advertisement
Sophos UTM
Administratorhandbuch
Produktversion:
9.000
Erstellungsdatum:
Montag, 17. September 2012
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind frei erfunden, soweit nichts anderes angegeben ist. Kein Teil dieser Unterlagen darf.für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen
Mitteln, wenn keine ausdrückliche schriftliche Erlaubnis der Astaro GmbH & Co. KG. Übersetzungen dieses Originals müssen folgendermaßen markiert werden: „Translation of the original manual“.
© 2000–2012 Astaro GmbH & Co. KG.
Alle Rechte vorbehalten.
Amalienbadstraße 41/Bau 52,
76227 Karlsruhe,
Deutschland http://www.astaro.com
, http://www.sophos.com
Sophos UTM, Astaro Command Center, Astaro Gateway Manager und WebAdmin sind
Markenzeichen der Astaro GmbH & Co. KG. Cisco ist ein registriertes Markenzeichen von Cisco
Systems Inc. iOS ist ein Markenzeichen von Apple Inc. Linux ist ein Markenzeichen von Linus Torvalds.
Alle weiteren Markenzeichen stehen ausschließlich den jeweiligen Inhabern zu.
Einschränkung der
Gewährleistung
Für die Richtigkeit des Inhalts dieses Handbuchs wird keine Garantie übernommen. Hinweise auf
Fehler und Verbesserungen nehmen wir gerne unter der E-Mail-Adresse [email protected]
entgegen.
Inhaltsverzeichnis
1.3.1 Tastenfunktionen während der Installation
1.3.2 Besondere Optionen während der Installation
1.3.3 Installation vonSophos UTM
Inhaltsverzeichnis iv
4.11.1 Hardware- und Software-Voraussetzungen
UTM 9 Administratorhandbuch
5.6.1 Allgemeine Einstellungen
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen
6.1.1.2 Arten von Schnittstellen
UTM 9 Administratorhandbuch
Inhaltsverzeichnis
v
Inhaltsverzeichnis
6.7 Dynamisches Routing (OSPF)
6.9 Multicast Routing (PIM-SM)
vi
UTM 9 Administratorhandbuch
UTM 9 Administratorhandbuch
Inhaltsverzeichnis
vii
Inhaltsverzeichnis viii
9.3.2 Application-Control-Regeln
UTM 9 Administratorhandbuch
10.6.1.1 SMTP-/POP3-Quarantäne
UTM 9 Administratorhandbuch
Inhaltsverzeichnis
ix
Inhaltsverzeichnis x
UTM 9 Administratorhandbuch
17.1.1 Heutige Protokolldateien
17.1.2 Archivierte Protokolldateien
17.1.3 Protokolldateien durchsuchen
UTM 9 Administratorhandbuch
Inhaltsverzeichnis
xi
Inhaltsverzeichnis
17.9.2 Archivierte Gesamtberichte
17.10.1 Lokale Protokollierung
17.10.3 Ausgelagerte Protokollarchive
xii
UTM 9 Administratorhandbuch
20.1 User Portal: Mail-Quarantäne
20.2 User Portal: Mail-Protokoll
20.4 User Portal: Absender-Whitelist
20.5 User Portal: Absender-Blacklist
20.7 User Portal: Client-Authentifizierung
20.8 Benutzerportal: Fernzugriff
20.9 User Portal: HTML5-VPN-Portal
20.10 User Portal: Kennwort ändern
20.11 User Portal: HTTPS-Proxy
Inhaltsverzeichnis
UTM 9 Administratorhandbuch
xiii
1 Installation
Dieses Kapitel enthält Informationen über die Installation und Einrichtung von Sophos UTM in
Ihrem Netzwerk.Die Installation von Sophos UTM erfolgt in zwei Schritten: Erstens, die
Installation der Software; zweitens, die Konfiguration von grundlegenden
Systemeinstellungen.Die Software-Installation wird mithilfe eines Konsolen-gestützten
Installationsmenüs durchgeführt.Die interne Konfiguration kann von Ihrem Arbeitsplatzrechner aus über die Web-basierte Benutzeroberfläche von Sophos UTM namens WebAdmin erfolgen.Bevor Sie mit der Installation beginnen, überprüfen Sie bitte, ob Ihre Hardware den
Mindestanforderungen entspricht.
Hinweis – Wenn Sie eine Sophos UTM Appliance betreiben, können Sie die folgenden
Abschnitte überspringen und direkt mit dem Abschnitt Grundkonfiguration fortfahren, da bei allen Sophos UTM-Hardware-Appliances mit UTMdie Software vorinstalliert ist.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
1.1 Empfohlene Lektüre
Bevor Sie mit der Installation beginnen, sollten Sie die folgenden Dokumente lesen, die Ihnen bei der Einrichtung von Sophos UTM helfen. Beide Dokumente sind der Sophos UTM
Hardware Appliance beigelegt und können alternativ von der SophosKnowledgebase heruntergeladen werden: l
Quick Start Guide Hardware l
Operating Instructions
1.2 Systemanforderungen
1 Installation
1.2 Systemanforderungen
Für die Installation und den Betrieb der UTM gelten die folgenden Hardware-
Mindestanforderungen: l
Prozessor: Pentium 4 mit 1,5 GHz (oder vergleichbar) l
Speicher: 1 GB RAM l
Festplatte: 20-GB-IDE- oder -SCSI-Festplatte l
CD-ROM-Laufwerk: Bootfähiges IDE- oder SCSI-CD-ROM-Laufwerk l
Netzwerkkarten (NICs): Zwei oder mehr PCI-Ethernet-Netzwerkkarten l
Netzwerkkarte (optional): Eine Heartbeat-fähige PCI-Ethernet-Netzwerkkarte.In
einem hochverfügbaren System (HA) kommunizieren das Primärsystem und das
Standby-System mittels eines sogenannten Heartbeats miteinander – eines Signals, das
über eine Netzwerkverbindung zwischen beiden Systemen zyklisch ausgetauscht wird.
Falls Sie ein hochverfügbares System einsetzen möchten, stellen Sie sicher, dass beide
Geräte mit Heartbeat-fähigen Netzwerkkarten ausgestattet sind.
l
USB (optional): Ein USB-Anschluss zur Kommunikation mit einem USV-Gerät l
Switch (optional): Ein Gerät, das die Kommunikation in Computernetzwerken steuert.
Stellen Sie sicher, dass der Switch sogenannte Jumbo Frames unterstützt.
Sophosführt eine Liste aller Hardware-Produkte, die im Zusammenhang mit der UTM-
Software auf ihre Funktionalität hin getestet wurden.Die Hardwarekompatibilitätsliste
(Hardware Compatibility List; HCL) steht in der SophosKnowledgebase zur Verfügung.Um
Installations- und Betriebsfehler mit der UTM-Software zu vermeiden, sollten Sie nur
Hardware verwenden, die in der HCL aufgeführt ist. Die Hardware- und Software-
Anforderungen an den Arbeitsplatzrechner für den Zugriff auf die webbasierte
Benutzeroberfläche WebAdmin sind wie folgt: l
Prozessor: Taktfrequenz 1 GHz oder höher l
Browser: Firefox 2 (empfohlen) oder Microsoft Internet Explorer 6 oder 7. JavaScript muss aktiviert sein.Darüber hinaus darf im Browser kein Proxy für die IP-Adresse der internen Netzwerkkarte (eth0) von UTM konfiguriert sein.
16
UTM 9 Administratorhandbuch
1 Installation
1.2 Systemanforderungen
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
Bild 1 IE7 Sicherheitseinstellungen – Zone vertrauenswürdiger Sites
1.2.1 USV-Unterstützung
Geräte zur unterbrechungsfreien Stromversorgung (USV) gewährleisten eine kontinuierliche
Stromversorgung bei Störungen oder Schwankungen der Stromzufuhr, indem sie Strom aus einer unabhängigen Stromquelle liefern, wenn der Hausstrom ausfällt.Sophos UTMunterstützt
Geräte der Hersteller MGE UPS Systems und APC.Die Kommunikation zwischen dem USV-
Gerät und Sophos UTM erfolgt über die USB-Schnittstelle.
UTM 9 Administratorhandbuch
17
1.3 Installationsanleitung
1 Installation
Sobald das USV-Gerät im Batteriebetrieb läuft, wird eine Nachricht an den Administrator geschickt.Falls die Stromunterbrechung für einen längeren Zeitraum andauert und der
Batteriestatus des USV-Geräts einen kritischen Wert erreicht, wird eine weitere Nachricht verschickt. Sophos UTM fährt anschließend kontrolliert herunter und schaltet sich automatisch ab.
Hinweis – Informationen darüber, wie Sie Sophos UTM an Ihrem USV-Gerät anschließen können, finden Sie in der Bedienungsanleitung des USV-Geräts.Die UTM erkennt das an der
USB-Schnittstelle angeschlossene USV-Gerät während des Systemstarts.Starten Sie
Sophos UTM daher erst nach der Verbindung mit dem USV-Gerät.
1.2.2 RAID-Unterstützung
Ein RAID-System (Redundant Array of Independent Disks) ist ein Datenspeicherungsschema zwischen mehreren physikalischen Festplatten, die als ein einziges logisches Laufwerk organisiert sind.Um sicherzustellen, dass das RAID-System erkannt und korrekt auf dem
Dashboard des WebAdmin angezeigt wird, benötigen Sie einen RAID-Controller, der von
Sophos UTM unterstützt wird.Auf der HCL (Hardware Compatibility List) können Sie nachsehen, welche RAID-Controller unterstützt werden.Die HCL befindet sich in der
SophosKnowledgebase . Verwenden Sie „HCL“ als Suchbegriff, um die entsprechende Seite zu finden.
1.3 Installationsanleitung
Im Folgenden wird die Installation der Sophos UTM-Software beschrieben.
Bevor Sie mit der Installation beginnen, halten Sie die folgenden Komponenten bereit: l die Sophos UTM CD-ROM l die Lizenz fürSophos UTM
Das Installationsprogramm überprüft zunächst die Hardware und installiert dann die Software auf Ihrem System.
18
UTM 9 Administratorhandbuch
1 Installation
1.3 Installationsanleitung
1.3.1 Tastenfunktionen während der Installation
Die Navigation im Installationsmenü erfolgt über die folgenden Tasten (beachten Sie während der Installation auch die zusätzlichen Tastenfunktionen, die unten im Bild angezeigt werden): l
F1: Zeigt den kontextsensitiven Hilfebildschirm an.
l
Pfeiltasten: Navigation in den Textfeldern, z. B. in der Lizenzbestimmung und der
Auswahl des Tastatur-Layouts.
l
Tabulatortaste: Wechseln zwischen den Textfeldern, Listen und Schaltflächen.
l
Eingabetaste: Die Eingabe wird bestätigt und die Installation wird mit dem nächsten
Schritt fortgesetzt.
l
Leertaste: Wählen Sie Optionen, die mit einem Asterisk markiert sind, aus oder ab.
l
Alt-F2: Wechsel zur Installationskonsole.
l
Alt-F4: Wechsel zum Protokoll.
l
Alt-F1: Wechsel zur interaktiven Bash-Konsole.
l
Alt-F1: Rückkehr zum Haupt-Installationsbildschirm.
1.3.2 Besondere Optionen während der Installation
Einige Installationsschritte bieten zusätzliche Optionen an:
View Log: Anzeige des Installationsprotokolls.
Support: Anzeige des Dialogfensters für Unterstützung.
To USB Stick: Speichern des Installationsprotokolls als zip-Datei auf einen USB-Stick.
Denken Sie daran, einen USB-Stick einzustecken, bevor Sie diese Option bestätigen.Die zip-
Datei kann dazu verwendet werden, Installationsprobleme zu lösen, z. B. durch das Support-
Team von Sophos UTM.
Back: Rückkehr zum letzten Installationsschritt.
Cancel: Anzeige eines Bestätigungsdialogfensters, um die Installation abzubrechen.
Help: Anzeige des kontextsensitiven Hilfebildschirms.
UTM 9 Administratorhandbuch
19
1.3 Installationsanleitung
1 Installation
1.3.3 Installation vonSophos UTM
1.
Booten Sie den PC von der CD-ROM.
Der Startbildschirm der Installation wird angezeigt.
Hinweis – Sie können jederzeit F1 drücken, um zum Hilfebildschirm zu gelangen.
Durch Drücken von F3 im Startbildschirm wird ein Bildschirm zur Fehlerbehebung angezeigt.
2.
Drücken Sie die Eingabetaste.
Der Schritt Introduction (Einleitung) wird angezeigt.
3.
Wählen Sie Start Installation (Installation starten).
Der Schritt Hardware Detection (Hardware-Erkennung) wird angezeigt.
Die Software prüft die folgenden Hardware-Komponenten: l
Prozessor l
Größe und Fabrikat der Festplatte l
CD-ROM-Laufwerk l
Netzwerkkarten l
IDE- bzw. SCSI-Controller
Falls Ihr System die Minimal-Voraussetzungen nicht erfüllt, wird die Installation mit einer entsprechenden Fehlermeldung abgebrochen.
Sobald die Hardware-Erkennung abgeschlossen ist, wird der Schritt Detected
Hardware (Erkannte Hardware) zu Informationszwecken angezeigt.
4.
Drücken Sie die Eingabetaste.
Der Schritt Select Keyboard (Tastatur-Layout wählen) wird angezeigt.
5.
Wählen Sie Ihr Tastatur-Layout.
Wählen Sie mit den Pfeiltasten das Tastatur-Layout aus, z. B. German (DE), und bestätigen Sie dies mit der Eingabetaste.
Der Schritt Select Timezone (Zeitzone wählen) wird angezeigt.
20
UTM 9 Administratorhandbuch
1 Installation
1.3 Installationsanleitung
6.
Wählen Sie Ihre Region.
Wählen Sie mit den Pfeiltasten Ihre Region aus, z. B. Europe (Europa), und bestätigen
Sie dies mit der Eingabetaste.
7.
Wählen Sie Ihre Zeitzone.
Wählen Sie mit den Pfeiltasten Ihre Zeitzone aus, z. B. Berlin, und bestätigen Sie dies mit der Eingabetaste.
Der Schritt Date and Time (Datum und Zeit) wird angezeigt.
8.
Stellen Sie Datum und Uhrzeit ein.
Falls Datum und Zeit nicht korrekt sind, können Sie diese hier ändern. Sie können mit der
Tabulator-Taste und den Pfeiltasten zwischen den Textfeldern wechseln.Mit der
Leertaste können Sie die Option Host Clock is UTC (Systemuhr ist UTC) abwählen.
Ungültige Eingaben werden nicht übernommen. Bestätigen Sie die Eingaben mit der
Eingabetaste.
Der Schritt Select Admin Interface (Administrationsschnittstelle wählen) wird angezeigt.
9.
Wählen Sie eine interne Netzwerkkarte.
Damit Sie nach der Installation Sophos UTM über die Benutzeroberfläche WebAdmin weiter konfigurieren können, müssen Sie eine Netzwerkkarte als interne
Netzwerkschnittstelle (eth0) definieren. Wählen Sie aus der verfügbaren Hardware eine
Netzwerkkarte aus und bestätigen Sie die Auswahl mit der Eingabetaste.
Hinweis – Schnittstellen, die eine funktionierende Verbindung haben, sind mit dem
Wort [Link] hervorgehoben.
Der Schritt Network Configuration (Netzwerkkonfiguration) wird angezeigt.
10.
Konfigurieren Sie die Netzwerkschnittstelle für die Administration.
Definieren Sie für die interne Schnittstelle, über die das System administriert werden soll, eine IP-Adresse, eine Netzmaske und ein Standardgateway. Die Standardwerte sind:
Adresse: 192.168.2.100
Netzmaske: 255.255.255.0
Gateway: k. A.
Den Wert für das Standardgateway müssen Sie nur ändern, wenn Sie die WebAdmin-
Schnittstelle von einem PC aus erreichen möchten, der außerhalb des
UTM 9 Administratorhandbuch
21
1.3 Installationsanleitung
1 Installation
Netzwerkbereichs liegt.Beachten Sie, dass sich das Gateway innerhalb des Subnetzes befinden muss.
1
Bestätigen Sie die Eingaben mit der Eingabetaste.
Wenn Ihr Prozessor 64 Bit unterstützt, wird der Schritt 64 Bit Kernel Support (64-Bit-
Kernel-Unterstützung) angezeigt.Andernfalls wird die Installation mit dem Schritt
Enterprise Toolkit fortgesetzt.
11.
Installieren Sie den 64-Bit-Kernel.
Wählen Sie Yes, um den 64-Bit-Kernel zu installieren, oder No, um den 32-Bit-Kernel zu installieren.
Der Schritt Enterprise Toolkit wird angezeigt.
12.
Akzeptieren Sie die Installation des Enterprise Toolkit.
Das Enterprise Toolkit umfasst die Sophos UTM-Software.Sie können beschließen, nur
Open-Source-Software zu installieren.Wir empfehlen jedoch auch die Installation von
Enterprise Toolkit, sodass Sie die volle Funktionalität von Sophos UTM.
Drücken Sie die Eingabetaste, um beide Softwarepakete zu installieren, oder wählen Sie
No, um nur die Open-Source-Software zu installieren.
Der Schritt Installation: Partitioning (Installation: Partitionierung) wird angezeigt.
13.
Bestätigen Sie den Warnhinweis, um die Installation zu starten.
Bitte lesen Sie den Warnhinweis sorgfältig.Nach der Bestätigung werden alle bestehenden Daten auf dem PC gelöscht.
Wenn Sie die Installation abbrechen und das System stattdessen neu starten möchten, wählen Sie No.
Warnung – Alle Daten auf der Festplatte werden gelöscht.
Die Installation der Software kann nun einige Minuten dauern.
1
Bei der Netzmaske 255.255.255.0 wird das Subnetz durch die ersten drei Werte definiert. In unserem Beispiel lautet der relevante Bereich 192.168.2.Wenn nun Ihr Administrations-PC z.
