten, die über das Bluetth-Prtkll an ViPNet Security Gateway angeschlssen sind, und Cmputern, die an andere Netzwerkadapter angebunden sind, möglich sein sllen, dann müssen in der Knfiguratinsdatei der ViPNet Security Gateway-Firewall Transitregeln erstellt werden (s. Bearbeitungsregeln für ffenen Traffic einstellen auf Seite 46), die den Durchlass vn IP-Paketen zwischen den betrffenen Netzwerken erlauben. Parameter des DHCP-Servers einstellen ViPNet Security Gateway kann im lkalen Netzwerk als DHCP-Server auftreten (s. DHCP- Server auf Seite 98). Wenn der Netzwerkknten mit installiertem ViPNet Security Gateway als Wi-Fi-Zugriffspunkt eingesetzt wird (s. Parameter des Wi-Fi-Zugriffspunkts einstellen auf Seite 52), der wenn sich zu diesem Netzwerkknten Geräte über das Bluetth-Prtkll verbinden, dann wird auf dem entsprechenden Netzwerkadapter autmatisch ein DHCP-Server gestartet, dessen Parameter nicht vm Benutzer geändert werden können. Wenn der DHCP-Server auf einem der Ethernet-Netzwerkadapter gestartet werden sll, müssen die Parameter dieses Servers manuell knfiguriert werden. Führen Sie dazu die flgenden Schritte aus: 1 Führen Sie den flgenden Befehl aus, um den autmatischen Start des DHCP-Servers beim Laden vn ViPNet Security Gateway zu (de-) aktivieren: inet dhcp mde {n ff} Standardmäßig ist der autmatische Start des DHCP-Servers deaktiviert. 2 Geben Sie den Ethernet-Netzwerkadapter, auf welchem der DHCP-Server laufen sll, mit Hilfe des flgenden Befehls an: inet dhcp interface <Netzwerkadaptername> 3 Geben Sie den IP-Adressbereich für die Verteilung durch den Server mit Hilfe des flgenden Befehls an: inet dhcp range <Start-IP-Adresse> <End-IP-Adresse> 4 Führen Sie den flgenden Befehl aus, um die IP-Adresse des Standardgateways anzugeben: inet dhcp ruter <IP-Adresse> ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 54

55 5 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des DHCP-Servers anzuzeigen: inet shw dhcp Parameter des DNS-Servers einstellen ViPNet Security Gateway kann im lkalen Netzwerk als DNS-Server auftreten (s. DNS-Server auf Seite 98). Der eingebaute DNS-Server vn ViPNet Security Gateway leitet die eingehenden DNS-Anfragen an den übergerdneten DNS-Server um und übermittelt die erhaltenen Antwrten an die Clients. Führen Sie die flgenden Schritte aus, um die Parameter des DNS-Servers einzustellen: 1 Führen Sie den flgenden Befehl aus, um den autmatischen Start des DNS-Servers beim Laden vn ViPNet Security Gateway zu (de-) aktivieren: inet dns mde {n ff} Standardmäßig ist der autmatische Start des DNS-Servers aktiviert. 2 Führen Sie den flgenden Befehl aus, um die IP-Adresse des DNS-Servers hinzuzufügen, an welchen ViPNet Security Gateway die DNS-Anfragen weiterleiten sll: inet dns add <IP-Adresse> Standardmäßig werden die Clientanfragen an die Stamm-DNS-Server umgeleitet. 3 Führen Sie den flgenden Befehl aus, um die Adresse des DNS-Servers aus der Liste zu löschen: inet dns delete <IP-Adresse> 4 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des DNS-Servers anzuzeigen: inet shw dns Parameter des NTP-Servers einstellen ViPNet Security Gateway kann im lkalen Netzwerk als NTP-Server auftreten (s. NTP-Server auf Seite 101). Der eingebaute NTP-Server synchrnisiert autmatisch die Systemzeit mit der Weltzeit, um Clients mit krrekten Zeitwerten versrgen zu können. Führen Sie die flgenden Schritte aus, um die Parameter des NTP-Servers einzustellen: 1 Führen Sie den flgenden Befehl aus, um den autmatischen Start des NTP-Servers beim Laden vn ViPNet Security Gateway zu (de-) aktivieren: inet ntp mde {n ff} ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 55

56 Standardmäßig ist der autmatische Start des NTP-Servers aktiviert. 2 Führen Sie den flgenden Befehl aus, um die IP-Adresse des NTP-Servers für die Synchrnisatin der Systemzeit vn ViPNet Security Gateway hinzuzufügen: inet ntp add {IP-Adresse DNS-Name} Standardmäßig wird für die Synchrnisatin der Server pl.ntp.rg verwendet. 3 Führen Sie den flgenden Befehl aus, um die Adresse des NTP-Servers aus der Liste zu löschen: inet ntp delete {IP-Adresse DNS-Name} 4 Führen Sie den flgenden Befehl aus, um die aktuellen Parameter des NTP-Servers anzuzeigen: inet shw ntp ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 56

57 Prxyserver-Parameter einstellen Ein Prxyserver gewährleistet die sichere Arbeit der Firmennetzwerk-Benutzer im Internet durch Kntrlle des Zugangs zu unterschiedlichen Internetbjekten. Wenn der Benutzer auf irgendein Internetbjekt über das HTTP- der FTP-Prtkll zugreift, dann wird seine Anfrage zunächst vm Prxyserver verarbeitet. Der Prxyserver kann dabei entweder die angefragten Daten laden und an den Benutzer weiterleiten der den Zugriff verweigern. Der Prxyserver, der Teil der Sftwarelösung ViPNet Security Gateway ist, verfügt über die flgenden funktinellen Möglichkeiten: Caching vn Daten, um den Zugang der Benutzer zu häufig angefragen Objekten zu beschleunigen. Möglichkeit, im transparenten Mdus zu arbeiten. Dazu sind keine weiteren Einstellungen in den Client-Anwendungen erfrderlich. Kntrlle des Inhalts vn Internetbjekten (s. Inhaltskntrlle knfigurieren auf Seite 61). Kntrlle des Inhalts vn Internetbjekten mit Hilfe einer Antivirus-Prüfung (s. Antivirus knfigurieren auf Seite 63). Das Funktinsschema des Prxyservers bei Verarbeitung einer Benutzeranfrage wird in der flgenden Abbildung dargestellt. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 57

