Unified-Threat- Management ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3531 Juli 2014 Studerus AG
UNIFIED-THREAT-MANAGEMENT Registrierung der USG Um UTM-Dienste zu aktivieren, muss das Device auf dem myzyxel.com 2.0 Portal registriert sein. Die Registrierung erfolgt über die Website www.myzyxel.com. Die Dienste stehen dann für 30 Tage zum Test bereit. Einige Modelle beinhalten zusätzlich eine 1-Jahres-Lizenz. Die Aktivierung von Diensten auf der USG setzt eine funktionierende Internet-Verbindung voraus. Unified-Threat-Management 2 KB-3531 / PAG
Registrierung der UTM-Dienste Alle Dienste stehen mindestens als Trial-Version 30 Tage kostenlos zur Verfügung. Zusätzlich erworbene UTM-Lizenzen lassen sich über 'Service Registration' registrieren und über 'Service Management' einem Device zuweisen und aktivieren. Nach einer Aktualisierung des 'License Status' zeigt die USG den aktuellen Status der aktivierten Lizenzen an. Die USG muss dazu über Internet-Konnektivität verfügen. Configuration > Licensing > Registration > Service Unified-Threat-Management 3 KB-3531 / PAG
UTM-Dienste zuweisen Um zu definieren, welche Datenströme die UTM-Dienste überprüfen, werden die UTM-Profile in den Security Policies mit den entsprechenden Firewall-Regeln verknüpft. Zu beachten ist, dass für die Auswahl der Security Policy die Initiierung der Session zählt. Die Policy 'LAN1_Outgoing' überprüft alle Daten, welche auf einen Verbindungsaufbau aus dem LAN1 erfolgen, unabhängig der eigentlichen Übertragungsrichtung. Klassische Firewall-Einstellungen, im Detail in KB-3510 beschrieben. Verknüpfung mit UTM-Profil. In der Firewall-Übersicht zeigen Symbole aktive UTM-Profile an. Unified-Threat-Management 4 KB-3531 / PAG
Application Patrol Dieser Service prüft, ob sich ein Datenverkehr einer spezifischen Applikation (OSI Layer 7) zuweisen lässt. Er ermöglicht die detaillierte Zugriffsregelung verschiedener Programme (P2P, Messenger, Streaming-Clients etc.). App Patrol ist Bestandteil der IDP-Lizenz. Einrichten des Application-Objektes: Configuration > Object > Application > Application > Add. Neue Application Rule hinzufügen, mit Add die gewünschten Signaturen hinzufügen. Unified-Threat-Management 5 KB-3531 / PAG
Einrichten des Application-Profiles: Configuration > UTM Profile > App Patrol > Add. Neue Rule anpassen und mit Add das vorgängig erstellte Applikations-Objekt hinzufügen. Die Option Action bestimmt, was im Falle der Erkennung der Anwendung erfolgen soll. Nach Ergänzen der Security-Policy um das neu erstellte Profil blockiert die USG die ausgewählte Anwendung. Falls so festgelegt, führt die USG die entsprechenden Ereignisse im Log auf: Unified-Threat-Management 6 KB-3531 / PAG
Content Filter Der Content-Filter von Commtouch verhindert mit einer Cloud-basierten Datenbank den Zugriff auf unerwünschte, infizierte oder schadhafte Websites. Gerade im Kampf gegen Driveby- Infektionen spielt der Content-Filter ergänzend zu Anti-Virus und IDP eine wichtige Rolle. Configuration > UTM Profile > Content Filter > Profile > Add erstellt ein neues Content-Filter-Profil: Aktiviert den Content-Filter Kategorien-Service. Hält wichtige Ereignisse im Log fest. Filter-Kategorien Wählen Sie aus der vordefinierten Liste die gewünschten Inhalte die geblockt werden sollen. Oder erstellen Sie im Reiter Custom Service eine selbst definierte Regel. Unified-Threat-Management 7 KB-3531 / PAG