B. die IP-Adresse 192.168.10.5 hat, liegt er nicht im selben Subnetz. In diesem Fall benötigen
Sie ein Gateway.Das Gateway muss dann eine Schnittstelle im 192.168.2-Subnetz und eine
Verbindung zum Administrations-PC haben.Für unser Beispiel nehmen wir die Adresse
192.168.2.1
.
22
UTM 9 Administratorhandbuch
1 Installation
1.4 Grundkonfiguration
Der Schritt Installation Finished (Installation abgeschlossen) wird angezeigt.
14.
Entnehmen Sie die CD-ROM, verbinden Sie das System mit dem internen
Netzwerk und starten Sie das System neu.
Sobald Sie dazu aufgefordert werden, entnehmen Sie die CD-ROM aus dem Laufwerk und verbinden die Netzwerkkarte eth0 mit Ihrem lokalen Netzwerk.Mit Ausnahme der internen Netzwerkkarte (eth0) wird die Reihenfolge der Netzwerkkarten in erster Linie durch die PCI-ID und die Kernel-Treiber bestimmt. Die Reihenfolge der
Netzwerkkartenbenennung kann sich auch später durch Änderung der
Hardwarekonfiguration, z. B. durch das Hinzufügen oder Entfernen von Netzwerkkarten
ändern.
Drücken Sie im Installationsmenü dann die Eingabetaste, um die UTM neu zu starten.
Während des Neustarts werden die IP-Adressen der internen Netzwerkkarten neu gesetzt, daher kann auf der Installationsroutine-Konsole (Alt+F1) für kurze Zeit die
Meldung „No IP on eth0” stehen.
Nachdem Sophos UTM neu gestartet ist (je nach Hardware-Leistung kann dies einige Minuten dauern), sollten Sie mit dem Programm Ping die IP-Adresse der internen Netzwerkkarte eth0 erreichen. Falls keine Verbindung zustande kommt, prüfen Sie Ihr System auf die nachfolgenden möglichen Fehlerquellen: l
Die IP-Adresse von Sophos UTM ist nicht korrekt gesetzt.
l
Die IP-Adresse des Administrations-PCs ist nicht korrekt gesetzt.
l
Das Standardgateway ist nicht korrekt gesetzt.
l
Das Netzwerkkabel ist mit der falschen Netzwerkkarte verbunden.
l
Alle Netzwerkkarten sind an einem Hub angeschlossen.
1.4 Grundkonfiguration
Der zweite Teil der Installation erfolgt im WebAdmin, der webbasierten Administrator-
Benutzeroberfläche von Sophos UTM. Bevor Sie die Grundkonfiguration durchführen , sollten
Sie eine Vorstellung davon haben, wie Sie Sophos UTM in Ihr Netzwerk integrieren wollen.Sie
müssen entscheiden, welche Funktionen es bereitstellen soll, z. B. ob es im Bridge-Modus oder im Standard-Modus (Routing) laufen soll, oder ob es den Datenpaketfluss zwischen seinen
Schnittstellen überwachen soll.Sie können Sophos UTM jedoch immer zu einem späteren
UTM 9 Administratorhandbuch
23
1.4 Grundkonfiguration
1 Installation
Zeitpunkt neu konfigurieren.Wenn Sie also noch nicht geplant haben, wie Sie Sophos UTM in
Ihr Netzwerk integrieren wollen, können Sie direkt mit der Grundkonfiguration beginnen.
1.
Starten Sie Ihren Browser und öffnen Sie den WebAdmin.
Rufen Sie die URL von Sophos UTM auf (d. h. die IP-Adresse von eth0).Um bei unserer
Beispielkonfiguration zu bleiben, ist dies die URL https://192.168.2.100:4444
(beachten Sie, das HTTPS-Protokoll und die Portnummer 4444).
Beachten Sie, dass abweichend von der betrachteten Beispielkonfiguration alle Sophos
UTM mit den folgenden Standardeinstellungen ausgeliefert werden: l
Schnittstellen: Interne Netzwerkschnittstelle (eth0) l
IP-Adresse: 192.168.0.1
l
Netzmaske: 255.255.255.0
l
Standardgateway: k. A.
Um auf den WebAdmin einer beliebigen Sophos UTM zuzugreifen, geben Sie stattdessen folgende URL an: https://192.168.0.1:4444
Um Authentifizierung und verschlüsselte Kommunikation zu gewährleisten, wird Sophos
UTM mit einem selbstsignierten Sicherheitszertifikat ausgeliefert.Dieses Zertifikat wird dem Webbrowser beim Aufbau der HTTPS-basierten Verbindung zum WebAdmin angeboten.Da er die Gültigkeit des Zertifikats nicht überprüfen kann, zeigt der Browser eine Sicherheitswarnung an.Nachdem Sie das Zertifikat akzeptiert haben, wird die initiale Anmeldeseite angezeigt.
24
UTM 9 Administratorhandbuch
1 Installation
1.4 Grundkonfiguration
Bild 2 WebAdmin: Initiale Anmeldeseite
2.
Füllen Sie das Anmeldeformular aus.
Geben Sie die genauen Informationen zu Ihrer Firma in die Textfelder ein.Legen Sie ein
Kennwort fest und geben Sie eine gültige E-Mail-Adresse für das Administratorkonto ein.Wenn Sie mit den Lizenzbestimmungen einverstanden sind, klicken Sie auf die
Schaltfläche Grundlegende Systemkonfiguration durchführen, um mit dem
Anmeldevorgang fortzufahren. Während dieses Vorganges werden einige digitale
Zertifikate und CAs (Certificate Authorities, dt. Zertifizierungsinstanzen) erzeugt: l
WebAdmin-CA: Die CA, mit der das WebAdmin-Zertifikat signiert wurde (siehe
Verwaltung > WebAdmin-Einstellungen >
l
VPN-Signierungs-CA: Die CA, mit der digitale Zertifikate für VPN-
Verbindungen signiert werden (siehe Site-to-Site-VPN > Zertifikatverwaltung >
).
l
WebAdmin-Zertifikat: Das digitale Zertifikat des WebAdmin (siehe Site-to-Site-
VPN > Zertifikatverwaltung >
).
UTM 9 Administratorhandbuch
25
1.4 Grundkonfiguration
1 Installation
l
Lokales X.509-Zertifikat: Das digitale Zertifikat von Sophos UTM wird für VPN-
Verbindungen verwendet (siehe Site-to-Site VPN > Zertifikatverwaltung >
).
Die Anmeldeseite wird angezeigt.(Bei einigen Browsern kann es passieren, dass Ihnen ein weiterer Sicherheitshinweis angezeigt wird, weil sich das Zertifikat entsprechend
Ihren Eingaben geändert hat.)
26
Bild 3 WebAdmin: Reguläre Anmeldeseite
3.
Melden Sie sich am WebAdmin an.
Geben Sie in das Feld Benutzername das Wort admin ein und geben Sie das Kennwort ein, das Sie in der vorherigen Ansicht festgelegt haben.
Ihnen wird nun ein Konfigurationsassistent angezeigt, der Sie durch den ersten
Konfigurationsprozess leitet.Führen Sie die Schritte aus, um die Grundeinstellungen von
Sophos UTM zu konfigurieren.
Falls Sie über eine Backupdatei verfügen, können Sie stattdessen auch das Backup wiederherstellen (lesen Sie dazu den Abschnitt
).
Alternativ können Sie auch bedenkenlos auf Abbrechen klicken (in jedem der Schritte des Assistenten) und dadurch den Assistenten beenden, wenn Sie z. B. die
Konfiguration von Sophos UTM im WebAdmin vornehmen möchten.Sie können auch jederzeit auf Fertigstellen klicken. Dann werden alle bis dahin vorgenommenen
Einstellungen gespeichert und der Assistent beendet.
4.
Installieren Sie Ihre Lizenz.
Klicken Sie auf das Ordnersymbol, um Ihre erworbene Lizenz (eine Textdatei) hochzuladen.Klicken Sie auf Weiter, um die Lizenz zu installieren.Falls Sie keine Lizenz erworben haben, klicken Sie auf Weiter, um die 30-Tage-Evaluationslizenz zu verwenden, bei der alle Produktmerkmale aktiviert sind und die mit Sophos UTM ausgeliefert werden.
UTM 9 Administratorhandbuch
1 Installation
1.4 Grundkonfiguration
5.
Konfigurieren Sie die interne Netzwerkkarte.
Überprüfen Sie die angezeigten Einstellungen für die interne Netzwerkschnittstelle
(eth0). Die vorliegenden Einstellungen resultieren aus den Informationen, die Sie während der Installation der Software eingegeben haben.Zusätzlich können Sie Sophos
UTM als DHCP-Server konfigurieren, indem Sie das entsprechende Auswahlkästchen markieren.
Hinweis - Wenn Sie die IP-Adresse der internen Netzwerkschnittstelle ändern, müssen Sie sich mit der neuen IP-Adresse erneut am WebAdmin anmelden, wenn Sie den Assistenten beendet haben.
6.
Wählen Sie den Uplink-Typ für die externe Netzwerkkarte.
Wählen Sie die Art der Verbindung Ihrer Uplink-/Internetverbindung, die die externe
Netzwerkkarte verwenden wird. Die Art der Schnittstelle und ihre Konfiguration hängen davon ab, welche Art der Internetverbindung Sie verwenden werden.Klicken Sie auf
Weiter.
Falls Sophos UTM über keinen Uplink verfügt oder Sie diesen jetzt noch nicht konfigurieren möchten, lassen Sie das Feld Internet-Uplink-Typ leer.Wenn Sie einen
Internet-Uplink konfigurieren, wird IP-Maskierung automatisch für alle Verbindungen aus dem internen Netzwerk ins Internet konfiguriert.
Wenn Sie Standard-Ethernetschnittstelle mit statischer IP-Adresse auswählen, ist ein
Standardgateway nur optional anzugeben.Wenn Sie das Textfeld leer lassen, bleibt Ihre
-Standardgateway-Einstellung aus der Installationsroutine erhalten.Sie können jeden der folgenden Schritte überspringen, indem Sie auf Weiter klicken. Diese übergangenen
Einstellungen können Sie dann später im WebAdmin vornehmen oder ändern.
7.
Legen Sie die grundlegenden Firewall-Einstellungen fest.
Hier können Sie auswählen, welche Arten von Diensten Sie für das Internet zulassen wollen.Klicken Sie auf Weiter, um Ihre Einstellungen zu bestätigen.
8.
Legen Sie die grundlegenden Angriffschutzeinstellungen fest.
Hier können Sie Einstellungen festlegen, die den Angriffschutz verschiedener
Betriebssysteme und Datenbanken betreffen.Klicken Sie auf Weiter, um Ihre
Einstellungen zu bestätigen.
9.
Nehmen Sie Ihre Einstellungen für Application Control und die
Netzwerksichtbarkeit vor.
UTM 9 Administratorhandbuch
27
1.4 Grundkonfiguration
1 Installation
Sie können nun die Netzwerksichtbarkeit aktivieren.Klicken Sie auf Weiter, um Ihre
Einstellungen zu bestätigen.
10.
Legen Sie die Web-Protection-Einstellungen fest.
Hier können Sie festlegen, ob Internetverkehr nach Viren und Spionagesoftware
(Spyware) gescannt werden soll.Darüber hinaus können Sie Websites bestimmter
Kategorien blockieren lassen.Klicken Sie auf Weiter, um Ihre Einstellungen zu bestätigen.
11.
Legen Sie die Email-Protection-Einstellungen fest.
Hier können Sie das erste Auswahlkästchen markieren, um den POP3-Proxy zu aktivieren.Wenn Sie das zweite Auswahlkästchen markieren, fungiert die UTM als
SMTP-Relay für eingehende Mails: Geben Sie die IP-Adresse Ihres internen Mailservers an und fügen Sie SMTP-Domänen hinzu, die geroutet werden sollen.Klicken Sie auf
Weiter, um Ihre Einstellungen zu bestätigen.
12.
Bestätigen Sie Ihre Einstellungen.
Es wird Ihnen eine Aufstellung der vorgenommenen Einstellungen angezeigt.Klicken Sie auf Fertigstellen, um sie zu bestätigen oder auf Zurück, um sie zu ändern. Sie können die
Einstellungen jedoch auch später im WebAdmin ändern.
Nachdem Sie auf Fertigstellen geklickt haben, wird das Dashboard des WebAdmin angezeigt, das Sie auf einen Blick über den aktuellen Systemstatus von Sophos UTM informiert.
28
UTM 9 Administratorhandbuch
1 Installation
1.4 Grundkonfiguration
Bild 4 WebAdmin: Dashboard
Falls Sie bei einzelnen Schritten des Assistenten auf Probleme stoßen, wenden Sie sich bitte an die Support-Abteilung Ihres Sophos UTM-Anbieters. Weitergehende
Informationen finden Sie auf den folgenden Websites: l
Sophos NSGSupport-Forum l
SophosKnowledgebase
UTM 9 Administratorhandbuch
29
1.5 Backup-Wiederherstellung
1 Installation
1.5 Backup-Wiederherstellung
Der Konfigurationsassistent des WebAdmin (siehe Abschnitt
) ermöglicht es Ihnen, eine vorhandene Backupdatei wiederherzustellen, anstatt die Grundkonfiguration durchzuführen. Gehen Sie folgendermaßen vor:
1.
Wählen Sie im Konfigurationsassistenten Vorhandene Backup-Datei
wiederherstellen.
Wählen Sie im Konfigurationsassistenten Vorhandene Backup-Datei wiederherstellen und klicken Sie auf Weiter.
Sie werden zu der Seite weitergeleitet, wo Sie die Datei hochladen können.
2.
Laden Sie das Backup hoch.
Klicken Sie auf das Ordnersymbol, wählen Sie die Backupdatei aus, die Sie wiederherstellen möchten, und klicken Sie auf Hochladen starten.
3.
Stellen Sie das Backup wieder her.
Klicken Sie auf Fertigstellen, um das Backup wiederherzustellen.
Wichtiger Hinweis – Danach ist es nicht mehr möglich, den Konfigurationsassistenten erneut aufzurufen.
Sobald das Backup erfolgreich wiederhergestellt wurde, werden Sie auf die Anmeldeseite weitergeleitet.
30
UTM 9 Administratorhandbuch
2 WebAdmin
WebAdmin ist die Web-basierte grafische Benutzeroberfläche zur vollständigen Administration von Sophos UTM. WebAdmin besteht aus einem Menü und mehreren Seiten, von denen manche wiederum mehrere Registerkarten (engl. tabs) besitzen.Das Menü auf der linken
Seite orientiert sich in logischer Reihenfolge an den Produktmerkmalen von Sophos
UTM.Sobald Sie auf einen Menüpunkt wie z. B. Netzwerk klicken, öffnet sich ein Untermenü und die entsprechende Seite wird angezeigt. Beachten Sie, dass für einige Menüpunkte keine eigene Seite vorhanden ist. In diesem Fall wird weiterhin die zuvor ausgewählte Seite angezeigt. Erst wenn Sie ein Untermenü anklicken, öffnet sich die dazugehörige Seite, und zwar mit der ersten Registerkarte.
Die Anleitungen in diesem Administrationshandbuch leiten Sie zu einer Seite durch die Angabe des Menüs, Untermenüs und der Registerkarte, z. B.: „Auf der Registerkarte Schnittstellen &
Routing > Schnittstellen > Hardware werden ...“
2.1 WebAdmin-Menü
2 WebAdmin
Bild 5 WebAdmin: Übersicht
2.1 WebAdmin-Menü
Das WebAdmin-Menü gibt Ihnen Zugriff auf alle Konfigurationsoptionen von Sophos UTM. Die
Verwendung einer Kommandozeile zur Konfiguration ist daher nicht erforderlich.
l
Dashboard:Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Sophos UTM.
l
Verwaltung: In diesem Menü werden grundlegende Einstellungen für das
Gesamtsystem und den WebAdmin vorgenommen, sowie Konfigurationseinstellungen für die Sophos UTM.
l
Definitionen & Benutzer: Neben Netzwerk-, Dienst- und Zeitereignisdefinitionen sowie Konten für Benutzer und Benutzergruppen werden in diesem Menü externe
Authentifizierungsserver für Sophos UTM konfiguriert.
32
UTM 9 Administratorhandbuch
2 WebAdmin
2.1 WebAdmin-Menü l
Schnittstellen & Routing: Dieses Menü enthält u. a. die Konfiguration von
Netzwerkschnittstellen und Routing-Optionen.
l
Netzwerkdienste: Dieses Menü enthält u. a. die Konfiguration von Netzwerkdiensten wie DNS und DHCP.
l
Network Protection: Konfiguration von grundlegenden Network-Protection-
Funktionen wie Firewall-Regeln, Voice over IP oder Einstellungen für das
Angriffschutzsystem.
l
Web Protection: Konfiguration des Webfilters und von Application Control von Sophos
UTM sowie des FTP-Proxys.
l
Email Protection: Konfiguration der SMTP- und POP3-Proxies von Sophos UTM sowie der E-Mail-Verschlüsselung.
l
Wireless Protection: Konfiguration Ihrer Drahtlosnetzwerke für das Gateway.
l
Webserver Protection: Zum Schutz Ihrer Webserver vor Angriffen wie Cross-Site-
Scripting und SQL-Injection.
l
RED-Verwaltung: Konfiguration Ihrer Remote-Ethernet-Device-(RED-)Appliances.
l
Site-to-Site-VPN: Konfiguration von Site-to-Site-Virtual-Private-Networks.
l
Fernzugriff: Konfiguration von VPN-Fernzugriffsverbindungen mit Sophos UTM.
l
Protokollierung & Berichte: Anzeige von Protokollen und Statistiken zur Nutzung von
Sophos UTM und Konfiguration von Protokoll- und Berichteinstellungen.
l
Support: Hier finden Sie verschiedene Werkzeuge von Sophos UTM.
l
Log Off: Abmelden vom WebAdmin.