58 Abbildung 4: Funktinsschema des Prxyservers mit Inhaltsprüfung und Antivirus Beim Zugriffsversuch des Benutzers auf irgendein Internetbjekt wird die Benutzeranfrage flgendermaßen verarbeitet: 1 Anfrage trifft auf dem Prxyserver ein. 2 Wenn die Funktin der Inhaltsprüfung aktiviert ist, wird die Adresse des Objekts mit der Datenbank blckierter IP-Adressen verglichen. 3 Wenn das Objekt nicht blckiert ist, lädt der Prxyserver die Daten aus dem Internet. 4 Wenn die Antivirus-Funktinalität aktiviert ist, dann werden die geladenen Daten vm Antivirus-Mdul geprüft. 5 Falls die Prüfung erflgreich verläuft, werden die Daten an den Benutzer weitergeleitet. Falls bei irgendeinem dieser Schritte der Datenzugang blckiert wird, erhält der Benutzer eine entsprechende Meldung. Wenn das Firmennetzwerk mehrere lkale Netzwerke umfasst, dann können alle diese Netzwerke vn einem zentralen Prxyserver auf Basis vn ViPNet Security Gateway bedient werden. In diesem Fall leiten ViPNet Security Gateway-Server, die sich in lkalen Netzwerken befinden, alle Benutzeranfragen an den zentralen Prxyserver weiter. Der Prxyserver führt anschließend die Verarbeitung dieser Anfragen durch. Weitere Details s. Abschnitt Zentralen Prxyserver verwenden (auf Seite 82). ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 58

59 Grundlegende Parameter knfigurieren In diesem Abschnitt wird die Knfiguratin grundlegender Parameter des Prxyservers beschrieben. Wenn Sie die Inhaltsprüfung der die Antivirus-Prüfung aktivieren der einstellen möchten, wenden Sie sich an die Abschnitte Inhaltskntrlle knfigurieren (auf Seite 61) und Antivirus knfigurieren (auf Seite 63). Führen Sie die flgenden Schritte aus, um die grundlegenden Parameter des Prxyserver einzustellen: 1 Geben Sie die IP-Adressen und Prts an, die vm Prxyserver für den Empfang vn Benutzeranfragen verwendet werden: Führen Sie den flgenden Befehl aus, um eine IP-Adresse und einen Prt hinzuzufügen: service http-prxy listen-address add <address> <prt> Führen Sie den flgenden Befehl aus, um die Liste der festgelegten IP-Adressen und Prts anzuzeigen: service http-prxy listen-address list Führen Sie den flgenden Befehl aus, um eine IP-Adresse mitsamt Prt wieder zu entfernen: service http-prxy listen-address delete <address> <prt> Achtung! Für den Empfang vn Anfragen sllten Netzwerkadapter mit statischen IP- Adressen verwendet werden. Bei Änderungen vn IP-Adressen der Netzwerkadapter sllte der Prxyserverdienst gestppt, die aktuellen IP-Adressen als Adressen für Verbindungen festgelegt und der Prxyserver erneut gestartet werden. 2 Geben Sie die externe IP-Adresse vn ViPNet Security Gateway an, die für den Zugang zum Internet verwendet wird. Führen Sie dazu den flgenden Befehl aus: service http-prxy external-address set <IP-адрес> Führen Sie den flgenden Befehl aus, um die festgelegte externe IP-Adresse anzuzeigen: service http-prxy external-address shw 3 Führen Sie den flgenden Befehl aus, um den autmatischen Start des Prxyservers beim Laden vn ViPNet Security Gateway zu (de-) aktivieren: service http-prxy mde {n ff} ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 59

60 Hinweis. Vr dem Start des Prxyservers sllten die IP-Adresse und der Prt für den Empfang vn Benutzer-Verbindungsanfragen swie die externe IP-Adresse vn ViPNet Security Gateway definiert werden. 4 Definieren Sie die Liste der Netzwerke, für welche die Benutzung des Prxyservers erlaubt werden sll. Standardmäßig wird die Verwendung des Prxyservers für alle privaten Netzwerke ( /8, /12, /16) erlaubt. Führen Sie den flgenden Befehl aus, um die IP-Adresse eines Netzwerks hinzuzufügen: service http-prxy allw netwrk add <Netzwerkadresse>/<Subnetz- Präfixlänge > Beispiel: service http-prxy allw netwrk add /24 Führen Sie den flgenden Befehl aus, um die Liste der festgelegten Netzwerke anzuzeigen: service http-prxy allw netwrk list Führen Sie den flgenden Befehl aus, um die IP-Adresse eines Netzwerks wieder aus der Liste zu löschen: service http-prxy allw netwrk delete <Netzwerkadresse> 5 Falls erfrderlich, legen Sie die Cache-Größe des Prxyservers mit Hilfe des flgenden Befehls fest: service http-prxy cache <Größe> Die Cache-Größe wird in Megabytes angegeben, der Standardwert beträgt 256 MB. Der Cache wird für die Speicherung vn Daten verwendet, die vn den Benutzern häufig angefragt werden. 6 Führen Sie den flgenden Befehl aus, um den Betrieb des Prxyservers im transparenten Mdus zu (de-)aktivieren: service http-prxy transparent mde {n ff} Achtung! Beim Aktivieren des transparenten Mdus werden in der Knfiguratinsdatei der Firewall autmatisch Regeln der statischen Adressenübersetzung erstellt. Beim Deaktivieren des transparenten Mdus werden diese Regeln wieder autmatisch entfernt. Wenn Sie eigene Regeln der Adressenübersetzung definiert haben, dann sllten Sie nach der Deaktivierung des transparenten Mdus sicherstellen, dass die vn Ihnen angelegten Regeln nch intakt sind (s. Bearbeitungsregeln für ffenen Traffic einstellen auf Seite 46). ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 60