IDP (Intrusion-Detection-Prevention) IDP erkennt mittels Deep-Packet-Inspection-Technologie Angriffe auf Schwachstellen von Betriebssystemen, Anwendungen und Serverdiensten, die einfachen port- und protokollbasierten Firewalls verborgen bleiben. Zur Einrichtung wird über Configuration > UTM Profile > IDP eine neue Rule erstellt. Ein Dialog fragt nach der zu überprüfenden Zone und fügt dann die dafür vorgesehenen Signaturen hinzu. IDP wird wirksam, sobald eine Security Policy um das IDP-Profil ergänzt wurde. Deaktivieren von Signaturen Der IDP-Dienst überprüft nach Aktivierung jedes Paket gegen jede Signatur. Das Deaktivieren einzelner Signaturen führt somit zu keinem Performance-Gewinn, es beeinflusst lediglich die damit verbundene Aktion (drop, none, reject-both...). Entsprechend führt das Dashboard jede erkannte Signaturen auf, auch wenn diese in den Profilen deaktiviert ist. Unified-Threat-Management 8 KB-3531 / PAG
Anti-Virus Die führende Kaspersky SafeStream II Gateway Anti-Viren-Lösung schützt in Echtzeit vor Malware, bevor diese mit einer Dateiübertragung ins Netzwerk gelangt. Die AV-Engine ersetzt den Inhalt der Datei ab Erkennung des Schadcodes mit Nullwerten. Die Übertragung wird aber weitergeführt und abgeschlossen. Ein auf dem Client aktiver Virenscanner schlägt möglicherweise aufgrund des Dateinamens weiterhin Alarm. Für Tests bietet sich das Pattern der EICAR (European Expert Group for IT-Security) an. Dieses Pattern kann über www.eicar.org unter Anti-Malware-Test in verschiedenen Versionen (z.b. als Text, Datei oder gepackte Datei) runtergeladen werden. Unified-Threat-Management 9 KB-3531 / PAG
Anti-Spam Der Cloud-basierten AS-Dienst von Cyren (Commtouch) liefert Spamschutz in Echtzeit. Er erkennt Spam-Wellen innerhalb weniger Minuten nach Versand, unabhängig davon in welcher Sprache oder welchem Format die Mails verfasst wurden. Neue AS-Rule erstellen: Configuration > UTM Profile > Anti-Spam > Profile > Add. Im Register Configuration > UTM Profile > Anti-Spam > Mail Scan die gewünschten Überprüfungsarten aktivieren. Die Tags für die Markierung der erkannten Spam-Mails lassen sich bei Bedarf anpassen oder durch Gewichtungswerte ergänzen. Unified-Threat-Management 10 KB-3531 / PAG
Ein wichtiges Hilfsmittel zur zusätzlichen Steuerung der Filterergebnisse sind die Black- und White- Lists. So lässt sich zuverlässig verhindern, dass Mails von z.b. Geschäftspartnern aufgrund einer False-Positive-Erkennung versehentlich untergehen. Unified-Threat-Management 11 KB-3531 / PAG
Port-less Protocol Detection Die USG definiert Dienste aufgrund des der Übertragung zugrundeliegenden Ports. Der Content- Filter überprüft HTTP-Verbindungen unter anderem auf Port 80 und 8080. Ein HTTP-Zugriff auf einen Web-Server mit Port 12322 würde vom CF jedoch nicht erfasst. Die USG kann Application-Patrol zur Erkennung des Protokolls nutzen. Wird App-Patrol nicht sowieso bereits eingesetzt, genügt auch ein leeres ADP-Profil in der entsprechenden Security-Policy. Die durch die ADP ausgeführte Klassifizierung des Datenverkehrs ermöglicht nun der USG, die Überprüfung der Dienste wie CF und AV auf alle erkannten Protokolle auszuweiten, unabhängig des verwendeten Ports. Unified-Threat-Management 12 KB-3531 / PAG
Automatische Updates Das Menü Configuration > Licensing > Signature Update definiert den Zeitplan für die automatische Aktualisierung der Anti-Virus, IDP und App-Patrol-Signaturen. Standardmässig wird jeweils um Mitternacht die Aktualisierung initialisiert. Unified-Threat-Management 13 KB-3531 / PAG