Suche im Menü
Über dem Menü befindet sich ein Suchfeld. Damit können Sie das Menü nach Stichwörtern durchsuchen, um so leichter Menüeinträge zu finden, die ein bestimmtes Thema betreffen. Die
Suchfunktion berücksichtigt neben den Namen von Menüeinträgen auch hinterlegte, indizierte
Aliasse und Schlüsselwörter.
Sobald Sie anfangen im Suchfeld zu tippen, wird das Menü automatisch auf relevante
Menüeinträge reduziert. Sie können das Suchfeld jederzeit verlassen und auf den Menüeintrag klicken, der dem Gesuchten entspricht. Das reduzierte Menü bleibt erhalten und zeigt die
Suchergebnisse solange an, bis Sie es über die Schaltfläche direkt daneben zurücksetzen.
UTM 9 Administratorhandbuch
33
2.2 Symbolleiste
2 WebAdmin
Tipp – Sie können den Fokus auf das Suchfeld setzen, indem Sie auf der Tastatur STRG+Y drücken.
2.2 Symbolleiste
Die Symbole in der oberen rechten Ecke des WebAdmin bieten Zugriff auf die folgenden
Funktionen: l
Benutzername/IP: Zeigt den aktuell angemeldeten Benutzer und die IP-Adresse an, von der aus auf den WebAdmin zugegriffen wird. Wenn derzeit noch weitere Benutzer angemeldet sind, werden ihre Daten ebenfalls angezeigt.
l
Live-Protokoll öffnen: Wenn Sie diese Schaltfläche anklicken, wird das Live-Protokoll, das dem aktiven WebAdmin-Menü oder der aktiven Registerkarte zugeordnet ist, geöffnet. Um ein anderes Live-Protokoll aufzurufen, ohne in ein anderes Menü oder auf eine andere Registerkarte zu wechseln, fahren Sie mit dem Mauszeiger über die
Schaltfläche Live-Protokoll. Nach ein paar Sekunden wird eine Liste der verfügbaren
Live-Protokolle geöffnet, aus der Sie das Live-Protokoll, das angezeigt werden soll, auswählen können.Ihre Auswahl wird so lange beibehalten, wie Sie sich im gleichen
Menü bzw. auf der gleichen Registerkarte des WebAdmin befinden.
Tipp – Sie können Live-Protokolle auch über die Schaltflächen Live-Protokoll öffnen
öffnen, die Sie auf vielen WebAdmin-Seiten finden.
l
Onlinehilfe: Jedes Menü, Untermenü und jede Registerkarte verfügt über eine kontextsensitive Onlinehilfe, die Informationen und Anleitungen zu der jeweils geöffneten
Seite von WebAdmin enthält.
Hinweis – Die Onlinehilfe ist versionsbasiert und wird mithilfe von Patterns aktualisiert.
Wenn Sie eine Aktualisierung auf eine neue Firmware-Version durchführen, wird auch
Ihre Onlinehilfe gegebenenfalls aktualisiert.
l
Aktualisieren: Klicken Sie auf die Schaltfläche Aktualisieren, um eine WebAdmin-Seite zu aktualisieren.
Hinweis – Verwenden Sie nie die Aktualisierungsfunktion des Browsers, da Sie in diesem Fall vom WebAdmin abgemeldet werden.
34
UTM 9 Administratorhandbuch
2 WebAdmin
2.3 Listen
2.3 Listen
Viele Seiten im WebAdmin bestehen aus Listen.Mit den Schaltflächen links von jedem
Listeneintrag können Sie einen Listeneintrag bearbeiten, löschen oder klonen (weitere
Informationen finden Sie im Abschnitt Schaltflächen und Symbole).Zum Erstellen eines neuen
Listeneintrags klicken Sie auf die Schaltfläche Neue … (wobei „…“ als Platzhalter für das zu erstellende Listenobjekt steht, z. B. Schnittstelle). Dies öffnet ein Dialogfenster, in welchem Sie die Eigenschaften des Objektes festlegen können.
Bild 6 WebAdmin: Beispiel einer Liste
In jeder Liste können Sie die einzelnen Einträge nach ihrem Typ sortieren. Mit der Filterfunktion können Sie darüber hinaus gezielt nach Einträgen suchen.Geben Sie dazu einen Suchbegriff ein und klicken Sie auf Finden.
Listen mit mehr als zehn Einträgen sind auf mehrere Seiten aufgeteilt. Mit den Schaltflächen
Nächste (>) und Vorherige (<) können Sie zwischen den Seiten hin- und herschalten.Sie
können diese Einstellung jedoch auf der Registerkarte
ändern.
Mit Listenüberschriften können einige Funktionen ausgeführt werden.Wenn Sie eine
Listenüberschrift anklicken, wird die Liste normalerweise nach dem entsprechenden Objektfeld sortiert. Wenn Sie beispielsweise auf das Feld Name klicken, wird die Liste nach den Namen der Objekte sortiert.Das Feld Aktionen in der Überschrift bietet mehrere Batch-Optionen, die
Sie für zuvor ausgewählte Listenobjekte durchführen können. Um Objekte auszuwählen, markieren Sie die zugehörigen Auswahlkästchen. Beachten Sie, dass die Auswahl seitenübergreifend gültig bleibt, d. h., wenn Sie durch die Seiten einer Liste blättern, bleiben bereits ausgewählte Objekte ausgewählt.
Tipp – Durch einen Klick auf das Infosymbol eines Listeneintrags können Sie sehen, in welchen Konfigurationen das Objekt noch verwendet wird.
UTM 9 Administratorhandbuch
35
2.4 Suche in Listen
2 WebAdmin
2.4 Suche in Listen
Über das Filterfeld lässt sich die Anzahl der in einer Liste angezeigten Einträge schnell reduzieren. Dadurch wird es wesentlich einfacher, die Objekte zu finden, die Sie suchen.
Wissenswertes
l
Während einer Suche werden normalerweise mehrere Felder nach dem Suchausdruck durchsucht.Eine Suche in Benutzer & Gruppen berücksichtigt beispielsweise
Benutzernamen, Realnamen, Kommentare und die erste E-Mail-Adresse. Allgemein gesagt berücksichtigt die Suche alle Texte, die Sie in der Liste sehen können, ausgenommen jene Details, die nach einem Klick auf das Infosymbol angezeigt werden.
l
Die Listensuche ignoriert Groß-/Kleinschreibung. Das bedeutet, dass es keinen
Unterschied macht, ob Sie Groß- oder Kleinbuchstaben eingeben. Das Suchergebnis wird Übereinstimmungen sowohl mit Groß- als auch mit Kleinbuchstaben anzeigen. Sie können nicht explizit nach Groß- oder Kleinbuchstaben suchen.
l
Die Listensuche basiert auf Perl-kompatiblen regulären Ausdrücken (abgesehen von der Groß-/Kleinschreibung). Typische, aus Texteditoren bekannte Suchausdrücke wie * und ? (als einfache Platzhalter) sowie die Operanden AND und OR funktionieren nicht in der Listensuche.
Beispiele
Die folgende Liste stellt eine kleine Auswahl nützlicher Suchausdrücke dar:
Einfacher Ausdruck: Liefert alle Wörter zurück, die den angegebenen Ausdruck enthalten.
Beispielsweise liefert „inter“ die Ergebnisse „Internet“, „interface“ und „printer“ zurück.
Wortanfang: Stellen Sie dem Suchausdruck die Zeichenfolge \b voran.Beispielsweise liefert
\binter die Ergebnisse „Internet“ und „Interface“, nicht jedoch „Printer“ zurück.
Wortende: Hängen Sie hinten an den Suchausdruck die Zeichenfolge \b an.Beispielsweise
liefert http\b das Ergebnis „http“, nicht jedoch „https“ zurück.
Beginn eines Eintrags: Stellen Sie dem Suchausdruck das Zeichen ^ voran.Beispielsweise
liefert ^inter das Ergebnis „Internet Uplink“, nicht jedoch „Uplink Interfaces“ zurück.
36
UTM 9 Administratorhandbuch
2 WebAdmin
2.5 Dialogfenster
IP-Adressen: Wenn Sie nach IP-Adressen suchen, müssen Sie die Trennpunkte mit einem
Backslash (umgekehrter Schrägstrich) maskieren.Um nach „192.168“ zu suchen, müssen Sie beispielsweise 192\.168 eingeben.
Für eine allgemeinere Suche nach IP-Adressen verwenden Sie \d als Platzhalter für eine unbestimmte Ziffer.\d+ liefert mehrere Zahlen zurück, die in einer Reihe stehen.So lässt sich zum Beispiel \d+\.\d+\.\d+\.\d+ für jede beliebige IPv4-Adresse verwenden.
Hinweis – Es ist sinnvoller, einen einfacheren, sicheren Suchausdruck zu verwenden, der zu mehr Ergebnissen führt, als sich den Kopf über den perfekten Suchausdruck zu zerbrechen, welcher dann eher zu unerwarteten Ergebnissen oder falschen Schlussfolgerungen führt.
Eine ausführlichere Beschreibung regulärer Ausrücke und deren Verwendung in Sophos UTM finden Sie in der SophosKnowledgebase .
2.5 Dialogfenster
Dialogfenster sind spezielle Eingabemasken in WebAdmin, bei denen Sie aufgefordert sind, bestimmte Informationen einzugeben. Das Beispiel zeigt ein Dialogfenster für das Anlegen einer statischen Route im Menü Schnittstellen & Routing > Statisches Routing.
Bild 7 WebAdmin: Beispiel eines Dialogfensters
Jedes Dialogfenster kann aus verschiedenen Kontrollelementen (engl. widgets) wie zum
Beispiel Textfeldern oder Auswahlkästchen (engl. checkboxes) bestehen. Viele Dialogfenster bieten darüber hinaus eine Drag&Drop-Funktionalität, was durch einen speziellen Hintergrund mit dem Schriftzug DND gekennzeichnet ist. Immer dann, wenn Sie ein solches Feld vorfinden, können Sie ein Objekt durch Ziehen und Fallenlassen mit der Maus (drag and drop) in dieses
Feld ziehen. Um die Objektleiste zu öffnen, von der aus Sie das Objekt in das Feld ziehen können, klicken Sie auf das gelbe Ordnersymbol oben rechts am Eingabefeld. Abhängig von
UTM 9 Administratorhandbuch
37
2.6 Schaltflächen und Symbole
2 WebAdmin
der jeweiligen Konfigurationsoption öffnet sich die Leiste mit den verfügbaren Netzwerk-,
Dienst- oder Zeitereignisdefinitionen. Ein Klick auf das grüne Plussymbol öffnet ein zweites
Dialogfenster, in welchem Sie eine neue Definition anlegen können. Einige Kontrollelemente, die für eine bestimmte Konfiguration nicht benötigt werden, sind ausgegraut. In manchen
Fällen können diese durchaus editiert werden, haben dann allerdings keinen Effekt.
Hinweis – Im WebAdmin gibt es u.a. die Schaltflächen Speichern und Übernehmen. Die
Schaltfläche Speichern wird immer dann angezeigt, wenn Sie ein Objekt im WebAdmin neu anlegen, zum Beispiel, wenn Sie eine neue statische Route anlegen oder eine Netzwerk-
Definition bearbeiten. Sie wird immer zusammen mit einer Schaltfläche Abbrechen angezeigt. Die Schaltfläche Übernehmen hingegen dient dazu, Ihre Einstellungen in das
Backend zu übertragen und dadurch sofort wirksam werden zu lassen.
2.6 Schaltflächen und Symbole
Der WebAdmin verfügt über einige Schaltflächen und Symbole mit hinterlegter Funktion, deren
Nutzung hier beschrieben wird.
Schaltflächen Bedeutung
Zeigt ein Dialogfenster mit detaillierten Informationen zum Objekt an.
Öffnet ein Dialogfenster, in dem die Eigenschaften des Objekts bearbeitet werden können.
Löscht das Objekt. Es wird eine Warnung ausgegeben, wenn ein
Objekt noch irgendwo anders benutzt wird. Nicht alle Objekte können gelöscht werden, wenn sie in Benutzung sind.
Öffnet ein Dialogfenster, um ein Objekt mit identischen
Einstellungen/Eigenschaften anzulegen. Klonen dient dazu,
ähnliche Objekte anzulegen ohne alle identischen Einstellungen erneut eingeben zu müssen.
Symbole mit
Funktion
Bedeutung
Info: Zeigt alle Konfigurationen an, in denen das Objekt verwendet wird.
38
UTM 9 Administratorhandbuch
2 WebAdmin
2.6 Schaltflächen und Symbole
Symbole mit
Funktion
Bedeutung
Details: Verlinkt auf eine andere WebAdmin-Seite mit weiteren Informationen zu diesem Thema.
Status: Aktiviert oder deaktiviert eine Funktion. Sie zeigt Grün, wenn die
Funktion aktiv ist, Rot, wenn die Funktion deaktiviert ist, und Gelb, wenn eine
Konfigurierung nötig ist, bevor die Funktion aktiviert werden kann.
Ordner: Dieses Symbol hat zwei Funktionen: (1) Öffnet eine Objektleiste
(siehe Abschnitt unten) auf der linken Seite, aus der Sie passende Objekte auswählen können. (2) Öffnet ein Dialogfenster, um eine Datei hochzuladen.
Plus: Öffnet ein Dialogfenster, um ein neues Objekt des erforderlichen Typs hinzuzufügen.
Aktionen: Öffnet eine Auswahlliste mit Aktionen.Die Aktionen hängen davon ab, wo sich das Symbol befindet: (1) Symbol in Listenüberschrift: Die Aktionen, z. B. Aktivieren, Deaktivieren oder Löschen gelten für die ausgewählten
Listenobjekte.(2) Symbol in Textfeld: Mit den Aktionen Import und Export können Sie Text importieren oder exportieren und mit Leeren den gesamten
Inhalt löschen. Außerdem existiert ein Filterfeld, mit dem Sie eine Liste auf die relevanten Elemente reduzieren können. Beachten Sie, dass der Filter zwischen Groß- und Kleinschreibung unterscheidet.
Leeren: Entfernt ein Objekt aus der aktuellen Konfiguration, wenn es sich vor dem Objekt befindet.
Entfernt alle Objekte aus einem Feld, wenn es sich im Menü Aktionen befindet.
Objekte werden jedoch niemals gelöscht.
Import: Öffnet ein Dialogfenster, um Text mit mehr als einem Eintrag bzw.
mehr als einer Zeile zu importieren. Diese Funktion erleichtert das Hinzufügen von mehreren Einträgen auf einmal ohne diese einzeln eingeben zu müssen, z.
B. einer langen Negativliste (Blacklist) zur URL-Negativliste.Kopieren Sie den
Text dazu aus einer beliebigen Ausgangsdatei und fügen Sie ihn mittels
Strg+V ein.
UTM 9 Administratorhandbuch
39
2.7 Objektleisten
2 WebAdmin
Symbole mit
Funktion
Bedeutung
Export: Öffnet ein Dialogfenster, um alle vorhandenen Einträge zu exportieren. Sie können als Trennzeichen entweder Zeilenumbruch,
Doppelpunkt oder Komma wählen, um Einträge voneinander zu trennen.Um
Einträge als Text zu exportieren, markieren Sie den ganzen Text im Feld
Exportierter Text und drücken Sie Strg+C, um ihn zu kopieren.Sie können ihn dann mittels Strg+V in allen üblichen Anwendungen, z. B. einem Texteditor, einfügen.
Sortieren: Mithilfe dieser beiden Pfeile können Sie Listenelemente sortieren, indem Sie ein Element in der Liste nach oben oder unten verschieben.
Vorwärts/Rückwärts: Mithilfe dieser beiden Pfeile können Sie je nach Ihrer
Position durch die Seiten einer langen Liste navigieren oder entlang eines
Änderungs- und Einstellungsverlaufs vor- und zurücknavigieren.
PDF: Speichert die aktuelle Ansicht der Daten in einer PDF-Datei und öffnet anschließend ein Dialogfenster, um die erzeugte Datei herunterzuladen.
CSV: Speichert die aktuelle Ansicht der Daten in einer CSV-Datei (durch
Komma getrennte Werte) und öffnet anschließend ein Dialogfenster, um die erzeugte Datei herunterzuladen.
2.7 Objektleisten
Eine Objektleiste ist eine Liste von Objekten die gelegentlich auf der linken Seite des WebAdmin eingeblendet wird und dabei vorübergehend das Hauptmenü verdeckt.
40
UTM 9 Administratorhandbuch
2 WebAdmin
2.7 Objektleisten
Bild 8 WebAdmin: Ziehen eines Objekts aus der Objektleiste Networks
Eine Objektleiste wird automatisch geöffnet, wenn Sie auf das Ordnersymbol klicken (siehe
Abschnitt oben). Sie kann auch manuell über ein Tastaturkürzel geöffnet werden (siehe
Verwaltung > WebAdmin-Einstellungen >
).
Die Objektleiste ermöglicht einen schnellen Zugriff auf WebAdmin-Objekte wie
Benutzer/Gruppen, Schnittstellen, Netzwerke und Dienste, um sie für Konfigurationszwecke auswählen zu können. Objekte werden ausgewählt, indem sie einfach zur aktuellen
Konfiguration gezogen und dort über dem entsprechenden Feld fallen gelassen werden (Drag and Drop).
Es gibt fünf verschiedene Arten von Objektleisten, entsprechend den Objekttypen, die es gibt.
Bei einem Klick auf das Ordnersymbol wird immer die Objektleiste geöffnet, deren Typ von der aktuellen Konfiguration benötigt wird.
UTM 9 Administratorhandbuch
41
3 Dashboard
Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Sophos UTM.