61 Wenn der Prxyserver im Nrmalmdus läuft (der transparente Mdus ist deaktiviert), dann sllten in einigen Benutzeranwendungen, zum Beispiel im Webbrwser, die IP- Adresse und der Prt des Prxyservers explizit definiert werden. Wenn der Prxyserver im transparenten Mdus läuft, dann sind in den Anwendungen keine weiteren Einstellungen erfrderlich. Die Benutzer haben dabei keine Möglichkeit, auf die Verwendung des Prxyservers zu verzichten. Auf den Benutzercmputern sllte als Standardgateway die IP-Adresse des Cmputers, auf dem ViPNet Security Gateway- Sftware installiert ist und der als Prxyserver auftritt, angegeben werden. 7 Führen Sie den flgenden Befehl aus, um den Prxyserver-Dienst umgehend zu starten: service http-prxy start Führen Sie den flgenden Befehl aus, um den Prxyserver-Dienst zu stppen: service http-prxy stp Hinweis. Damit für ffene Knten der Zugang zum Internet über den Prxyserver sichergestellt wird, knfigurieren Sie entsprechende Traffic-Verarbeitungsregeln (s. Bearbeitungsregeln für ffenen Traffic einstellen auf Seite 46). Inhaltskntrlle knfigurieren Für die Kntrlle des Inhalts vn Internetbjekten wird eine Datenbank der Adressen verwendet. Diese Datenbank kann aus dem Internet der vn einem anderen ViPNet Security Gateway-Knten, der als Server der Adressendatenbank auftritt, geladen werden. Die Adressen der Datenbank sind in mehrere fachliche Kategrien unterteilt, zum Beispiel Spiele, Kin, Sziale Netzwerke und s weiter. Diese Adressenkategrien können unabhängig vneinander blckiert werden. Wenn die vm Benutzer angefrderte Adresse eines Internetbjekts zu einer blckierten Kategrie gehört, dann erhält der Benutzer eine Meldung, dass die Seite nicht angezeigt werden kann. Führen Sie die flgenden Schritte aus, um die Parameter der Inhaltskntrlle zu knfigurieren: Führen Sie den flgenden Befehl aus, um die Funktin der Inhaltskntrlle zu (de- )aktivieren: service http-prxy redirectr mde{n ff} Geben Sie die Quelle der Adressendatenbank und die Rlle vn ViPNet Security Gateway mit Hilfe des flgenden Befehls an: service http-prxy redirectr rle {server client} ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 61

62 Wenn als Rlle server definiert ist, wird die Adressendatenbank aus dem Internet geladen. ViPNet Security Gateway übernimmt dabei die Rlle des Servers, vn dem andere ViPNet Security Gateway-Knten die Datenbank laden können. Wenn als Rlle client definiert ist, dann wird die Adressendatenbank vn einem anderen ViPNet Security Gateway-Knten geladen. Dieser Knten übernimmt die Rlle des Servers und aktualisiert die Datenbank mit Daten aus dem Internet. Wenn für ViPNet Security Gateway die Rlle des Adressendatenbank-Clients festgelegt wurde, geben Sie einen anderen ViPNet Security Gateway-Knten an, der als Server auftreten sll. Führen Sie dazu den flgenden Befehl aus: service http-prxy redirectr client server-address <Adresse vn ViPNet Security Gateway> Sie können einen der nachflgenden Parameter verwenden, um die Adresse des ViPNet Security Gateway-Kntens zu definieren: IP-Adresse, Hexadezimal-Id des ViPNet-Netzwerkkntens im Frmat 0xAAAAAAAA. Führen Sie den flgenden Befehl aus, um die Adressendatenbank umgehend zu laden: service http-prxy redirectr fetch Die Größe der Datenbank beträgt ungefähr 100 MB. Benutzen Sie den flgenden Befehl, um die autmatische Aktualisierung der Adressdatenbank einzustellen: service http-prxy redirectr schedule fetch <Update-Intervall> Geben Sie einen der flgenden Werte an, um das Update-Intervall für die Datenbank zu bestimmen: nne die autmatische Aktualisierung wird deaktiviert. Zahl vn 1 bis 5 die Datenbank wird ein- bis fünfmal innerhalb vn 24 Stunden aktualisiert. Das Update wird dabei in gleichmäßigen Intervallen durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank einmal täglich aktualisiert wird, dann wird das Update täglich um Uhr durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank dreimal innerhalb vn 24 Stunden aktualisiert wird, dann wird das Update täglich um 0.00, 8.00 und Uhr gestartet. Zum Beisiel: service http-prxy redirectr schedule fetch 3 Führen Sie zum Anzeigen des Zeitplans für autmatische Updates den flgenden Befehl aus: service http-prxy redirectr schedule fetch list ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 62