Das Dashboard erscheint standardmäßig nach der Anmeldung am WebAdmin und stellt die folgenden Informationen zur Verfügung:
Tipp – Wenn Sie auf das Symbol Dashboard-Einstellungen oben rechts klicken, wird ein
Dialogfenster geöffnet, in dem Sie unter anderem auswählen können, welche
Themenabschnitte angezeigt werden sollen.
l
Allgemeine Informationen: Hostname, Modell, Lizenz-ID und die Zeitspanne, für die das Gerät in Betrieb ist.
l
Versionsinformationen: Informationen zu den aktuell installierten Firmware- und
Patternversionen sowie verfügbaren Updates.
l
Ressourcennutzung: Aktuelle Systemauslastung, insbesondere der folgenden
Komponenten: l
Die CPU-Auslastung in Prozent l
Die RAM-Auslastung in Prozent l
Der von der Swap-Partition benutzte Festplattenplatz in Prozent l
Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz in
Prozent l
Der von der Daten-Partition belegte Festplattenplatz in Prozent l
Der Status des USV-Gerätes (unterbrechungsfreie Stromversorgung) (falls vorhanden) l
Heutiger Bedrohungsstatus: Ein Zähler für die wichtigsten registrierten
Bedrohungen seit Mitternacht: l
Die Summe der Datenpakete, die vom Paketfilter verworfen (engl. drop) oder abgelehnt (engl. reject) wurden und für die Protokollierung aktiviert ist l
Die Summe der blockierten Angriffe und Eindringungsversuche (engl. intrusion) in das Netzwerk l
Die Summe der blockierten Viren (alle Proxies) l
Die Summe der blockierten Spam-Nachrichten (SMTP/POP3)
44
3 Dashboard
l
Die Summe der blockierten Spyware-Kommunikation (alle Proxies) l
Die Summe der blockierten URLs (HTTP/S) l
Die Summe der blockierten Webserver-Angriffe (WAF) l
Schnittstellen: Name und Status von konfigurierten Netzwerkkarten.Darüber hinaus wird für jede Schnittstelle die durchschnittliche Datenübertragungsrate der letzten 75
Sekunden für ein- und ausgehenden Datenverkehr angezeigt. Die Werte resultieren aus
Durchschnittswerten, die in Intervallen von 15 Sekunden gewonnen werden.Ein Klick auf die Verbindungssymbole einer Schnittstelle öffnet den Flow-Monitor in einem neuen
Fenster. Der Flow-Monitor zeigt den Datenverkehr der letzten zehn Minuten an und aktualisiert sich selbst in kurzen Abständen.Weitere Informationen zum Flow-Monitor finden Sie im Kapitel
.
l
Aktuelle Systemkonfiguration: Anzeige der wichtigsten Sicherheitsfunktionen und deren Aktivitätsstatus: l
Firewall: Informationen zu allen aktiven Firewallregeln.
l
Angriffschutz:Das Angriffschutzsystem (IPS, engl. Intrusion Prevention) erkennt Angriffsversuche anhand eines signaturbasierten IPS-Regelwerks.
l
Webfilter: Ein Gateway auf Anwendungsebene für das HTTP/S-Protokoll, das eine große Auswahl an Filtermechanismen für die Netzwerke bietet, die seine
Dienste verwenden dürfen.
l
Netzwerksichtbarkeit: Die Layer-7-Application-Control von Sopho ermöglicht die Kategorisierung und Kontrolle von Netzwerkverkehr.
l
FTP-Proxy: Ein Gateway auf Anwendungsebene für Dateitransfers über das File
Transfer Protocol (FTP).
l
SMTP-Proxy: Ein Gateway auf Anwendungsebene für Nachrichten, die über das
Simple Mail Transfer Protocol (SMTP) gesendet werden.
l
POP3-Proxy: Ein Gateway auf Anwendungsebene für Nachrichten, die über das
Post Office Protocol 3 (POP3) gesendet werden.
l
Web Application Firewall: Ein Gateway auf Anwendungsebene zum Schutz
Ihrer Webserver vor Angriffen wie Cross-Site-Scripting und SQL-Injections.
l
Antivirus: Schutz Ihres Netzwerks vor Internetverkehr, der schädlichen Inhalt wie Viren, Würmer und andere Malware verbreitet.
l
Antispam: Erkennung von unerwünschten E-Mails und Spam-Übermittlung von bekannten oder verdächtigen Spam-Versendern.
UTM 9 Administratorhandbuch
3 Dashboard
3.1 Dashboard-Einstellungen l
Antispyware: Schutz vor Spyware-Infektionen durch zwei voneinander unabhängig operierende Virenscanner, deren Virensignaturen- und Spyware-
Filtermechanismen regelmäßig aktualisiert werden und eingehenden sowie ausgehenden Datenverkehr schützen.
l
E-Mail-Verschlüsselung: Verschlüsselung, Entschlüsselung und digitale
Signaturen von E-Mails mit Hilfe des S/MIME- und OpenPGP-Standards.
l
Site2Site-VPN: Konfiguration von Site-to-Site-VPN-Verbindungen.
l
Fernzugriff: Konfiguration von VPN-Szenarien für Road Warriors.
l
HA/Cluster: Ausfallsicherheit und Cluster-Technologie, d. h. die gleichmäßige
Verteilung von rechenintensiven Aufgaben wie z. B. dem Filtern von Inhalten,
Virenscans, Angriffschutz oder Entschlüsselung auf mehrere Computer.
l
Wireless Protection: Konfiguration von WLAN-Netzwerken und Access Points.
3.1 Dashboard-Einstellungen
Sie können diverse Dashboard-Einstellungen vornehmen.Klicken Sie oben rechts im
Dashboard auf das Symbol Dashboard-Einstellungen, um das Dialogfenster Dashboard-
Einstellungen bearbeiten zu öffnen.
Dashboard aktualisieren: Standardmäßig wird das Dashboard alle fünf Sekunden aktualisiert.Das Zeitintervall für die Aktualisierung kann von Nie bis zu Jede Minute eingestellt werden.
Linke Spalte – Rechte Spalte: Das Dashboard ist in verschiedene Themenabschnitte untergliedert, in denen Sie Informationen zum jeweiligen Thema finden.Mit den beiden Feldern
Linke Spalte und Rechte Spalte können Sie die Themenabschnitte neu anordnen,
Themenabschnitte hinzufügen oder aus dem Anzeigebereich entfernen. Diese Einstellungen werden auf das Dashboard angewendet. Verwenden Sie die grünen Symbole, um die
Themenabschnitte einer Spalte zu sortieren. Um einen bestimmten Themenabschnitt zum
Anzeigebereich hinzuzufügen oder daraus zu entfernen, aktivieren bzw. deaktivieren Sie das zugehörige Auswahlkästchen.
Die standardmäßig angezeigten Themenabschnitte werden im Kapitel Dashboard beschrieben. Es gibt einige weitere Themenabschnitte, die angezeigt werden können. Sie sind im Folgenden beschrieben:
UTM 9 Administratorhandbuch
45
3.2 Flow-Monitor
3 Dashboard
l
Web Protection: Top-Apps: Überblick über die am häufigsten verwendeten
Anwendungen.
l
Web Protection: Top-Sites nach Tageszeit: Überblick über die am häufigsten besuchten Domänen im Zeitverlauf.
l
Web Protection: Top-Sites nach Datenverkehr: Überblick über die am häufigsten besuchten Domänen nach Datenverkehr.
l
Protokollierung: Status der Protokollpartition von Sophos UTM, einschließlich
Informationen zum freien Festplattenspeicherplatz und zur Zuwachsrate.
l
Newsfeed: Neuigkeiten zu Sophos und seinen Produkten.
l
Diagramm: Gleichzeitige Verbindungen: Tägliche Statistiken und Histogramm der
Gesamtzahl an gleichzeitigen Verbindungen.
l
Diagramm: Protokoll-Partition-Status: Statistik und Histogramm der
Protokollpartitionsauslastung für vier Wochen.
l
Diagramm: CPU-Auslastung: Tägliche Statistiken und Histogramm der aktuellen
Prozessorauslastung in Prozent.
l
Diagramm: Speicher-/Swap-Belegung: Tägliche Statistiken und Histogramm der
Speicher- und Swap-Auslastung in Prozent.
l
Diagramm: Partitionsbelegung: Tägliche Statistiken und Histogramm der Auslastung ausgewählter Speicherpartitionen in Prozent.
Automatische Gruppierung auf Dashboard aktivieren: Wählen Sie diese Option, um
Informationen im Dashboard kompakt anzuzeigen.Diese Option betrifft nur die ausgewählten
Web-Protection-Elemente in der linken Spalte und die ausgewählten Diagramm-Elemente in der rechten Spalte. Wenn diese Option ausgewählt ist, werden die jeweiligen
Informationselemente als überlappende Registerkarten im Dashboard angezeigt. Ist sie nicht ausgewählt, werden die Informationselemente nebeneinander angezeigt.
Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
3.2 Flow-Monitor
Der Flow-Monitor von Sophos UTM ist eine Anwendung, die schnellen Zugriff auf
Informationen zum aktuellen Datenverkehr bietet, der die Schnittstellen der UTM passiert. Der
Zugriff erfolgt ganz einfach über das Dashboard durch einen Klick auf eine der Schnittstellen oben rechts.Wenn Sie auf All Interfaces klicken, zeigt der Flow-Monitor den gesamten
46
UTM 9 Administratorhandbuch
3 Dashboard
3.2 Flow-Monitor
Datenverkehr auf allen aktiven Schnittstellen an. Wenn Sie auf eine einzelne Schnittstelle klicken, zeigt der Flow-Monitor nur den Datenverkehr dieser Schnittstelle an.
Hinweis – Der Flow-Monitor wird in einem neuen Browser-Fenster geöffnet. Da das
Fenster möglicherweise von Popup-Blockern blockiert wird, ist es ratsam, Popup-Blocker für den WebAdmin zu deaktivieren.
Der Flow-Monitor bietet mit einem Diagramm und einer Tabelle zwei Ansichten, die in den nächsten Abschnitten beschrieben werden. Die Anwendung wird alle fünf Sekunden aktualisiert.Sie können auf die Schaltfläche Pause klicken, um die Aktualisierung zu unterbrechen.Wenn Sie auf Continue klicken, um die Aktualisierung wieder aufzunehmen, aktualisiert der Flow-Monitor die Daten, sodass der aktuelle Datenverkehr angezeigt wird.
Diagrammansicht
Das Flow-Monitor-Diagramm zeigt den Netzwerkverkehr der letzten zehn Minuten an. Die horizontale Achse zeigt die Zeit und die vertikale Achse den Umfang des Datenverkehrs an, wobei die Skala dynamisch an den Durchsatz angepasst wird.
In der Diagrammansicht unten wird eine Legende angezeigt, die Informationen zur Art des
Datenverkehrs auf einer Schnittstelle bietet. Jeder Art von Datenverkehr ist eine andere Farbe zugewiesen, sodass eine Unterscheidung des im Diagramm angezeigten Datenverkehrs problemlos möglich ist.
Hinweis – Der Flow-Monitor zeigt wesentlich genauere Informationen zum Datenverkehr an, wenn Netzwerksichtbarkeit aktiviert ist (siehe Kapitel Web Protection > Application Control
>
Wenn Sie mit dem Mauszeiger über das Diagramm fahren, erscheint ein Punkt, der Ihnen detaillierte Informationen zu diesem Teil des Diagramms liefert. Der Punkt haftet an der Linie des Diagramms. Er folgt den Bewegungen des Mauszeigers. Wenn ein Diagramm mehrere
Linien hat, wechselt der Punkt zwischen ihnen, je nachdem, wohin Sie den Mauszeiger bewegen. Darüber hinaus ändert der Punkt seine Farbe in Abhängigkeit davon, auf welche
Linie sich seine Informationen beziehen. Das ist besonders nützlich, wenn Linien eng nebeneinander liegen. Der Punkt bietet Informationen zu Art und Größe des Datenverkehrs zum jeweiligen Zeitpunkt.
UTM 9 Administratorhandbuch
47
3.2 Flow-Monitor
3 Dashboard
Tabellarische Ansicht
Die Flow-Monitor-Tabelle bietet Informationen zum Netzwerkverkehr der letzten fünf
Sekunden:
#: Der Datenverkehr wird nach der aktuellen Bandbreitennutzung angeordnet.
Anwendung: Protokoll oder Name des Netzwerkverkehrs, falls verfügbar. Nicht klassifizierter
Datenverkehr (unclassified) ist eine dem System unbekannte Art des Datenverkehrs. Nach einem Klick auf eine Anwendung wird ein Fenster geöffnet, das Informationen über den
Server, den verwendeten Port, die benötigte Bandbreite pro Serververbindung und den gesamten Datenverkehr anzeigt.
Clients: Anzahl der Clientsverbindungen, die die Anwendung nutzen. Nach einen Klick auf einen Client wird ein Fenster geöffnet, das Informationen über die IP-Adresse des Clients, die benötigte Bandbreite pro Clientverbindung, und das Gesamtverkehrsaufkommen anzeigt.
Beachten Sie, dass bei nicht klassifiziertem Verkehr die Anzahl der Clients in der Tabelle höher sein kann als im zusätzlichen Informationsfenster. Das liegt daran, dass die Bezeichnung
„unclassified“ mehr als eine Anwendung einschließt. Daher ist es möglich, dass im
Informationsfenster nur ein Client, in der Tabelle jedoch drei Clients aufgeführt werden. Bei letzteren handelt es sich eigentlich um die Verbindungen des einen Clients mit drei verschiedenen, nicht klassifizierten Anwendungen.
Aktuelle Bandbreitennutzung: Die Bandbreitennutzung der letzten fünf Sekunden. Nach einem Klick auf eine Bandbreite wird ein Fenster geöffnet, das Informationen zur Downloadund Upload-Rate der Anwendungsverbindung anzeigt.
Gesamter Datenverkehr: Der gesamte Datenverkehr einer Verbindung, solange diese besteht. Beispiel 1: Ein Download wurde vor einiger Zeit gestartet und ist noch nicht beendet:
Der gesamte Datenverkehr seit dem Beginn des Downloads wird angezeigt. Beispiel 2:
Mehrere Clients nutzen Facebook: Solange ein Client die Verbindung offen hält, wird der gesamte bisher von allen Clients verursachte Datenverkehr angezeigt.
Nach einem Klick auf den gesamten Datenverkehr wird ein Fenster geöffnet, das
Informationen zur Download- und Upload-Rate der Anwendungsverbindung anzeigt.
Aktionen: Je nach Typ der Anwendung können verschiedene Aktionen durchgeführt werden
(außer für nicht klassifizierten Verkehr).
l
Blockierung: Klicken Sie auf das rote Blockierungssymbol, um die entsprechende
Anwendung ab diesem Zeitpunkt zu blockieren.Auf der Seite
48
UTM 9 Administratorhandbuch
3 Dashboard
3.2 Flow-Monitor
wird dann eine Regel erstellt.Diese Option ist nicht für Anwendungen verfügbar, die für einen reibungslosen Betrieb von Sophos UTM relevant sind. So kann beispielsweise WebAdmin-Datenverkehr nicht blockiert werden, da dies dazu führen könnte, dass Sie nicht mehr auf den WebAdmin zugreifen können. Auch nicht klassifizierter Datenverkehr kann nicht blockiert werden.
l
Traffic-Shaping: Klicken Sie auf das orange-graue Symbol für das Traffic-Shaping der jeweiligen Anwendung. Ein Dialogfenster wird geöffnet, in dem Sie die
Regeleinstellungen vornehmen können.Klicken Sie auf Save, wenn Sie fertig sind.Auf
der Seite
wird dann eine Regel erstellt.
Traffic-Shaping ist nicht verfügbar, wenn Sie eine Flow-Monitor-Ansicht mit allen
Schnittstellen ausgewählt haben, da Traffic-Shaping schnittstellenbasiert funktioniert.
UTM 9 Administratorhandbuch
49
4 Verwaltung
In diesem Kapitel wird beschrieben, wie grundlegende Systemeinstellungen sowie
Einstellungen für die Web-basierte, administrative Benutzeroberfläche von Sophos UTM,
WebAdmin, vorgenommen werden.Die Seite Verwaltungsübersicht zeigt eine Statistik der letzten Anmeldeversuche an WebAdmin sowie mögliche Änderungen.Klicken Sie auf die
Schaltfläche Anzeigen in der Spalte Änderungsprotokoll, um die Änderungen im Detail zu sehen.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
l
l
l
l
l
l
4.1 Systemeinstellungen
Über die Registerkarten im Menü Systemeinstellungen können grundlegende Einstellungen
Ihres Gateways, u. a. Hostname, Datum und Uhrzeit, vorgenommen werden.
4.1 Systemeinstellungen
4 Verwaltung
4.1.1 Organisatorisches
Geben Sie den Namen, den Ort Ihrer Organisation und eine E-Mail-Adresse ein, über die eine
Person oder Gruppe erreicht werden kann, die die technische Verantwortung für Ihre Sophos
UTM trägt.Diese Informationen werden auch in Zertifikaten für IPsec, E-Mail-Verschlüsselung und den WebAdmin verwendet.
4.1.2 Hostname
Geben Sie den Hostnamen Ihres Gateways als Fully Qualified Domain Name (FQDN) in dieses
Feld ein, z. B. utm.beispiel.de. Ein Hostname darf aus alphanumerischen Zeichen, Punkten und Bindestrichen bestehen.Am Ende des Hostnamens muss ein spezieller Bezeichner wie z.
B. com, org oder de stehen.Der Hostname wird u. a. in Benachrichtigungs-E-Mails verwendet, um das Gateway zu identifizieren.Der Hostname erscheint auch in Statusmeldungen des
Webfilters.Beachten Sie, dass der Hostname nicht in der DNS-Zone für Ihre Domäne registriert werden muss.
4.1.3 Zeit und Datum
Auf Ihrem Gateway sollten Datum und Uhrzeit immer richtig eingestellt sein.Dies ist eine
Voraussetzung dafür, dass die Informationen in den Protokoll- und Berichtssystemen korrekt sind und dass die Zusammenarbeit mit anderen Computern im Internet problemlos abläuft.
Üblicherweise brauchen Sie Zeit und Datum nicht manuell einzustellen.Denn standardmäßig ist die automatische Synchronisierung mit öffentlichen Internetzeitservern aktiviert (siehe
Abschnitt Zeitsynchronisierung mit Internetserver unten).
In dem unwahrscheinlichen Fall, dass Sie die Synchronisierung mit Zeitservern deaktivieren müssen, können Sie Zeit und Datum manuell ändern. Wenn Sie das tun, beachten Sie aber die folgenden wichtigen Hinweise: l
Ändern Sie niemals die Zeit von Winterzeit auf Sommerzeit oder andersherum.Diese
Änderung wird immer automatisch durch die eingestellte Zeitzone durchgeführt, auch wenn die automatische Synchronisierung mit Zeitservern deaktiviert ist.
l
Ändern Sie nie Datum oder Zeit, während die Synchronisierung mit Zeitservern noch aktiviert ist, da die automatische Synchronisierung Ihre Änderungen immer sofort wieder rückgängig machen wird.Falls Sie Datum oder Zeit manuell einstellen müssen, denken
52
UTM 9 Administratorhandbuch
4 Verwaltung
4.1 Systemeinstellungen
Sie daran, zuerst alle Server aus dem Feld NTP-Server im Abschnitt
Zeitsynchronisierung mit Internetserver zu entfernen und dann auf Übernehmen zu klicken.
l
Nachdem Sie die Zeit manuell geändert haben, warten Sie, bis Sie eine grüne
Bestätigungsmeldung sehen, die besagt, dass die Änderung erfolgreich war.Starten Sie danach das System neu (Verwaltung > Ausschalten/Neustart). Das ist sehr empfehlenswert, da viele Dienste darauf vertrauen, dass sich die Zeit fortlaufend ändert, nicht plötzlich. Zeitsprünge können daher zu Fehlfunktionen bei einigen Diensten führen.
Dieser Hinweis gilt für alle Arten von Computersystemen.
l
In seltenen Fällen kann eine Änderung der Systemzeit sogar Ihre WebAdmin-Sitzung beenden. Falls das passiert, melden Sie sich erneut an, überprüfen Sie, ob die Zeit nun richtig eingestellt ist und starten Sie das System danach neu.
Falls Sie mehrere miteinander verbundene Gateways betreiben, die über verschiedene
Zeitzonen reichen, wählen Sie eine gemeinsame Zeitzone, z. B. UTC (koordinierte Weltzeit).
Damit lassen sich Protokolleinträge sehr viel einfacher vergleichen.
Wenn Sie die Systemzeit manuell ändern, beachten Sie, dass Ihnen einige Nebeneffekte begegnen werden, auch wenn Sie das System ordentlich neu gestartet haben.
l
Uhrzeit vorstellen
l
In zeitbasierten Berichten fehlen Daten für die entsprechende Zeitspanne. Die meisten Diagramme stellen diesen Zeitraum als gerade Linie in Höhe des alten
Wertes dar.
l
Für den Netzwerkverkehr (engl. Accounting) betragen alle Werte in dieser
Zeitspanne 0.
l
Uhrzeit zurückstellen
l
In den zeitbasierten Berichten gibt es für den entsprechenden Zeitraum bereits
Protokolldaten (die aus Sicht des Systems aber aus der Zukunft stammen).
l
Die meisten Diagramme stellen die Werte dieser Zeitspanne komprimiert dar.
l
Die im Dashboard angezeigte verstrichene Zeit seit der letzten Pattern-Prüfung zeigt den Wert „nie“, obwohl die letzte Prüfung erst wenige Minuten zurückliegt.
l
Automatisch erzeugte Zertifikate auf der UTM können ungültig werden, da der
Beginn ihrer Gültigkeit aus Sicht des Systems in der Zukunft liegt.
l
Berichtsdaten über den Netzwerkverkehr behalten die bereits erfassten Daten, obwohl sie in der Zukunft liegen. Sobald der Zeitpunkt der Zurücksetzung erreicht ist, werden die Netzwerkverkehr-Dateien weitergeschrieben.
UTM 9 Administratorhandbuch
53
4.1 Systemeinstellungen
4 Verwaltung
Aufgrund dieser Nachteile sollten Sie die Systemzeit bei der Erstkonfiguration einmalig setzen und später nur geringfügig anpassen.Dies gilt insbesondere dann, wenn die gesammelten
Netzwerkverkehrs- und Berichtsdaten weiterverarbeitet werden und die Genauigkeit der
Daten wichtig ist.
Ze it und Da tum e inste lle n
Zur manuellen Konfiguration der Systemzeit wählen Sie Datum und Zeit aus den entsprechenden Auswahllisten aus.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Ze itzone e inste lle n
Um die Zeitzone des Systems zu ändern, wählen Sie ein Gebiet oder eine Zeitzone aus der
Auswahlliste aus.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Synchr onisa tion de r Syste mze it mit NTP
Das Ändern der Zeitzone ändert nicht die Systemzeit, sondern nur wie die Zeit ausgegeben wird, beispielsweise in Protokoll- und Berichtsdaten. Dadurch bringt es Dienste nicht durcheinander und erfordert keinen anschließenden Systemneustart. Dennoch hat es
Auswirkungen auf Protokoll- und Berichtsdaten in ähnlicher Weise wie eine Änderung der Zeit.
Zur Synchronisierung der Systemzeit mit Hilfe eines Zeitservers wählen Sie einen oder mehrere NTP-Server aus.Klicken Sie auf Übernehmen, nachdem Sie die Konfiguration abgeschlossen haben.
NTP-Server: Der NTP Server Pool ist voreingestellt.Diese Netzwerkdefinition bezieht sich auf den großen virtuellen Zusammenschluss von öffentlichen Zeitservern des pool.ntp.org-
Projekts.Falls Ihr Internetanbieter selbst NTP-Server für Kunden betreibt und Sie Zugang zu diesen Servern haben, ist es empfehlenswert, den NTP Server Pool zu entfernen und stattdessen die Server Ihres Anbieters zu verwenden. Wenn Sie Ihre eigenen oder die Server
Ihres Anbieters verwenden, erhöht die Verwendung von mehr als einem Server die Präzision und Zuverlässigkeit. Die Verwendung von drei unabhängigen Servern ist eigentlich immer ausreichend. Die Verwendung von mehr als drei Servern bringt meistens keine weitere
Verbesserung, erhöht hingegen die Serverlast.Es ist nicht empfehlenswert, sowohl den NTP
Server Pool als auch Ihre eigenen Server oder die Server Ihres Anbieters zu verwenden, da dies im Normalfall weder die Präzision noch die Zuverlässigkeit erhöht.
Konfigurierte Server testen: Klicken Sie auf diese Schaltfläche, um zu testen, ob mit den gewählten NTP-Servern eine Verbindung von Ihrem Gerät aus aufgebaut werden kann und ob verwendbare Zeitdaten vom Server empfangen werden. Dabei wird die Zeitverschiebung
54
UTM 9 Administratorhandbuch
4 Verwaltung
4.1 Systemeinstellungen zwischen Ihrem System und den Servern ermittelt. Verschiebungen sollten normalerweise weit unter einer Sekunde liegen, wenn Ihr System korrekt konfiguriert ist und seit geraumer Zeit stabil funktioniert.
Direkt nachdem Sie NTP aktiviert oder andere Server hinzugefügt haben, ist es normal, wenn größere Verschiebungen auftreten. Um große Zeitsprünge zu vermeiden, verändert NTP die
Systemzeit langsam Stück für Stück, sodass die Zeit ohne Sprünge korrigiert wird. Haben Sie in diesem Fall bitte Geduld.Starten Sie insbesondere in diesem Fall das System nicht neu.
Schauen Sie lieber in einer Stunde noch einmal nach. Wenn sich die Verschiebung verringert, läuft alles so ab, wie es soll.
4.1.4 Shell-Zugriff
Secure Shell (SSH) ist ein Netzwerkprotokoll, mit dessen Hilfe man sich über eine verschlüsselte Netzwerkverbindung auf dem Gateway anmelden kann. Es wird typischerweise für Wartungsarbeiten und zur Fehlersuche verwendet.Für den Zugriff benötigen Sie einen
SSH-Client, der in den meisten Linux-Distributionen enthalten ist.
Zuge la sse ne Ne tzwe r ke
Verwenden Sie das Feld Zugelassene Netzwerke, um den SSH-Zugang auf bestimmte
Netzwerke zu beschränken.Hier aufgeführte Netzwerke können sich am SSH-Dienst anmelden.
Authe ntifizie r ung
In diesem Abschnitt können Sie eine Authentifizierungsmethode für den SSH-Zugriff und die entsprechende Sicherheitsstufe festlegen. Die folgenden Authentifizierungsmethoden sind verfügbar: l
Kennwort (Standard) l
Öffentlicher Schlüssel l
Kennwort und öffentlicher Schlüssel
Um die Funktion Zugang mit öffentlichem Schlüssel zulassen zu verwenden, müssen Sie für jeden Benutzer, der sich über seinen öffentlichen Schlüssel authentifizieren darf, den entsprechenden öffentlichen Schlüssel in das Feld Autorisierte Schlüssel für loginuser hochladen.
Root-Login zulassen. Sie können SSH-Zugriff für den Root-Benutzer zulassen. Diese
Option ist standardmäßig ausgeschaltet, da sie zu einem erhöhten Sicherheitsrisiko führt.
UTM 9 Administratorhandbuch
55
4.1 Systemeinstellungen
4 Verwaltung
Wenn diese Option aktiviert ist, kann sich der Root-Benutzer über seinen öffentlichen Schlüssel anmelden.Laden Sie den/die öffentlichen Schlüssel für den Root-Benutzer in das Feld
Autorisierte Schlüssel für Root hoch.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
She ll-Be nutze r ke nnwör te r
Geben Sie Kennwörter für die Standard-Zugangsberechtigten root und loginuser ein.Um
das Kennwort für nur eines dieser beiden Konten zu ändern, lassen Sie die beiden
Eingabefelder für das andere Konto einfach frei.
Hinweis – Um SSH-Shell-Zugriff zu ermöglichen, müssen zuerst die Kennwörter gesetzt sein.Darüber hinaus können Sie nur Kennwörter vergeben, die den Sicherheitseinstellungen entsprechen, die Sie auf der Registerkarte Definitionen & Benutzer >
Authentifizierungsserver >
konfiguriert haben. Mit anderen Worten, wenn Sie die
Verwendung von komplexen Kennwörtern ausgewählt haben, können Sie hier nur
Kennwörter eingeben, die diesen Sicherheitsanforderungen entsprechen.
La usch-Por t für SSH-Da e mon
Mit dieser Option können Sie den TCP-Port für das SSH-Protokoll ändern.Der Standard-SSH-
Port 22 ist voreingestellt.Um den Port zu ändern, geben Sie einen geeigneten Wert zwischen
1024 und 65535 in das Feld Portnummer ein und klicken Sie auf Übernehmen.
4.1.5 Scan-Einstellungen
Antivir us-Engine -Einste llunge n
Wählen Sie die Antivirus-Engine, die in allen Einzelscan-Konfigurationen für den gesamten
WebAdmin verwendet werden soll. In Zweifachscan-Konfigurationen werden beide Antivirus-
Engines verwendet.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
4.1.6 Zurücksetzung
Mit den Optionen auf der Registerkarte Zurücksetzung können Sie die Kennwörter der Shell-
Benutzer löschen.Darüber hinaus können Sie das System durch Ausführen einer
Werkszurücksetzung in den Auslieferungszustand zurückversetzen.
56
UTM 9 Administratorhandbuch
4 Verwaltung
4.1 Systemeinstellungen
Systemkennwörter zurücksetzen: Das Ausführen dieser Funktion setzt die Kennwörter der folgenden Benutzer zurück: l root (Shell-Benutzer) l loginuser (Shell-Benutzer) l admin (vordefiniertes Benutzerkonto des Administrators)
Um das Gerät nach dem Zurücksetzen der Kennwörter herunterzufahren, wählen Sie die
Option System anschließend herunterfahren.
Sicherheitshinweis – Der nächsten Person, die sich mit dem WebAdmin verbindet, wird das Dialogfenster Admin-Kennworteinrichtung angezeigt. Deshalb sollten Sie sich nach einer
Kennwortzurücksetzung sofort abmelden, die Webseite neu laden und ein neues
Administratorkennwort setzen.
Außerdem ist der Shell-Zugriff erst wieder möglich, wenn Sie neue Shell-Kennwörter auf der
Registerkarte Verwaltung > Systemeinstellungen >
angeben.
Werkszurücksetzung: Diese Funktion setzt das System in den Auslieferungszustand zurück.
Die folgenden Daten werden dabei gelöscht: l
Systemkonfiguration l
Webfilter-Cache l
Protokoll- und Berichtsdaten l
Datenbanken l
Up2Date-Pakete l
Lizenzen l
Kennwörter l
Hochverfügbarkeitsstatus
Die Versionsnummer der Sophos UTM-Software bleibt hingegen unverändert – alle installierten Firmware- und Pattern-Aktualisierungen werden beibehalten.
Hinweis -Sophos UTM wird ausgeschaltet, nachdem Sie eine Werkszurücksetzung veranlasst haben.
UTM 9 Administratorhandbuch
57
4.2 WebAdmin-Einstellungen
4 Verwaltung
4.2 WebAdmin-Einstellungen
Im Menü Verwaltung > WebAdmin-Einstellungen werden die grundlegenden Einstellungen für
WebAdmin vorgenommen, wie zum Beispiel die Zugriffskontrolle, der TCP-Port,
Benutzereinstellungen und die WebAdmin-Sprache.
4.2.1 Allgemein
Auf der Registerkarte WebAdmin-Einstellungen > Allgemein wird die Konfiguration der
WebAdmin-Sprache und der grundlegenden Zugriffseinstellungen vorgenommen.
We bAdmin-Spr a che
Wählen Sie die Sprache von WebAdmin. Beachten Sie, dass diese Einstellung global ist und alle
Benutzer betrifft.
We bAdmin-Zugr iffskonfigur a tion
Hier können Sie konfigurieren, welche Benutzer und/oder Netzwerke Zugriff auf WebAdmin haben sollen.
Zugelassene Administratoren:Sophos UTM kann von mehreren Administratoren gleichzeitig verwaltet werden.Im Feld Zugelassene Administratoren können Sie angeben, welche Benutzer oder Benutzergruppen unbeschränkten Lese- und Schreibzugriff auf
WebAdmin haben dürfen.Standardmäßig ist dies die Gruppe der SuperAdmins.
Zugelassene Netzwerke: Im Feld Zugelassene Netzwerke können Sie festlegen, aus welchen Netzwerken Zugriff auf WebAdmin möglich sein soll.Für eine reibungslose Installation des Gateways, ist standardmäßig Any eingestellt. Das bedeutet, dass von überall her auf
WebAdmin zugegriffen werden darf. Ändern Sie diese Einstellung so schnell wie möglich auf
Ihre internen Netze.Die sicherste Lösung ist jedoch, den Zugriff auf das Gateway über HTTPS auf nur einen Administrator-PC zu beschränken.
Zugriffsverkehr protokollieren: Wenn Sie alle Aktivitäten des WebAdmin-Zugriffs in der
Firewall-Protokolldatei aufgeführt haben möchten, wählen Sie die Option Zugriffsverkehr
protokollieren.
58
UTM 9 Administratorhandbuch
4 Verwaltung
4.2 WebAdmin-Einstellungen
4.2.2 Zugriffskontrolle
Auf der Registerkarte WebAdmin-Einstellungen > Zugriffskontrolle können Sie WebAdmin-
Rollen für bestimmte Benutzer anlegen. Das ermöglicht eine sehr detaillierte Definition der
Berechtigungen, die ein Benutzer in WebAdmin haben kann.
Es sind zwei Benutzerrollen vordefiniert:
Auditor: Benutzer mit dieser Rolle können Protokoll- und Berichtsdaten einsehen.
Readonly: Benutzer mit dieser Rolle können alles in WebAdmin anzeigen, aber nichts bearbeiten, anlegen oder löschen.
Um Benutzern oder Gruppen eine dieser Rollen zuzuweisen, klicken Sie auf die Schaltfläche
Bearbeiten und fügen Sie die entsprechenden Benutzer oder Gruppen zum Feld Mitglieder hinzu.
Wenn Ihre Sicherheitsrichtlinien es erfordern, können Sie weitere Rollen anlegen. Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Zugriffskontrolle auf Neue Rolle.
Das Dialogfenster Rolle anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein.
Mitglieder: Fügen Sie Benutzer und Gruppen, die diese Rolle besitzen sollen, zu diesem Feld hinzu.
Nur Leserechte gewähren (optional): Wählen Sie diese Option, um den Mitgliedern für alle Bereiche von WebAdmin Leserechte zu geben.
Rechte: Dieses Feld enthält die verschiedenen Berechtigungsstufen für die verschiedenen Funktionen von WebAdmin: Auditor und Manager.Ein Manager verfügt
über die vollständigen Verwaltungsrechte für die jeweiligen Funktionen. Ein Auditor verfügt jedoch nur über Leserechte. Sie können eine oder mehrere Berechtigungen auswählen, indem Sie das entsprechende Auswahlkästchen vor einer Berechtigung markieren.
Beispiel: Sie können dem Benutzer Hans Mustermann Manager-Rechte für Email
Protection gewähren und zusätzlich das Auswahlfeld Nur Leserechte gewähren markieren. Er wäre dann in der Lage, Änderungen im Bereich Email Protection
UTM 9 Administratorhandbuch
59
4.2 WebAdmin-Einstellungen
4 Verwaltung
durchzuführen, und könnte alle anderen Bereiche von WebAdmin einsehen, ohne dort etwas ändern zu können.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Um eine Rolle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.Beachten Sie, dass die Auditor- und die Readonly-Rollen nicht gelöscht werden können.
4.2.3 Sicherheit
Erraten von Kennwörtern verhindern: Diese Funktion verhindert, dass sich jemand durch das Erraten von Kennwörtern Zugang zu WebAdmin verschaffen kann.Nach einer konfigurierbaren Anzahl an fehlgeschlagenen Anmeldeversuchen (Standard: drei) wird der
Zugang von dieser IP-Adresse aus für eine bestimmte Zeit (standardmäßig 600 Sekunden) verweigert.Netzwerke, die im Feld Netzwerke nie blockieren aufgelistet sind, sind von dieser
Prüfung ausgenommen.