63 Legen Sie die Kategrien vn Internetbjekten fest, die vm Prxyserver blckiert werden sllen. Führen Sie dazu die nachflgenden Aktinen aus: Führen Sie den flgenden Befehl aus, um eine Liste aller Kategrien vn Internetbjekten anzuzeigen: service http-prxy redirectr categry list Auf dem Bildschirm wird eine Liste blckierter (Blcked) und erlaubter (Available) Kategrien im flgenden Frmat angezeigt: Blcked: jbsearch, drugs, vilence... Available: adv, aggressive, alchl, annvpn, autmbile/bikes... Führen Sie den flgenden Befehl aus, um eine Kategrie in der Liste blckierter Kategrien hinzuzufügen: service http-prxy redirectr categry add <Kategrie> Führen Sie den flgenden Befehl aus, um eine Kategrie aus der Liste blckierter Kategrien zu entfernen: service http-prxy redirectr categry delete <Kategrie> Wenn nötig, legen Sie eine Liste vn Ausnahmen fest. Dazu gehören Knten, für welche keine Inhaltskntrlle durchgeführt werden sll. Führen Sie dazu die flgenden Aktinen aus: Führen Sie den flgenden Befehl aus, um eine IP-Adresse in der Liste der Ausnahmen hinzuzufügen: service http-prxy redirectr exceptin add <IP-Adresse> Führen Sie den flgenden Befehl aus, um die festgelegte Liste der Ausnahmen anzuzeigen: service http-prxy redirectr exceptin list Führen Sie den flgenden Befehl aus, um eine IP-Adresse aus der Liste der Ausnahmen zu entfernen: service http-prxy redirectr exceptin delete <IP-Adresse> Antivirus knfigurieren Für die Antivirus-Prüfung des Inhalts vn Internetbjekten wird auf dem ViPNet Security Gateway-Prxyserver das Prgramm Kaspersky Anti-Virus für Prxy Server verwendet. Das Prgramm führt die Prüfung der Daten, die über das HTTP-Prtkll in beide Richtungen (swhl in Richtung Benutzer als auch in Richtung Internet, zum Beispiel das Hinzufügen vn Anlagen in - Nachrichten über die Webschnittstelle) weitergeleitet werden, durch. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 63

64 Für die Antiviren-Überprüfung des Inhalts vn Internetbjekten auf dem Prxyserver kann eines der zwei Prgramme verwendet werden: Kaspersky Anti-Virus für Prxy Server : Sftware, die vn der Firma Kaspersky Lab entwickelt wird Für den Einsatz vn Kaspersky Anti-Virus für Prxy Server sllte eine Lizenz (s. Lizenzdatei für Kaspersky Anti-Virus installieren auf Seite 65) erwrben und installiert werden. Clam Antivirus: frei verfügbare Sftware (Freeware), die vn der Firma Surcefire entwickelt wird. Führen Sie die nachflgenden Aktinen aus, um die Parameter der Antivirus-Prüfung zu knfigurieren: Führen Sie den flgenden Befehl aus, um die Antivirus-Prüfung des Inhalts zu (de- )aktivieren: service http-prxy antivirus mde {n ff} Geben Sie zum Auswählen des Antivirenprgramms, das für die Prüfung verwendet wird, einen der flgenden Werte an: kav Kaspersky Anti-Virus für Prxy Server. clamav Clam Antivirus. Es können keine zwei Antivirenprgramme gleichzeitig aktiv sein. Wenn eines der Antivirenprgramme aktiviert ist, wird beim Versuch, das andere Prgramm zu starten, eine entsprechende Fehlermeldung angezeigt. Führen Sie den flgenden Befehl aus, um die Antivirus-Datenbank unverzüglich zu laden: service http-prxy antivirus fetch Die Größe der Datenbank beträgt ungefähr 100 MB. Führen Sie den flgenden Befehl aus, um die autmatische Aktualisierung der Datenbank des gewählten Antivirenprgramms zu knfigurieren: service http-prxy antivirus {kav clamav} schedule fetch <Update- Intervall> Geben Sie einen der flgenden Werte an, um das Update-Intervall für die Datenbank zu bestimmen: nne die autmatische Aktualisierung wird deaktiviert. Zahl vn 1 bis 5 die Datenbank wird ein- bis fünfmal innerhalb vn 24 Stunden aktualisiert. Das Update wird dabei in gleichmäßigen Intervallen durchgeführt. Wenn Sie das Update s einstellen, dass die Datenbank einmal täglich aktualisiert wird, dann wird das Update täglich um Uhr durchgeführt. Wenn Sie das Update s ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 64

65 einstellen, dass die Datenbank dreimal innerhalb vn 24 Stunden aktualisiert wird, dann wird das Update täglich um 0.00, 8.00 und Uhr gestartet. Zum Beispiel: service http-prxy antivirus clamav schedule fetch 3 Benutzen Sie zum Anzeigen des Zeitplans für autmatische Updates den flgenden Befehl: service http-prxy antivirus {kav clamav} schedule fetch list Verwenden Sie den flgenden Befehl, um das aktuell aktive Antivirusprgramm zu deaktivieren: service http-prxy antivirus {kav clamav} mde ff Lizenzdatei für Kaspersky Anti-Virus installieren Damit Kaspersky Anti-Virus für Prxy Server auf dem Prxyserver verwendet werden kann, sllte die entsprechende Prgrammlizenz erwrben und installiert werden. Installieren Sie vr Beginn der Nutzung vn Kaspersky Anti-Virus für Prxy Server die dazugehörige Lizenzdatei. Führen Sie dazu die flgenden Schritte aus: 1 Erwerben Sie die Lizenzdatei und kpieren Sie diese auf einen USB-Datenträger. 2 Schließen Sie den USB-Datenträger mit der Lizenzdatei an den Cmputer an. 3 Führen Sie den flgenden Befehl aus: service http-prxy antivirus key install Auf dem Bildschirm wird eine Liste verfügbarer Lizenzdateien ausgegeben. 4 Geben Sie die Nummer der benötigten Lizenzdatei ein und drücken Sie die Eingabe-Taste. Die ausgewährte Lizenzdatei wird nun installiert. 5 Führen Sie den flgenden Befehl aus, um Infrmatinen über die Lizenz anzuzeigen: service http-prxy antivirus key shw Hinweis. Damit Infrmatinen über die Lizenz angezeigt werden können, sllte die Antivirus-Datenbank geladen sein. Wenn die Datenbank nicht geladen ist, benutzen Sie den Befehl service http-prxy antivirus fetch. 6 Führen Sie den flgenden Befehl aus, um die Lizenzdatei wieder zu entfernen: service http-prxy antivirus key delete ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 65

66 Knfiguratin der VIP-Serverparameter Die Sftware ViPNet Security Gateway besitzt einen eingebauten VIP-Server, mit dessen Hilfe Sie ein firmeninternes IP-Telefniesystem einrichten können. Wenn Sie verschlüsselte Sprachkmmunikatin zwischen mehreren Firmenniederlassungen gewährleisten möchten, installieren Sie in jeder Niederlassung einen VIP-Server auf Basis vn ViPNet Security Gateway und bauen Sie Verbindungskanäle (trunks) zwischen diesen Servern auf. Der VIP-Server unterstützt das SIP-Prtkll, weswegen für Verbindungen zum Server beliebige sftwarebasierte SIP-Clients der SIP-Telefngeräte verwendet werden können. Dabei sllten flgende Bedingungen beachtet werden: Sftwarebasierte SIP-Clients sllten auf geschützten der getunnelten Knten installiert werden. SIP-Telefngeräte sllten vm ViPNet Security Gateway-Knten getunnelt werden. Damit SIP-Clients, die vm ViPNet Security Gateway-Knten getunnelt werden, Verbindungen zum Server aufbauen können, sllten Filterregeln für den ffenen Traffic knfiguriert werden (s. Regeln zur Filterung des Traffics auf Seite 48), die eingehende Verbindungen vn getunnelten SIP-Clients über das TCP- und UDP-Prtkll auf Prt 5060 erlauben. Getunnelte SIP-Clients und geschützte SIP-Clients sllten unterschiedliche Netzwerkadapter vn ViPNet Security Gateway benutzen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 66

67 Abbildung 5: Verwendung des integrierten VIP-Servers Führen Sie die flgenden Schritte aus, um VIP-Serverparameter zu knfigurieren: 1 Wechseln Sie zur Knfiguratin der VIP-Serverparameter in den Administratrmdus. Führen Sie dazu den Befehl enable aus und geben Sie das Passwrt des Netzwerkknten- Administratrs ein. 2 Führen Sie den flgenden Befehl aus, um das autmatische Starten des VIP-Servers beim Laden vn ViPNet Security Gateway zu aktivieren: service sip mde n 3 Geben Sie den Netzwerkadapter vn ViPNet Security Gateway an, zu dem sich SIP- Clients verbinden sllen. Führen Sie dazu den flgenden Befehl aus: service sip listen internal <Netzwerkadaptername> Hinweis. Führen Sie zum Anzeigen einer Liste aller Netzwerkadapter vn ViPNet Security Gateway den flgenden Befehl aus, hne den Adapternamen anzugeben: service sip listen internal. Wenn der angegebene Netzwerkadapter über keine IP-Adresse verfügt, wird eine Fehlermeldung angezeigt. Wenn der VIP-Serverdienst gestartet ist, sllte er nach dem Ausführen dieses Befehls neu gestartet werden. 4 Registrieren Sie die Telefnnummern der Benutzer auf dem Server: Zum Hinzufügen einer Telefnnummer führen Sie den flgenden Befehl aus: ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 67

68 service sip phne add number <Telefnnummer> name <Vrname> surname <Nachname> passwrd <Passwrt> Die Telefnnummer sllte aus vier Ziffern bestehen. Zum Beispiel: service sip phne add number 1015 name Max surname Mustermann passwrd qwerty Wenn die Nummer, die Sie hinzufügen möchten, bereits existiert, wird eine Meldung mit dem Vrschlag angezeigt, die Daten des entsprechenden Benutzers entweder zu ersetzen der unverändert zu lassen. Zum Löschen einer Telefnnummer führen Sie den flgenden Befehl aus: service sip phne delete <Telefnnummer> 5 Wenn nötig, definieren Sie die Kanäle für Verbindungen mit anderen VIP-Servern: Geben Sie den Netzwerkadapter vn ViPNet Security Gateway an, zu dem sich entfernte VIP-Server verbinden sllen. Führen Sie dazu den flgenden Befehl aus: service sip listen external <Adaptername> Hinweis. Führen Sie zum Anzeigen einer Liste aller Netzwerkadapter vn ViPNet Security Gateway den flgenden Befehl aus, hne den Adapternamen anzugeben: service sip listen external. Wenn der angegebene Netzwerkadapter über keine IP-Adresse verfügt, wird eine Fehlermeldung angezeigt. Wenn der VIP-Serverdienst gestartet ist, sllte er nach dem Ausführen dieses Befehls neu gestartet werden. Führen Sie den flgenden Befehl aus, um ein Verbindungskanal zu einem Remte- VIP-Server zu erstellen: service sip trunk add name <Servername> address <IP-Adresse des Servers> lcal <lkale Nummern> remte <Remte-Nummern> Lkale Nummern repräsentieren hier Telefnnummern, die auf Ihrem VIP-Server registriert sind und für Benutzer des Remte-Servers zugänglich sein sllen. Remte- Nummern stellen Telefnnummern dar, die auf dem Remte-VIP-Server registriert sind und für Benutzer Ihres Servers zugänglich sein sllen. Die Telefnnummern sllten mit Hilfe einer Maske angegeben werden, zum Beispiel: service sip trunk add name RemteVIP address lcal 1XXX remte 2XXX Führen Sie den flgenden Befehl aus, um das Verbindungskanal zum Remte-Server zu löschen: service sip trunk delete <Servername> 6 Wenn Sie den VIP-Serverdienst umgehend starten möchten, benutzen Sie den Befehl: ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 68