4.2.4 HTTPS-Zertifikat
Auf der Registerkarte Verwaltung > WebAdmin-Einstellungen > HTTPS-Zertifikat können Sie das WebAdmin-CA-Zertifikat in Ihrem Browser installieren oder neu generieren, oder Sie können ein signiertes Zertifikat für WebAdmin und das Benutzerportal auswählen.
Während der Erstkonfiguration des WebAdmin-Zugriffs wurde automatisch ein lokales CA-
Zertifikat auf dem Gateway erzeugt.Der öffentliche Schlüssel dieses CA-Zertifikats kann in
Ihrem Browser installiert werden, um den Sicherheitshinweis während der Anmeldung bei
WebAdmin zu vermeiden.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7
60
UTM 9 Administratorhandbuch
4 Verwaltung
4.2 WebAdmin-Einstellungen zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
Um das CA-Zertifikat zu importieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte HTTPS-Zertifikat auf CA-Zertifikat
importieren.
Der öffentliche Schlüssel des CA-Zertifikats wird exportiert.
Sie können das Zertifikat entweder auf der Festplatte abspeichern oder es in Ihrem
Browser installieren.
2.
Installieren Sie das Zertifikat (optional).
Der Browser öffnet ein Dialogfenster, über das Sie das Zertifikat sofort installieren können.
Hinweis – Beachten Sie, dass infolge von unterschiedlichen Systemzeiten und den weltweit versetzten Zeitzonen das Zertifikat nicht sofort nach der Erzeugung gültig sein könnte. Viele
Browser geben in diesem Fall die Meldung aus, dass das Zertifikat abgelaufen sei. Diese
Meldung ist nicht richtig. Aber das Zertifikat wird nach spätestens 24 Stunden gültig und bleibt dies für einen Zeitraum von 27 Jahren.
We bAdmin-Ze r tifika t ne u e r ste lle n
Das WebAdmin-Zertifikat bezieht sich auf den Hostnamen, den Sie während der ersten
Anmeldung angegeben haben.Wenn der Hostname in der Zwischenzeit geändert wurde, zeigt der Browser einen Sicherheitshinweis an. Um dies zu vermeiden, können Sie ein neues
Server-Zertifikat erzeugen, das den neuen Hostnamen berücksichtigt.Geben Sie zu diesem
Zweck den gewünschten Hostnamen an und klicken Sie auf Übernehmen. Um im WebAdmin weiterarbeiten zu können, müssen Sie wahrscheinlich – aufgrund der Änderung des Zertifikats
– die Seite über Ihren Browser neu laden, das neue Zertifikat akzeptieren und sich an
WebAdmin neu anmelden.
We bAdmin-/Be nutze r por ta l-Ze r tifika t a uswä hle n
Wenn Sie das CA-Zertifikat nicht importieren wollen, sondern stattdessen Ihr eigenes signiertes Zertifikat für WebAdmin und das Benutzerportal verwenden wollen, können Sie es hier auswählen.Wenn das Zertifikat jedoch in die Auswahlliste aufgenommen werden soll, müssen Sie es erst über die Registerkarte Fernzugriff > Zertifikatverwaltung > Zertifikate im
Format PKCS#12 hochladen, welches das Zertifikat, seine CA und seinen privaten Schlüssel
UTM 9 Administratorhandbuch
61
4.2 WebAdmin-Einstellungen
4 Verwaltung
enthält.Um das hochgeladene Zertifikat zu verwenden, wählen Sie es aus der Auswahlliste
Zertifikate aus und klicken Sie auf Übernehmen.
4.2.5 Benutzereinstellungen
Auf der Registerkarte Verwaltung > WebAdmin-Einstellungen > Benutzereinstellungen können
Sie einige Benutzereinstellungen für den jeweils angemeldeten Benutzer vornehmen, wie zum
Beispiel globale Tastaturkürzel und die Anzahl von Elementen pro Seite bei längeren Tabellen oder Listen.
Konfigur a tion de r We bAdmin-Ta sta tur kür ze l
Hier können Sie Tastaturkürzel festlegen, um Objektlisten, die für viele Konfigurationen verwendet werden, zu öffnen und zu schließen (weitere Informationen zu Objektlisten finden
Sie unter WebAdmin >
) oder um den Mauszeiger in das Suchfeld zu setzen (siehe
auch WebAdmin >
). Verwenden Sie die Auswahlliste, um eine andere
Umschalttaste auszuwählen, und das Textfeld, um ein anderes Zeichen einzugeben.Sie
können Tastaturkürzel auch ausschalten, indem Sie Aus aus der Auswahlliste wählen.
Wenn Sie die ursprünglichen Tastaturkürzel wiederherstellen wollen, klicken Sie auf die
Schaltfläche Auf Standard zurücksetzen.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Optione n für Ta be lle n-Se ite numbr uch
Hier können Sie global den Tabellenseiten-Umbruch festlegen, d. h. wie viele Elemente pro
Seite angezeigt werden. Klicken Sie auf die Auswahlliste und wählen Sie einen Wert.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Fla sh-ba sie r te Be r ichte
Standardmäßig werden Grafiken in den Berichten von Sophos UTM als Adobe
®
Flash
®
-
Animationen angezeigt. Sie müssen ein Flashplayer-Plugin in Ihrem Browser installiert haben, um diese Berichtsdiagramme anzeigen zu können.Wenn Sie kein Flashplayer-Plugin installiert haben, oder wenn Sie Flash nicht verwenden wollen, deaktivieren Sie die Flash-basierten
Berichte, indem Sie die Option Flash-basierte Berichte aktivieren abwählen. Die Diagramme werden danach als statische Bilder angezeigt. Beachten Sie jedoch, dass Sie einige
Anzeigefunktionalitäten für Berichte verlieren, wenn Flash-basierte Berichte deaktiviert sind.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
62
UTM 9 Administratorhandbuch
4 Verwaltung
4.2 WebAdmin-Einstellungen
We bAdmin-Br owse r tite l a npa sse n
Hier können Sie den Titel des WebAdmin-Registers/-Fensters in Ihrem Browser ändern. Sie können Klartext eingeben oder die folgenden Variablen verwenden: l
%h: Hostname l
%u: Benutzername l
%i: Remote-IP-Adresse
Die Standardeinstellung lautet WebAdmin - User %u - Device %h, was beispielsweise dem konkreten Titel WebAdmin - User admin - Device asg.beispiel.de entspricht.Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
4.2.6 Erweitert
We bAdmin-Le e r la uf-Ze ita bscha ltung
Abmelden nach: In diesem Textfeld können Sie die Zeitspanne (in Sekunden) angeben, wie lange eine WebAdmin-Sitzung inaktiv sein darf, bevor sich der Administrator neu anmelden muss. Standardmäßig sind 300 Sekunden voreingestellt. Sie können Werte von 60 bis 86.400
Sekunden eingeben.
Abmeldung im Dashboard: Beachten Sie, dass die automatische Abmeldung deaktiviert ist, wenn die Dashboard-Seite in WebAdmin geöffnet ist. Indem Sie diese Option auswählen, können Sie die automatische Abmeldung für das Dashboard jedoch wieder aktivieren.
We bAdmin-TC P-Por t
Standardmäßig erreicht man den WebAdmin über TCP-Port 4444.Im Textfeld TCP-Port können Sie entweder 443 oder einen Wert zwischen 1024 und 65535 eintragen. Allerdings sind einige Ports bereits von anderen Diensten belegt.Insbesondere können Sie nie den Port
10443
, den Port des Benutzerportals oder den Port für den SSL-Fernzugriff verwenden.Beachten Sie, dass Sie die Portnummer in der IP-Adresse angeben müssen
(durch einem Doppelpunkt abgetrennt), wenn Sie auf WebAdmin zugreifen möchten, z. B.
https://192.168.
Nutzungsbe dingunge n
Ihre Unternehmensrichtlinien sehen es ggf. vor, dass Benutzer die Nutzungsbedingungen akzeptieren müssen, bevor sie auf WebAdmin zugreifen können.Verwenden Sie das
UTM 9 Administratorhandbuch
63
4.2 WebAdmin-Einstellungen
4 Verwaltung
Auswahlkästchen Nutzungsbedingungen nach der Anmeldung anzeigen, um zu erzwingen, dass die Benutzer die Nutzungsbedingungen bei jedem Zugriff auf WebAdmin akzeptieren. Die
Nutzungsbedingungen werden den Benutzern unmittelbar nach der Anmeldung angezeigt.
Wenn sie sie nicht akzeptieren, werden sie wieder abgemeldet.
Sie können den Text der Nutzungsbedingungen nach Ihren Bedürfnissen anpassen.Klicken
Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Sophos UTM-Ve r be sse r ungspr ogr a mm
Sie können zur Verbesserung von Sophos UTM beitragen, indem Sie der Übertragung Ihrer aktuellen Konfigurationsdaten in anonymer Form an Sophos zustimmen. Informationen dieser
Art können nicht zu Ihnen zurückverfolgt werden. Keine benutzerspezifischen Informationen werden erfasst, also keine Benutzer- oder Objektnamen, keine Kommentare oder andere persönliche Informationen.
Die Informationen werden verschlüsselt und mittels SSL an Sophos übertragen.Die
empfangenen Daten werden zusammengefasst gespeichert und den Softwareentwicklern von
Sophos zur Verfügung gestellt, sodass sie bei der Entwicklung fundierte Entscheidungen treffen und zukünftige Versionen von Sophos UTM verbessern können.
Wenn Sie die Option Anonyme Nutzungsstatistik senden aktivieren, erfasst die UTM folgende
Daten: l
Hardware- und Lizenzdaten (nicht den Eigentümer), z. B.: processor Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz
memory 512MiB System Memory eth0 network 82545EM Gigabit Ethernet Controller id: UTM version: 9.000
type: virtual license: standard mode: standalone active_ips: 2 system_id: 58174596-276f-39b8-854b-ffa1886e3c6c
Die System-ID identifiziert Ihre UTM nur insofern, dass Systemdaten nicht versehentlich doppelt erfasst werden, z. B. nach einer Neuinstallation.
64
UTM 9 Administratorhandbuch
4 Verwaltung
4.3 Lizenzierung l
Verwendete Funktionen (nur ob aktiviert oder deaktiviert), z. B.: main->ipv6->status: 1 main->ha->status: off l
Anzahl der konfigurierten Objekte, z. B.: objects->interface->ethernet: 2 objects->http->profile: 5
Wenn diese Option aktiviert ist, sendet das System diese Daten einmal pro Woche an die
Server von Sophos.
4.3 Lizenzierung
Die Verfügbarkeit von bestimmten Funktionen auf Sophos UTM wird über Lizenzen und
Abonnements geregelt, d. h. die Lizenzen und Abonnements, die Sie mit der UTM erworben haben, ermöglichen Ihnen die Nutzung bestimmter Funktionen, anderer jedoch nicht.
4.3.1 Erwerb einer Lizenz
Sophos UTMwird standardmäßig mit einer 30-Tage-Testlizenz ausgeliefert, mit der Sie alle
Leistungsmerkmale und Funktionen uneingeschränkt nutzen können.Nach Ablauf der 30 Tage müssen Sie eine gültige Lizenz installieren, um Sophos UTM weiter nutzen zu können.Alle
Lizenzen (einschließlich kostenloser Home-Use-Lizenzen) werden im MyAstaro-Portal angelegt.
Nach dem Kauf einer UTM-Lizenz erhalten Sie per E-Mail Ihre Aktivierungsschlüssel. Diese
Schlüssel benötigen Sie, um die eigentliche Lizenz zu generieren bzw. eine bereits bestehende
Lizenz zu aktualisieren.Um eine Lizenz zu aktivieren, melden Sie sich im MyAstaro Portal an und gehen Sie zur Lizenzverwaltungsseite. Oben auf der Seite befindet sich ein Formular, wo
Sie den Aktivierungsschlüssel aus der E-Mail kopieren und einfügen können.
UTM 9 Administratorhandbuch
65
4.3 Lizenzierung
4 Verwaltung
Bild 9 MyAstaro-Portal
Es erscheint ein neues Formular, in das Sie sowohl Informationen zu Ihrem Vertriebspartner als auch Ihre eigenen Kontaktdaten eintragen können. Das Portal versucht so viele Felder wie möglich vorauszufüllen.Außerdem erfasst Sophos ggf. die Hardware-Seriennummer der
UTM. Nachdem Sie das Formular abgeschickt haben, wird Ihre Lizenz erzeugt und Sie werden auf die Lizenz-Detailseite weitergeleitet, von der aus Sie die Lizenz herunterladen können.
Um die Lizenz verwenden zu können, müssen Sie die erzeugte Lizenz-Datei herunterladen und sich dann an Ihrer WebAdmin-Installation anmelden.Öffnen Sie im WebAdmin die
Registerkarte Verwaltung > Lizenzen > Installation und verwenden Sie die Upload-Funktion, um die Lizenzdatei auf Ihrer Festplatte zu finden. Laden Sie die Lizenzdatei hoch. Danach wird der WebAdmin sie einlesen, um alle Abonnements und anderen Einstellungen zu aktivieren, die in der Lizenzdatei vorgesehen sind.
Hinweis – Der Aktivierungsschlüssel, den Sie per E-Mail erhalten haben, kann nicht in den
WebAdmin importiert werden. Dieser Schlüssel dient lediglich dazu, Ihre Lizenz in MyAstaro zu aktivieren.Nur die Lizenz-Datei kann in die UTM importiert werden.
4.3.2 Lizenzmodell
Das Lizenzmodell von Sophos ist äußerst flexibel. Zunächst gibt es eine Basislizenz, die grundlegende Funktionen kostenlos bereitstellt (siehe Tabelle unten). Des Weiteren gibt es sechs weitere Abonnements:
66
UTM 9 Administratorhandbuch
4 Verwaltung
4.3 Lizenzierung l
Network Protection l
Web Protection l
Email Protection l
Endpoint Protection l
Wireless Protection l
Webserver Protection
Diese Abonnements können Ihren Anforderungen entsprechend einzeln oder in Kombination erworben werden. Jedes der Abonnements aktiviert bestimmte Funktionen des Produkts. Die untenstehende Tabelle zeigt eine Übersicht darüber, welche Funktionen durch welches
Abonnement freigeschaltet werden.
Funktion
Verwaltung
(Backups,
Benachrichtigungen, SNMP, ACC,
...)
Lokale
Authentifizierung
(Benutzer,
Gruppen)
Grundlegende
Netzwerkfunktionen (Statisches
Routing, DHCP,
DNS, Auto QoS,
NTP, ...)
Firewall/NAT
(DNAT, SNAT,
...)
PPTP & L2TP-
Fernzugriff
Basislizenz
Netzwerk
Web E-Mail Endpoint
Wireless
Webserver
UTM 9 Administratorhandbuch
67
4.3 Lizenzierung
4 Verwaltung
Funktion
Lokale
Protokollierung,
Standardberichte
Angriffschutz
(IPS) (Patterns,
DoS, Flood,
Portscan ...)
IPsec- & SSL-
Site-to-Site-VPN,
IPsec- & SSL-
Fernzugriff
Erweiterte
Netzwerkfunktionen
(Linkbündelung,
Uplink-Ausgleich,
Richtlinien-
Routing, OSPF,
Multicast, angepasstes
QoS,
Serverlastausgleich, Generischer
Proxy ...)
Benutzerportal
Hochverfügbarkeit
Entfernte
Authentifizierung
(AD, eDir,
RADIUS, ...)
Basislizenz
Netzwerk
Web E-Mail Endpoint
Wireless
Webserver
( ) ( )
68
UTM 9 Administratorhandbuch
4 Verwaltung
4.3 Lizenzierung
Funktion Basislizenz
Netzwerk
Web E-Mail Endpoint
Wireless
Webserver
Ausgelagerte
Protokollierung, erweiterte
Berichte
(Archivierung,
Konfiguration)
Basis-Webfilter &
FTP-Proxy
Web- & FTP-
Schadsoftware-
Filterung
Application
Control
Basis-SMTP-
Proxy,
Quarantänebericht, Mail-Manager
SMTP- & POP3-
Schadsoftware-
Filterung
Endpoint
Protection,
Antivirus
Endpoint
Protection,
Device Control
Wireless Security
Web Application
Security
Für genauere Informationen zu Abonnements und ihrem Funktionsumfang wenden Sie sich bitte an Ihren zertifizierten UTM-Partner oder die SophosHomepage .
UTM 9 Administratorhandbuch
69
4.3 Lizenzierung
4 Verwaltung
Wenn bestimmte Abonnements nicht erworben wurden, sind die entsprechenden
Registerkarten im WebAdmin inaktiv. Über den Registerkarten wird eine Warnmeldung zur
Lizenzierung angezeigt.
Up2Dates
Jedes Abonnement aktiviert die vollständige Unterstützung automatischer Updates, das bedeutet, dass Sie automatisch über neue Firmware-Updates informiert werden. Darüber hinaus können Firmware- und Pattern-Updates automatisch heruntergeladen (und installiert) werden.
Eine Basislizenz ohne Abonnement unterstützt automatische Updates nur eingeschränkt:
Lediglich Pattern-Updates, wie z. B. Aktualisierungen der Onlinehilfe, werden weiterhin automatisch heruntergeladen und installiert. Sie werden jedoch nicht über verfügbare
Firmware-Updates informiert, und die Firmware-Updates müssen manuell heruntergeladen werden.Die Verfügbarkeit neuer Firmware-Updates wird im Sophos UTMUp2Date-Blog bekanntgegeben.
Support und Wartung
Mit der Basislizenz können Sie den Web-Support nutzen.Sie können das Sophos NSGSupport-
Forum und die SophosKnowledgebase nutzen.
Sobald Sie eines der Abonnements erwerben, werden Sie automatisch auf Standard-Support umgestellt. Bei dieser Supportstufe können Sie zusätzlich einen Supportfall im MyAstaro-Portal anlegen oder Ihren zertifizierten UTM-Partner kontaktieren.