69 service sip start Verwenden Sie zum Stppen des Prxyserver-Dienstes den Befehl: service sip stp 7 Benutzen Sie den flgenden Befehl, um das autmatische Starten des VIP-Servers zu aktivieren: service sip mde ff Benutzen Sie die flgenden Befehle, um VIP-Serverparameter anzuzeigen: Geben Sie den flgenden Befehl ein, um Infrmatinen über den Status des VIP-Dienstes anzuzeigen: service shw sip Geben Sie den flgenden Befehl ein, um eine Liste aller zu diesem Zeitpunkt verbundenen Benutzer anzuzeigen: service sip phne active Geben Sie den flgenden Befehl ein, um eine Liste aller auf dem Server registrierten Telefnnummern anzuzeigen: service sip phne list Geben Sie den flgenden Befehl ein, um eine Liste aller knfigurierten Verbindungskanäle zu Remte-Servern anzuzeigen: service sip trunk list ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 69

70 Statusinfrmatinen über ViPNet Security Gateway anzeigen Sie können die Knfiguratinsparameter der unterschiedlichen Prgrammkmpnenten verwalten und die Registrierungslgdatei der IP-Pakete der das Systemereignisprtkll durchsuchen, um Infrmatinen über den aktuellen Status vn ViPNet Security Gateway zu erhalten. Benutzen Sie die flgenden Befehle, um den Status und die unterschiedlichen Kmpnenten vn ViPNet Security Gateway zu überprüfen und die Lgdateien anzuzeigen: Zum Anzeigen der Parameter der Netzwerkadapter führen Sie den flgenden Befehl aus: inet shw interface. Verwenden Sie zum Anzeigen vn Infrmatinen über die Nutzung des Arbeitsspeichers den Befehl: machine shw memry Zum Anzeigen der Knfiguratinsdatei des Netzwerkadapters führen Sie den flgenden Befehl aus: iplir shw cnfig <Netzwerkadaptername> Zum Anzeigen der Knfiguratinsdatei der Firewall führen Sie den flgenden Befehl aus: iplir shw cnfig firewall Zum Überprüfen der Verbindung zu einem ffenen Knten führen Sie den flgenden Befehl aus: inet ping <IP-Adresse> Zum Überprüfen der Verbindung zu einem geschützten ViPNet-Knten führen Sie den flgenden Befehl aus: iplir ping <ViPNet-Netzwerkknten-ID> Bei der Eingabe der ID stehen dem Benutzer die Features Autvervllständigung und Tipps zur Seite. Tipp-Daten werden aus der Verbindungsliste des ViPNet Security Gateway-Kntens bezgen. Führen Sie zum Anzeigen der Lgdatei registrierter IP-Pakete (s. Lgdatei registrierter IP- Pakete anzeigen auf Seite 72) den flgenden Befehl aus: ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 70

71 iplir view Verwenden Sie zum Anzeigen des Systemprtklls (s. Parameter für Systemprtkll einstellen auf Seite 41), der sich auf dem lkalen Laufwerk befindet, den Befehl: machine shw lgs In der Lgdatei der registrierten IP-Pakete sind Daten über IP-Pakete enthalten, die vm ViPNet-Netzwerkschutztreiber verarbeitet wurden. Führen Sie den Befehl iplir view aus (s. Lgdatei registrierter IP-Pakete anzeigen auf Seite 72), um die Lgdatei der registrierten IP- Pakete anzuzeigen. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 71

72 Lgdatei registrierter IP-Pakete anzeigen Die Lgdatei registrierter IP-Pakete enthält Daten über ffene und verschlüsselte IP-Pakete, die vm ViPNet Security Gateway-Netzwerkschutztreiber auf allen Netzwerkadaptern des betrffenen Cmputers verarbeitet wurden. Diese Daten können nützlich sein, um den Traffic bestimmter Knten zu überwachen der um Verbindungsstörungen zwischen den Knten zu beseitigen. Führen Sie die flgenden Schritte aus, um die Lgdatei der registrierten IP-Pakete anzuzeigen: 1 Führen Sie im Kmmandinterpreter den Befehl iplir view aus. 2 Geben Sie im Fenster Set search parameters die Suchparameter für die Einträge in der Lgdatei der registrierten IP-Pakete an. Sie können die flgenden Parameter angeben: Zeitintervall, innerhalb vn dem IP-Pakete registriert wurden, Netzwerkadapter, auf denen IP-Pakete registriert wurden, Verbindungsparameter (Verbindungsrichtung, Quell- und Zieladressen und -prts), Ereignis, das bei der Verarbeitung des IP-Pakets registriert wurde, andere Parameter. Standardmäßig werden alle Einträge gesucht, die innerhalb der letzten drei Stunden registriert wurden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 72

73 Abbildung 6: Einstellung der Suchparameter in der Lgdatei der registrierten IP-Pakete 3 Klicken Sie auf die Schaltfläche Find. Die Suchergebnisse werden im Fenster View results eingeblendet. 4 Wenn Sie ausführliche Infrmatinen über irgendein Ereignis anzeigen lassen wllen, wählen Sie den benötigten Eintrag in der Liste aus und drücken Sie die Eingabe-Taste. Ausführliche Infrmatinen zur Anzeige der Lgdatei registrierter IP-Pakete sind im Dkument ViPNet Security Gateway. Referenzhandbuch enthalten. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 73

74 4 Verwendungsszenarien für ViPNet Security Gateway ViPNet Security Gateway für Einrichtung des lkalen Netzwerks verwenden 75 Zentralen Prxyserver verwenden 82 Verbindungen zu ffenen Knten schützen 85 Verbindung zwischen zwei vneinander entfernten Standrten 91 ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 74

75 ViPNet Security Gateway für Einrichtung des lkalen Netzwerks verwenden ViPNet Security Gateway ermöglicht die schnelle und einfache Einrichtung eines lkalen Netzwerks für ein kleines Bür. Beispiel: die Firma besitzt eine Filiale, in welcher ein Netzwerk aus mehreren Cmputern eingerichtet werden sll. Einige dieser Rechner sllen über einen abgesicherten Verbindungskanal zur Zentrale verfügen, w ein ViPNet-Netzwerk installiert ist. Für die restlichen Cmputer wird lediglich der Zugang zum Internet benötigt. Zum Lösen dieser Aufgabe sllte an der Grenze des lkalen Netzwerks ein Cmputer mit ViPNet Security Gateway-Sftware installiert werden. Dieser Rechner sllte über mehrere Netzwerkadapter verfügen, vn denen einer an das Internet und ein weiterer an das lkale Netzwerk angeschlssen wird. Das Aufbauschema des Netzwerks in der Filiale ist in der Abbildung unten dargestellt. Abbildung 7: ViPNet Security Gateway für den Aufbau eines lkalen Netzwerks verwenden ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 75

76 ViPNet Security Gateway kann im Netzwerk der Filiale flgende Funktinen erfüllen: Ruter, der die Übertragung vn Daten zwischen dem lkalen Netzwerk und dem Internet sicherstellt; Wi-Fi-Zugriffspunkt, falls auf dem Cmputer mit installierter ViPNet Security Gateway- Sftware ein Wi-Fi-Adapter zur Verfügung steht; Bluetth-Zugangspunkt, falls auf dem Cmputer ein Bluetth-Adapter installiert ist. Firewall, die Adressenübersetzung durchgeführt; DHCP-, DNS- und NTP-Server für Cmputer des lkalen Netzwerks; Crdinatr als Server des ViPNet-Netzwerks (s. Funktinen eines Crdinatrs im privaten ViPNet-Netzwerk auf Seite 17) für geschützte Knten, die sich in der Filiale befinden. Außerdem kann der Crdinatr den Traffic der Cmputer der anderer Netzwerkgeräte tunneln, falls auf diesen Geräten keine ViPNet-Sftware installiert ist, jedch Verbindungen zwischen diesen Geräten und geschützten der ffenen Knten in der Zentrale abgesichert werden sllen. Details s. Abschnitt Geschützter Zugriff zu den ffenen Netzwerkknten (s. Verbindungen zu ffenen Knten schützen auf Seite 85). Ein Beispiel für die Verwendung vn ViPNet Security Gateway als Firewall ist im Abschnitt Anbindung des lkalen Netzwerkes an das Internet (auf Seite 77) aufgeführt. Vrgehensweise bei der Einrichtung des lkalen Netzwerks Zum Einrichten eines lkalen Netzwerks mit Hilfe vn ViPNet Security Gateway wird es empfhlen, alle Schritte aus der nachflgenden Liste durchzuführen. Tabelle 6. Lkales Netzwerk einrichten Aktin Installieren Sie ViPNet Security Gateway. Führen Sie davr im Prgramm ViPNet Manager alle erfrderlichen Netzwerkknten-Einstellungen durch. Knfigurieren Sie die Verbindung des ViPNet Security Gateway-Netzwerkkntens zum Internet. Wenn erfrderlich, knfigurieren Sie ViPNet Security Gateway für den Einsatz als Wi-Fi- Zugriffspunkt. Verweis Installatin vn ViPNet Security Gateway (auf Seite 20) Parameter für ViPNet Security Gateway einstellen (auf Seite 31) Parameter des Wi-Fi-Zugriffspunkts einstellen (auf Seite 52) ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 76

77 Aktin Knfigurieren Sie die integrierten DHCP-, DNS-, NTP-Server für das Ethernet-Netzwerk. Wenn erfrderlich, knfigurieren Sie zusätzliche Filterregeln für den ffenen Traffic. Verweis Parameter des DHCP-Servers einstellen (auf Seite 54) Parameter des DNS-Servers einstellen (auf Seite 55) Parameter des NTP-Servers einstellen (auf Seite 55) Bearbeitungsregeln für ffenen Traffic einstellen (auf Seite 46) Tipp. Wir empfehlen, die Liste auszudrucken, und die einzelnen Schritte nach ihrer Durchführung zu markieren. Anbindung des lkalen Netzwerkes an das Internet Mit Hilfe vn ViPNet Security Gateway können zwei grundlegende Szenarien der Interaktin vn Knten des lkalen Netzwerks mit dem Internet verwirklicht werden: Zugang der Benutzer lkaler Netzwerke zu Internet-Objekten. Verbindungen externer Benutzer aus dem Internet zu Servern, die im lkalen Netzwerk installiert sind. Dazu sllte ein Netzwerkknten mit installierter ViPNet Security Gateway-Sftware als Firewall an der Grenze des lkalen Netzwerks installiert werden. Zusätzlich sllten alle erfrderlichen Regeln der Trafficverarbeitung knfiguriert werden. Betrachten wir das Beispiel eines lkalen Netzwerks, das mehrere ffene Knten enthält (s. Offener Netzwerkknten auf Seite 101). An der Grenze des Netzwerks ist ein ViPNet Security Gateway-Knten installiert, dessen interner Netzwerkadapter die private IP-Adresse und dessen externer Netzwerkadapter die öffentliche IP-Adresse besitzt. Für Cmputer mit IP-Adressen im Bereich sll der Zugang zum Internet eingerichtet werden. Der Webserver mit IP-Adresse sll dabei über TCP-Prt 80 aus dem Internet erreichbar sein. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 77