70
UTM 9 Administratorhandbuch
4 Verwaltung
4.3 Lizenzierung
Darüber hinaus gibt es die Möglichkeit, einen Premium-Support-Vertrag abzuschließen.
Dieser bietet Ihnen rund um die Uhr Support durch einen UTM-Engineer als Ansprechpartner.
4.3.3 Übersicht
Die Registerkarte Übersicht zeigt detaillierte Informationen zu Ihrer Lizenz und besteht aus mehreren Abschnitten: l
Basislizenz: Grundlegende Lizenzparameter wie Besitzer, ID oder Ablaufdatum.
l
Network Protection, Email Protection, Web Protection, Webserver Protection,
Wireless Protection, Endpoint Protection: Diese Abschnitte zeigen Informationen zu den Abonnements an, beispielsweise ob diese erworben wurden und daher aktiviert sind, ihr Ablaufdatum und eine Kurzbeschreibung der Funktionen, die sie bieten.
l
Support-Dienste: Supportstufe sowie Gültigkeitszeitraum.
4.3.4 Installation
Auf der Registerkarte Verwaltung > Lizenzen > Installation können Sie neue Lizenzen hochladen und installieren.
Um eine Lizenz zu installieren, gehen Sie folgendermaßen vor:
1.
Öffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie dazu auf das Ordnersymbol neben dem Eingabefeld Lizenzdatei.
Das Dialogfenster Datei hochladen wird geöffnet.
2.
Wählen Sie die Lizenzdatei aus.
Wechseln Sie in das Verzeichnis, in dem sich Ihre Lizenzdatei befindet.
Wählen Sie die Lizenzdatei aus, die Sie installieren wollen.
3.
Klicken Sie auf Hochladen starten.
Ihre Lizenzdatei wird hochgeladen.
4.
Klicken Sie auf Übernehmen.
Ihre Lizenz wird nun installiert. Beachten Sie, dass die neue Lizenz automatisch eine bereits installierte Lizenz ersetzt.
Die Installation der Lizenz dauert ca. 60 Sekunden.
UTM 9 Administratorhandbuch
71
4.4 Up2Date
4 Verwaltung
4.3.5 Aktive IP-Adressen
Falls Sie eine Lizenz erworben haben, die nicht uneingeschränkt viele Benutzer (IP-Adressen) erlaubt, zeigt Ihnen diese Registerkarte Informationen über die zulässige Anzahl an IP-
Adressen, die von Ihrer Lizenz abgedeckt werden. IP-Adressen, die den Umfang Ihrer Lizenz
überschreiten, werden gesondert aufgelistet.Falls Sie die zulässige Grenze überschritten haben, erhalten Sie regelmäßig eine Benachrichtigung per E-Mail.
Hinweis – IP-Adressen, die über einen Zeitraum von sieben Tagen inaktiv waren, werden nicht mehr eingerechnet.
4.4 Up2Date
Das Menü Verwaltung > Up2Date ermöglicht die Konfiguration des Aktualisierungsdienstes von Sophos UTM.Regelmäßige Aktualisierungen sorgen dafür, dass das Gateway stets über die neuesten Fehlerkorrekturen, Produktverbesserungen und aktuellen Virensignaturen verfügt.Jede Aktualisierung wird von Sophos digital signiert – unsignierte oder gefälschte
Aktualisierungen können so erkannt und Installationen von gefälschten Aktualisierungen verhindert werden.
Es gibt zwei Arten von Software-Aktualisierungen: l
Firmware-Aktualisierungen: Firmware-Aktualisierungen enthalten
Fehlerkorrekturen und Produktverbesserungen für Sophos UTM-Software.
l
Pattern-Aktualisierungen: Pattern-Aktualisierungen halten Virus-, Spam- und
Angriffschutz-Signaturen sowie die Onlinehilfe auf dem neuesten Stand.
Um Up2Date-Pakete herunterzuladen, öffnet das Gateway eine TCP-Verbindung zu den
Aktualisierungsservern auf Port 443. Hierfür müssen vom Administrator keinerlei Anpassungen vorgenommen werden.Falls Sie jedoch eine übergeordnete Firewall verwenden, so müssen
Sie auf dieser die Kommunikation über TCP-Port 443 zu den Aktualisierungsservern explizit erlauben.
72
UTM 9 Administratorhandbuch
4 Verwaltung
4.4 Up2Date
4.4.1 Übersicht
Die Registerkarte Verwaltung > Up2Date > Übersicht gibt Ihnen einen schnellen Überblick darüber, ob Ihr System auf dem neuesten Stand ist.Von hier aus können Sie neue Firmwareund Pattern-Aktualisierungen installieren.
Up2Da te -For tschr itt
Dieser Bereich ist nur sichtbar, wenn Sie einen Installationsvorgang angestoßen haben.Klicken
Sie auf die Schaltfläche Up2Date-Fortschritt in neuem Fenster anzeigen, um den
Aktualisierungsfortschritt zu verfolgen. Wenn Ihr Browser Pop-up-Fenster nicht unterdrückt, wird ein neues Fenster geöffnet, das den Aktualisierungsfortschritt anzeigt. Andernfalls müssen Sie Pop-up-Fenster zunächst explizit erlauben.
Hinweis – Bevor ein Installationsvorgang gestartet wird, wird ein Backup an den/die
Standardempfänger für Backups versendet.
Bild 10 Up2Date: Fortschrittsfenster
UTM 9 Administratorhandbuch
73
4.4 Up2Date
4 Verwaltung
Fir mwa r e
Im Abschnitt Firmware sehen Sie die aktuell installierte Firmware-Version.Wenn ein
Aktualisierungspaket verfügbar ist, erscheint eine Schaltfläche Jetzt auf neueste Version
aktualisieren.Zusätzlich wird eine Nachricht im Abschnitt Verfügbare Firmware-Up2Dates angezeigt.Sie können von hier aus die neueste Aktualisierung direkt herunterladen und installieren.Sobald Sie Jetzt auf neueste Version aktualisieren angeklickt haben, können Sie den Aktualisierungsfortschritt in einem neuen Fenster verfolgen.Klicken Sie dazu auf das
Aktualisieren-Symbol von WebAdmin.
Ve r fügba r e Fir mwa r e -Up2Da te s
Wenn Sie Manuell auf der Registerkarte Konfiguration gewählt haben, sehen Sie hier eine
Schaltfläche Jetzt nach Up2Date-Paketen suchen, mit der Sie Firmware-Up2Date-Pakete manuell herunterladen können. Wenn mehr als ein Up2Date-Paket verfügbar ist, können Sie wählen, welches Sie installieren wollen.Sie können die Schaltfläche Jetzt auf neueste Version
aktualisieren im Abschnitt Firmware verwenden, um die neueste Version zu installieren.
Es gibt außerdem eine Schaltfläche Schedule (dt. planen) für jedes Up2Date, mit dem Sie ein genaues Datum und eine genaue Uhrzeit für eine automatische Installation bestimmen können.Um eine geplante Installation zu löschen, klicken Sie auf Abbrechen.
Ein Hinweis zu „zwingenden“ Installationen: Es kann Konstellationen geben, in denen Sie die
Installation eines Up2Date-Pakets planen, das die vorherige Installation eines älteren
Up2Date-Pakets erfordert. Dieses Up2Date-Paket wird automatisch zur Installation eingeplant, und zwar vor dem eigentlichen Up2Date-Paket. Sie können jedoch auch für dieses
Paket eine genaue Zeit einplanen, aber Sie können seine Installation nicht verhindern.
Pa tte r ns
Im Abschnitt Patterns steht die Versionsnummer der aktuell installierten Patterns.Wenn Sie
Manuell auf der Registerkarte Konfiguration gewählt haben, sehen Sie hier eine Schaltfläche
Patterns jetzt aktualisieren.Mit dieser Schaltfläche können Sie neue verfügbare Patterns herunterladen und installieren.
Hinweis – Die aktuell installierte Patternversion muss nicht mit der neuesten verfügbaren
Patternversion übereinstimmen, damit UTM korrekt funktioniert. Eine Abweichung zwischen der aktuell installierten und der aktuell erhältlichen Patternversion kann vorkommen, wenn neue Patterns vorliegen, die jedoch nicht zu dem Gerät passen, das Sie verwenden.Welche
Patterns heruntergeladen werden, hängt von Ihren Einstellungen und Ihrer
74
UTM 9 Administratorhandbuch
4 Verwaltung
4.4 Up2Date
Hardwarekonfiguration ab.Wenn Sie zum Beispiel die Angriffschutzfunktion (IPS) von
Sophos UTM nicht verwenden, werden neu verfügbare IPS-Patterns nicht installiert, was den
Abstand zwischen installierten und erhältlichen Patternversionen vergrößert.
4.4.2 Konfiguration
Neue Aktualisierungspakete werden standardmäßig automatisch vom Gateway heruntergeladen.
Fir mwa r e -Downloa d-I nte r va ll
Diese Option steht standardmäßig auf 15 Minuten, das heißt, dass Sophos UTM alle 15
Minuten nach verfügbaren Firmware-Aktualisierungen sucht.Sophos UTMlädt verfügbare
Firmware-Aktualisierungspakete automatisch herunter, ohne sie jedoch zu installieren. Der genaue Zeitpunkt hierfür bewegt sich dabei beliebig in dem angegebenen Zeitraum.Sie
können das Intervall auf bis zu Monatlich erhöhen oder automatische Firmware-Downloads gänzlich deaktivieren, indem Sie Manuell in der Auswahlliste wählen.Wenn Sie Manuell wählen, erscheint eine Schaltfläche Jetzt nach Up2Date-Paketen suchen auf der Registerkarte
Übersicht.
I nte r va ll für Pa tte r n-Downloa d und - I nsta lla tion
Diese Option steht standardmäßig auf 15 Minuten, das heißt, dass Sophos UTM alle 15
Minuten nach verfügbaren Pattern-Aktualisierungen sucht.Sophos UTMlädt verfügbare
Pattern-Aktualisierungspakete automatisch herunter und installiert diese. Der genaue
Zeitpunkt hierfür bewegt sich dabei beliebig in dem angegebenen Zeitraum.Sie können das
Intervall auf bis zu Monatlich erhöhen oder automatische Pattern-Downloads und -
Installationen gänzlich deaktivieren, indem Sie Manuell in der Auswahlliste wählen.Wenn Sie
Manuell wählen, erscheint eine Schaltfläche Patterns jetzt aktualisieren auf der Registerkarte
Übersicht.
4.4.3 Erweitert
Auf der Registerkarte Verwaltung > Up2Date > Erweitert gibt es weitere
Konfigurationsmöglichkeiten für die Aktualisierungsfunktionalität Ihres Gateways, wie die
Angabe eines übergeordneten Proxy (engl. parent proxy) oder eines Up2Date-
Zwischenspeichers.
UTM 9 Administratorhandbuch
75
4.4 Up2Date
4 Verwaltung
Hinweis – Aktualisierungspakete können vom Sophos UTMFTP-Server heruntergeladen werden.
Manuelles Hochladen von Up2Date-Paketen: Manuelles Hochladen von Up2Date-
Paketen: Wenn das Gateway keinen direkten Zugang zum Internet oder einem Up2Date-
Zwischenspeicher (engl. Cache) hat, um Aktualisierungspakete herunterzuladen, können Sie diese auch manuell hochladen. Gehen Sie dazu folgendermaßen vor:
1.
Öffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie auf das Ordnersymbol neben dem Feld Up2Date-Datei.
Das Dialogfenster Datei hochladen wird geöffnet.
2.
Wählen Sie das Aktualisierungspaket.
Klicken Sie im Dialogfenster Datei hochladen auf die Schaltfläche Durchsuchen und wählen Sie das Aktualisierungspaket aus, das Sie hochladen möchten.
3.
Klicken Sie auf Hochladen starten.
Das Aktualisierungspaket wird auf das Gateway kopiert.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Übe r ge or dne te r Pr oxy
Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung eines übergeordneten Proxy erforderlich machen, so können Sie diesen hier durch Angabe einer Hostdefinition und eines Ports konfigurieren.
Übergeordneten Proxy verwenden: Wählen Sie diese Option, um einen übergeordneten
Proxy zu verwenden. Geben Sie einen Hostnamen und den Port des Proxy ein.
Dieser Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy
Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
Falls Sie einen übergeordneten Proxy eingerichtet haben, holt sich Sophos UTM die
Aktualisierungspakete von diesem Proxy.
76
UTM 9 Administratorhandbuch
4 Verwaltung
4.5 Backups
4.5 Backups
Mit der Backup-Wiederherstellungsfunktion können Sie die Einstellungen des Gateway auf einer lokalen Festplatte sichern. Mit Hilfe der Backup-Datei sind Sie in der Lage, eine erprobte
Konfiguration auf neu installierte oder fehlkonfigurierte Systeme zu übertragen.
Legen Sie nach jeder Änderung der Systemeinstellungen eine neue Backup-Datei an. Auf diese Weise haben Sie immer die aktuellen Einstellungen Ihres Systems gespeichert.Bewahren Sie Ihre Backups außerdem an einem sicheren Ort auf, da sicherheitsrelevante Daten wie z. B. Zertifikate und kryptografische Schlüssel darin enthalten sind.Prüfen Sie die Backup-Datei nach der Generierung immer auf Lesbarkeit. Es ist außerdem ratsam, durch ein externes MD5-Programm eine Prüfsumme zu generieren, die es
Ihnen auch später ermöglicht, die Integrität der Backup-Datei zu prüfen.
4.5.1 Backup/Wiederherstellen
Auf der Registerkarte Verwaltung > Backups > Backups/Wiederherstellen können Sie Backups erstellen, importieren, wiederherstellen, herunterladen und senden sowie bestehende
Backups löschen.
Ve r fügba r e Ba ckups
Dieser Abschnitt ist nur sichtbar, wenn bereits mindestens ein Backup erstellt wurde, entweder automatisch oder manuell (siehe Abschnitt Backup erstellen).
Alle Backups sind mit ihrem Erstellungsdatum und -zeitpunkt, ihrer UTM-Versionsnummer, ihrem Ersteller und Kommentar aufgelistet.
Sie können einen früheren Systemzustand wiederherstellen, eine Backup-Datei herunterladen, versenden oder löschen.
l
Wiederherstellen: Ersetzt die aktuellen Systemeinstellungen durch die in einem
Backup gespeicherten Einstellungen. Hinterher müssen Sie sich neu anmelden. Im Fall, dass das Backup alle Daten enthält, können Sie sich direkt anmelden.Wenn das ausgewählte Backup nicht alle Daten enthält (siehe Abschnitt Backup erstellen), müssen
Sie die erforderlichen Daten während des Anmeldevorgangs eingeben. Wenn lediglich die Hostdaten aus dem gewählten Backup entfernt wurden, können Sie bei Bedarf eine weitere Administrator-E-Mail-Adresse hinzufügen. Diese wird an Stellen eingesetzt, an
UTM 9 Administratorhandbuch
77
4.5 Backups
4 Verwaltung
denen bisher kein Empfänger eingetragen ist, und als zusätzliche Adresse dort, wo mehrere Empfänger möglich sind.
o
Backups von USB-Flashspeicher wiederherstellen: Sie können unverschlüsselte
Backup-Dateien (Dateierweiterung abf) von einem mit FAT formatierten USB-
Flashspeicher wie z. B. einem USB-Stick wiederherstellen.Um ein Backup von einem USB-Flashspeicher wiederherzustellen, kopieren Sie die Backup-Datei auf den USB-Flashspeicher und schließen Sie das Gerät an Sophos UTM an, bevor
Sie das System starten. Befinden sich mehrere Backup-Dateien auf dem
Speichergerät, wird die lexikografisch erste Datei verwendet (Zahlen vor
Buchstaben).Angenommen, die Backup-Dateien gateway_backup_2007-04-
17.abf
und 2006-03-20_gateway_backup.abf befinden sich beide auf dem
USB-Flashspeicher. Beim Starten wird die zweite Datei verwendet, weil sie mit einer Zahl beginnt, obwohl sie viel älter ist als die andere Datei.
Nach der erfolgreichen Wiederherstellung eines Backups wird eine Sperrdatei
(engl. lock file) angelegt. Diese verhindert, dass ein- und dasselbe Backup immer wieder installiert wird, während der USB-Flashspeicher noch eingesteckt ist.
Sollten Sie ein vorangegangenes Backup dennoch erneut installieren wollen, so müssen Sie den betreffenden Rechner zunächst ohne angeschlossenen USB-
Flashspeicher neu starten. Dabei werden alle Sperrdateien gelöscht. Wenn Sie den Rechner nun erneut mit angeschlossenem USB-Flashspeicher hochfahren, kann dasselbe Backup installiert werden.
l
Herunterladen: Öffnet ein Dialogfenster, in dem Sie wählen können, ob Sie die Datei verschlüsselt (Kennwort eingeben) oder unverschlüsselt herunterladen wollen.Klicken
Sie auf Backup herunterladen. Sie werden gebeten, einen Ort im Dateisystem auszuwählen, wohin die heruntergeladene Datei gespeichert werden soll.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer
6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese
Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim
Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion
Automatische Eingabeaufforderung für Dateidownloads.
o
Vor dem Herunterladen verschlüsseln: Bevor Sie ein Backup herunterladen oder versenden, haben Sie die Möglichkeit, es zu verschlüsseln.Die
Verschlüsselung erfolgt durch Blowfish-Verschlüsselung im CBC-Modus. Geben
78
UTM 9 Administratorhandbuch
4 Verwaltung
4.5 Backups
Sie ein Kennwort ein (ein zweites Mal zur Bestätigung). Nach diesem Kennwort werden Sie gefragt, wenn Sie das Backup importieren wollen.Für verschlüsselte
Backups lautet die Dateierweiterung ebf, für unverschlüsselte Backups abf).