78 Abbildung 8: Verwendung vn ViPNet Security Gateway zur Anbindung des lkalen Netzwerks an das Internet Damit das beschriebene Szenari der Internetanbindung realisiert werden kann, sllten auf dem ViPNet Security Gateway-Knten Filterregeln für Transit-IP-Pakete swie NAT-Regeln definiert werden. Führen Sie dazu die flgenden Schritte aus: 1 Richten Sie im Prgramm ViPNet Manager einen ViPNet Security Gateway ein, der als Firewall benutzt werden kann. Führen Sie die Knfiguratin entsprechender Parameter durch und erstellen Sie eine Schlüsseldistributin (s. ViPNet Security Gateway im ViPNet Manager einstellen auf Seite 26). 2 Installieren Sie den ViPNet Security Gateway an der Grenze des lkalen Netzwerks zum Internet. Installieren Sie auf dem ViPNet Security Gateway die erfrderliche Sftware (s. Installatin vn Sftware ViPNet Security Gateway auf Seite 25). Installieren Sie auf dem ViPNet Security Gateway die ViPNet-Schlüssel (s. Installatin der ViPNet Schlüsseldistributin auf Seite 29). Führen Sie die primäre Knfiguratin des ViPNet Security Gateway. 3 Stellen Sie eine Verbindung zum ViPNet Security Gateway-Knten über das SSH- Prtkll her. Wechseln Sie dann in den Administratrmdus. Führen Sie dazu den Befehl enable aus und geben Sie das Administratrpasswrt für den Netzwerkknten ein (s. Empfehlungen zur Knfiguratin vn ViPNet Security Gateway auf Seite 32). Stppen Sie den Steuerungsprgramm mit Hilfe des Befehls iplir stp. Führen Sie den flgenden Befehl aus, um die Knfiguratinsdatei der Firewall zum Bearbeiten zu öffnen: ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 78

79 iplir cnfig firewall 4 Fügen Sie im Bereich [frward] die flgenden Regeln für Transit-IP-Pakete hinzu (s. Regeln zur Filterung des Traffics auf Seite 48): Regel, die ausgehende Verbindungen lkaler Knten zu beliebigen IP-Adressen erlaubt: rule= prt any frm t anyip pass Regel, die eingehende Verbindungen zum Webserver vn beliebigen IP-Adressen erlaubt: rule= prt tcp frm anyip t :80 pass 5 Fügen Sie im Bereich [nat] flgende Regeln der Adressenübersetzung hinzu (s. Regeln der Adressenübersetzung auf Seite 50): Regel, die ausgehende Verbindungen lkaler Knten zu beliebigen IP-Adressen erlaubt: rule= change src= :dynamic prt any frm t anyip Regel, die eingehende Verbindungen zum Webserver vn beliebigen IP-Adressen erlaubt: rule= change dst= :80 prt tcp frm anyip t :80 6 Drücken Sie die Tastenkmbinatin Ctrl+O und anschließend die Eingabe, um die Knfiguratinsdatei zu speichern. 7 Drücken Sie die Tastenkmbinatin Ctrl+X, um die Datei zu schließen. 8 Starten Sie den Daemn iplircfg mit Hilfe des Befehls iplir start. 9 Stellen Sie sicher, dass nach Durchführung dieser Einstellungen Verbindungen in Übereinstimmung mit dem vrgegebenen Schema (s. Abbildung auf Seite Ошибка! Закладка не определена.) hergestellt werden können. Verwendung einer zusätzlichen IP-Adresse auf dem Netzwerkadapter Betrachten wir das Beispiel eines Heimnetzwerks der des Netzwerks eines kmpakten Bürs, das aus mehreren Cmputern und einem Ruter besteht. Der Ruter wird für die Verbindung des Netzwerks zum Internet verwendet. Die Zuteilung vn IP-Adressen innerhalb des Netzwerks wird mit Hilfe eines DHCP-Servers durchgeführt. Es sllen Verbindungen der Cmputer und Geräte dieses lkalen Netzwerks zu Objekten im geschützten ViPNet-Netzwerk ermöglicht werden. ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 79

80 Dazu sllte im lkalen Netzwerk ein Cmputer mit ViPNet Security Gateway-Sftware installiert werden. Zusätzlich sllte die Tunnelung ffener Knten des lkalen Netzwerks knfiguriert werden (s. Verbindungen zu ffenen Knten schützen auf Seite 85). Nehmen wir an, dass auf dem Cmputer mit installiertem ViPNet Security Gateway aus irgendwelchen Gründen nur ein Netzwerkadapter verwendet werden kann. In diesem Fall ist es empfehlenswert, dem Netzwerkadapter vn ViPNet Security Gateway eine feste IP-Adresse (alias) aus einem anderen Subnetz zuzurdnen. Das Hinzufügen einer zusätzlichen IP-Adresse bietet flgende Vrteile: Schaffung eines separaten Subnetzes für die getunnelten Knten, in welchem der ViPNet Security Gateway-Knten über eine statische IP-Adresse verfügt. Möglichkeit zur Verwendung der statischen IP-Adresse vn ViPNet Security Gateway für den Aufbau vn Remteverbindungen zum Knten über das SSH-Prtkll. Ein Beispiel: der DHCP-Server verteilt die IP-Adressen aus dem Subnetz /24. Der ViPNet Security Gateway-Knten besitzt die primäre IP-Adresse , die er vm DHCP-Server erhalten hat. Zusätzlich wurde dem Netzwerkadapter des Kntens die IP-Adresse hinzugefügt. Knten, die mit Hilfe vn ViPNet Security Gateway getunnelt werden sllen, werden ebenfalls IP-Adressen aus dem Subnetz /24 zugerdnet. Das Schema des Netzwerks ist in der flgenden Abbildung aufgeführt: Abbildung 9: Verwendung zusätzlicher IP-Adressen ViPNet Security Gateway 3.0 für ARM-Plattfrm. Administratrhandbuch 80