Hinweis – Ein Backup enthält Administrationskennwörter, das
Hochverfügbarkeitskennwort (falls konfiguriert) sowie alle RSA-Schlüssel und
X.509-Zertifikate. Da es sich dabei um vertrauliche Informationen handelt, ist es ratsam, Backups zu verschlüsseln.
l
Senden: Öffnet ein Dialogfenster, in dem Sie wählen können, ob Sie die Datei verschlüsselt (Kennwort eingeben) oder unverschlüsselt senden wollen.Klicken Sie auf
Jetzt senden, um das Backup zu senden.Die Empfänger sind die Standardempfänger, das heißt, das Backup wird an die Adresse(n) gesendet, die auf der Registerkarte
Automatische Backups eingetragen sind.
o
Vor dem Herunterladen senden: Siehe oben: Vor dem Herunterladen
verschlüsseln.
l
Löschen: Löscht ein Backup aus der Liste.
Ba ckup e r ste lle n
Backups sind nicht nur nützlich, wenn Sie Ihr System nach einer (nicht beabsichtigten)
Änderung oder einem Ausfall wiederherstellen möchten. Sie können auch als Vorlagen genutzt werden, um Systeme mit einer identischen Konfiguration anzulegen. Diese Systeme sind dann quasi vorkonfiguriert, was eine enorme Zeitersparnis darstellen kann. Zu diesem Zweck können Sie vor der Erstellung bestimmte Daten von einem Backup entfernen, z. B. Hostname,
Zertifikate usw.
Um ein Backup mit den aktuellen Systemeinstellungen zu erzeugen, gehen Sie folgendermaßen vor:
1.
Geben Sie im Abschnitt Backup erstellen einen Kommentar ein (optional).
Der Kommentar wird neben dem Backup in der Backup-Liste angezeigt.
2.
Nehmen Sie die folgenden Einstellungen vor (optional):
Host-spezifische Daten entfernen: Wählen Sie diese Option, um das Backup ohne
Host-spezifische Daten zu erstellen. Dies umfasst den Hostnamen, SNMP-Daten, HA-
Daten, Lizenz, Shell-Benutzerkennwörter, Anonymisierungskennwörter, alle Zertifikate,
öffentliche und private Schlüssel, Fingerabdrücke und Schlüssel von Email Protection,
UTM 9 Administratorhandbuch
79
4.5 Backups
4 Verwaltung
Web Protection, Client-Authentifizierung, IPsec, SSL-VPN, RED, WebAdmin, Web
Application Firewall und Proxys.
Solche Backups ermöglichen es Ihnen, mehrere identische Systeme bequem anzulegen. Sie sollten allerdings einige Punkte beachten: 1) Nach der Wiederherstellung wird die Seite Grundlegende Systemkonfiguration angezeigt. 2) Nur die erste
Schnittstelle ist konfiguriert, wobei die primäre IP-Adresse während der Installation konfiguriert wurde. Alle anderen Schnittstellen werden deaktiviert und erhalten die IP-
Adresse 0.0.0.0.
Achtung – Obwohl die meisten Host-spezifischen Daten entfernt werden, enthält eine solche Backup-Vorlage dennoch vertrauliche Daten wie Benutzerkennwörter. Deshalb ist es ratsam, Backup-Vorlagen zu verschlüsseln.
Administrative E-Mail-Adressen entfernen: Wählen Sie diese Option, um die
Administrator-E-Mail-Adressen, die in verschiedenen Bereichen der UTM verwendet werden, z. B. Postmaster-Adressen in Email Protection, Benachrichtigungen usw., zu entfernen.Diese Option ist besonders für IT-Partner sinnvoll, die Sophos UTM-Geräte an Kundenstandorten einrichten.
3.
Klicken Sie auf Backup jetzt erzeugen.
Das Backup erscheint in der Liste der verfügbaren Backups.
Falls ein Backup mit einer oder beiden der gewählten Optionen erzeugt wurde, enthält der Backup-Eintrag einen entsprechenden zusätzlichen Hinweis.
Ba ckup impor tie r e n
Um ein Backup zu importieren, klicken Sie auf das Ordnersymbol und wählen Sie eine Backup-
Datei, die hochgeladen werden soll. Klicken Sie danach auf Hochladen starten. Wenn Sie ein verschlüsseltes Backup importieren möchten, müssen Sie zunächst das Kennwort eingeben.
Beachten Sie, dass beim Import des Backups noch keine Wiederherstellung durchgeführt wird.Das Backup wird lediglich zur Liste Verfügbare Backups hinzugefügt.
4.5.2 Automatische Backups
Auf der Registerkarte Verwaltung > Backups > Automatische Backups haben Sie die
Möglichkeit, Backups automatisch erzeugen zu lassen. Um Backups automatisch erzeugen zu lassen, gehen Sie folgendermaßen vor:
80
UTM 9 Administratorhandbuch
4 Verwaltung
4.5 Backups
1.
Aktivieren Sie auf der Registerkarte Automatische Backups automatische
Backups.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und die Abschnitte Optionen sowie Backups per E-Mail
versenden können nun bearbeitet werden.
2.
Legen Sie das Zeitintervall fest.
Automatisch erzeugte Backups können in verschiedenen Zeitintervallen erzeugt werden.
Sie haben die Auswahl zwischen täglich, wöchentlich und monatlich.
3.
Legen Sie die maximale Anzahl der zu speichernden Backups fest.
Backups können bis zu der hier angegebenen Anzahl gespeichert werden. Nachdem die maximale Anzahl erreicht worden ist, werden die ältesten Backup-Dateien gelöscht.
Beachten Sie, dass dies nur auf automatisch erzeugte Backup-Dateien zutrifft.Manuell
erzeugte Backup-Dateien und vor einer Systemaktualisierung erzeugte Backup-Dateien werden nicht gelöscht.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um Backup-Dateien Ihres Gateway nicht mühevoll manuell speichern zu müssen, können Sie
Backup-Dateien an eine Liste von E-Mail-Adressen schicken lassen.
Empfänger: Automatisch erzeugte Backup-Dateien werden an diejenigen Empfänger geschickt, die im Feld Empfänger eingetragen sind. Es können mehrere Adressen angegeben werden. Standardmäßig ist die E-Mail-Adresse des Administrators voreingestellt.
E-Mail-Backups verschlüsseln: Darüber hinaus haben Sie die Möglichkeit, das Backup zu verschlüsseln (3DES-Verschlüsselung).
Kennwort: Wenn Sie die Option Verschlüsselung gewählt haben, geben Sie ein Kennwort ein
(ein zweites Mal zur Bestätigung).Nach diesem Kennwort werden Sie gefragt, wenn Sie das
Backup importieren wollen.
Automatisch erzeugte Backups erscheinen in der Liste Verfügbare Backups auf der
Registerkarte Backups/Wiederherstellen und sind mit dem Hinweis System in der Spalte
Ersteller versehen.Von dort aus können sie genau wie manuell erzeugte Backup-Dateien wiederhergestellt, heruntergeladen oder gelöscht werden.
UTM 9 Administratorhandbuch
81
4.6 Benutzerportal
4 Verwaltung
4.6 Benutzerportal
Das Benutzerportal von Sophos UTM ist eine besondere Browser-basierte Anwendung, die autorisierten Benutzern personalisierte E-Mail-Dienste und Dienste für den Fernzugriff zur
Verfügung stellt. Der Zugriff ist über die URL der Sophos UTM möglich, zum Beispiel https://192.168.2.100
(Beachten Sie das HTTPS-Protokoll und die fehlende Portnummer
4444
, die Sie normalerweise eingeben würden, um auf die WebAdmin-Schnittstelle zugreifen zu können).
Das Benutzerportal umfasst unter anderem die E-Mail-Quarantäne, die jene Nachrichten enthält, die entweder mit schädlicher Software infiziert sind, verdächtige Anhänge besitzen, als
Spam identifiziert wurden oder Ausdrücke enthalten, die explizit untersagt sind.
Benutzer können auf der Anmeldeseite eine Sprache aus der Auswahlliste auswählen, die sich rechts in der Kopfleiste befindet.
Bild 11 Benutzerportal: Begrüßungsseite
Über das Benutzerportal haben Benutzer Zugriff auf die folgenden Dienste: l
SMTP-Quarantäne: Benutzer können sich Nachrichten in Quarantäne anschauen und gegebenenfalls freigeben.Welche Arten von Nachrichten sie freigeben dürfen, kann auf der Registerkarte Email Protection > Quarantänebericht >
festgelegt werden.
(Die Registerkarte heißt Mail-Quarantäne, wenn POP3 deaktiviert ist.) l
SMTP-Protokoll: Benutzer haben hier Einblick in das SMTP-Protokoll ihres
Mailverkehrs.(Die Registerkarte heißt Mail-Protokoll, wenn POP3 deaktiviert ist.)
82
UTM 9 Administratorhandbuch
4 Verwaltung
4.6 Benutzerportal l
POP3-Quarantäne: Benutzer können sich Nachrichten in Quarantäne anschauen und gegebenenfalls freigeben.Welche Arten von Nachrichten sie freigeben dürfen, kann auf der Registerkarte Email Protection > Quarantänebericht >
festgelegt werden.
(Die Registerkarte heißt Mail-Quarantäne, wenn SMTP deaktiviert ist.) l
POP3-Konten: Benutzer können hier ihre Zugangsdaten für POP3-Konten eingeben, die sie verwenden. Es werden nur Spam-E-Mails, für die POP3-Kontozugangsdaten hinterlegt sind, im Benutzerportal angezeigt. Benutzer, für die POP3-
Kontozugangsdaten gespeichert sind, erhalten einen eigenständigen
Quarantänebericht für jede E-Mail-Adresse.Beachten Sie, dass zugelassene POP3-
Server auf der Registerkarte Email Protection > POP3 >
eingetragen sein müssen.
l
Absender-Whitelist: Benutzer können eine Positivliste (Whitelist) für bestimmte
Absender anlegen. Dadurch werden Nachrichten von diesen Absendern nicht als Spam angesehen. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter
Quarantäne gestellt. In die Positivliste können sowohl einzelne gültige E-Mail-Adressen
(z. B. [email protected]) als auch Adressen einer spezifischen Domäne eingetragen werden, wobei ein Asterisk als Platzhalter dient (z. B. *@beispiel.de).
l
Absender-Blacklist: Hier können Benutzer E-Mail-Absender auf die Negativliste
(Blacklist) setzen, z.B. [email protected], oder auch ganze Domänen, z.B.
*@hotmail.com
. Die Negativliste wird sowohl auf SMTP- als auch auf POP3-E-Mails angewendet, wenn diese auf dem System aktiviert sind. Absender können auf die
Negativliste gesetzt werden, indem man auf das Plus-Symbol klickt, die Adresse eingibt und zum Speichern auf das Häckchen-Symbol klickt.
l
Hotspots: Hier finden Benutzer die Zugriffsdaten von Hotspots und können diese verwalten. Diese Registerkarte ist nur dann vorhanden, wenn für einen bestimmten
Benutzer mindestens ein Hotspot aktiviert wurde. Für Hotspots mit täglicher
Kennwortänderung wird das aktuelle Kennwort angezeigt und lässt sich ändern. Für
Hotspots, die über Voucher genutzt werden können, können Voucher erstellt, ausgedruckt, exportiert und gelöscht werden. Auf einer Liste der erstellten Voucher werden Nutzungsinformationen angezeigt. Weitere Informationen finden Sie unter
Wireless Protection >
.
l
Client-Authentifizierung: Hier können die Benutzer eine Einrichtungsdatei von
Sophos Authentication Agent (SAA) herunterladen. Der SAA kann als
Authentifizierungsmethode für den Webfilter genutzt werden. Die Registerkarte Client-
Authentifizierung ist nur dann verfügbar, wenn die entsprechende Funktion aktiviert wurde.Weitere Informationen finden Sie unter Definitionen & Benutzer >
UTM 9 Administratorhandbuch
83
4.6 Benutzerportal
4 Verwaltung
l
Fernzugriff: Benutzer können hier Client-Software für den Fernzugriff sowie für sie bereitgestellte Konfigurationsdateien herunterladen. Der Menüpunkt Fernzugriff ist allerdings nur zu sehen, wenn für den jeweiligen Benutzer der Fernzugriff aktiviert wurde.
Hinweis –Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer
6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese
Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim
Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion
Automatische Eingabeaufforderung für Dateidownloads.
l
HTML5-VPN-Portal: Hier können Benutzer über vordefinierte Dienste VPN-
Verbindungen zu vordefinierten Hosts öffnen. Diese Registerkarte ist nur dann vorhanden, wenn für einen bestimmten Benutzer mindestens eine VPN-Verbindung aktiviert wurde.Weitere Informationen finden Sie unter Fernzugriff >
.
l
Kennwort ändern: Benutzer können hier ihr Kennwort für den Zugang zum
Benutzerportal ändern.
l
HTTPS-Proxy: Benutzer können von hier das HTTPS-Proxy CA-Zertifikat importieren, um die Fehlermeldungen loszuwerden, die erscheinen, wenn sie sichere Websites besuchen. Nach Anklicken der Schaltfläche Proxy-CA-Zertifikat importieren, wird der
Benutzer von seinem Browser gefragt, ob er der CA für verschiedene Zwecke vertraut.Weitere Informationen erhalten Sie unter Web Protection > Webfilter >
.
l
Abmelden: Klicken Sie hier, um sich vom Benutzerportal abzumelden. Das ist allerdings nur nötig, wenn Sie An meine Anmeldung erinnern beim Anmelden markiert hatten – dabei wird ein Cookie angelegt – und Sie sich nun explizit abmelden möchten. Dabei wird der Cookie gelöscht. Ansonsten gibt es keinen Grund, die Abmelden-Schaltfläche zu verwenden; es reicht aus, die Registerkarte des Browsers oder das Browserfenster zu schließen.
4.6.1 Allgemein
Auf der Registerkarte Verwaltung > Benutzerportal > Allgemein können Sie das Benutzerportal aktivieren. Zudem können Sie festlegen, welchen Netzwerken und welchen Benutzern Zugriff auf das Benutzerportal gewährt werden soll.
Um den Zugang zum Benutzerportal zu aktivieren, gehen Sie folgendermaßen vor:
84
UTM 9 Administratorhandbuch
4 Verwaltung
4.6 Benutzerportal
1.
Aktivieren Sie das Benutzerportal.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Benutzerportal-Optionen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Netzwerke aus.
Wählen Sie die Netzwerke aus, die Zugriff auf das Benutzerportal haben dürfen.
3.
Wählen Sie die zugelassenen Benutzer aus.
Wählen Sie die Benutzer oder Benutzergruppen aus, die Zugriff auf das Benutzerportal haben sollen.
Wenn Sie nicht allen Benutzern Zugriff gestatten möchten, wählen Sie die Option Nur
bestimmte Benutzer zulassen und wählen Sie die Benutzer oder Benutzergruppen einzeln aus.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
4.6.2 Erweitert
Auf der Registerkarte Erweitert können Sie einen alternativen Hostnamen und eine
Portnummer für das Benutzerportal definieren sowie Sprach- und Sicherheitseinstellungen vornehmen.
Spr a che
Während der Anmeldung wertet das Benutzerportal die Spracheinstellungen des
Webbrowsers aus und lädt das entsprechende Gebietsschema, um das Benutzerportal in derselben Sprache wie die Standardsprache des Browsers anzuzeigen. Sollte der Browser eine Sprache als Standardeinstellung haben, die im Benutzerportal nicht verfügbar ist, können
Sie hier angeben, welche Sprache ersatzweise verwendet werden soll. Benutzer haben darüber hinaus die Möglichkeit, eine Sprache auf der Anmeldeseite des Benutzerportals zu wählen.
Siche r he it
Das Benutzerportal verwendet Cookies zur Sitzungsverwaltung. Dauerhafte Cookies ermöglichen dem Benutzer, nach dem Schließen einer Sitzung später zurückzukehren, ohne sich neu anmelden zu müssen.Cookies können jederzeit vom Benutzer durch Anklicken der
Schaltfläche Abmelden im Menü gelöscht werden.
UTM 9 Administratorhandbuch
85
4.7 Benachrichtigungen
4 Verwaltung
Por ta l-Eintr ä ge de a ktivie r e n
Für die hier angegebenen Funktionen befindet sich ein Menüeintrag im Benutzerportal, insofern die entsprechende Funktion in WebAdmin aktiviert wurde.Sie können aber
Menüeinträge bestimmen, die nicht im Benutzerportal angezeigt werden sollen.Wählen Sie hierzu die entsprechende(n) Option(en) aus und klicken Sie auf Übernehmen.
Ne tzwe r ke inste llunge n
Hostname: Standardmäßig ist der Hostname des Gateways voreingestellt, wie er auf der
Registerkarte Verwaltung > Systemeinstellungen >
angegeben ist. Wenn Sie allerdings Zugriff auf das Benutzerportal über das Internet gestatten möchten, dann ist es sinnvoll, hier einen alternativen Hostnamen einzutragen, der öffentlich aufgelöst werden kann.
Lausch-Adresse: Der Standardwert lautet Alle. Wenn Sie die Web Application Firewall verwenden, müssen Sie eine feste Schnittstellenadresse angeben, auf der der Dienst auf
Verbindungen zum Benutzerportal lauscht. Diese Einstellung ist notwendig, damit die
Verbindungsverwaltung für das Benutzerportal und die Web Application Firewall die eingehenden SSL-Verbindungen unterscheiden können.
Port: Standardmäßig ist der Port 443 für HTTPS voreingestellt.Sie können den Port jedoch auf
80 oder auf einen beliebigen Wert zwischen 1024 und 65535 ändern.Beachten Sie, dass Sie weder den Port 10443 noch den WebAdmin TCP-Port auswählen können, der auf der
Registerkarte Verwaltung > WebAdmin-Einstellungen >
konfiguriert ist. Unabhängig vom gewählten Port kann das Benutzerportal stets nur über HTTPS aufgerufen werden.
Be gr üß ungste xt
Sie können den Begrüßungstext des Benutzerportals anpassen. Einfache HTML-Befehle und
Hyperlinks sind gestattet.
Hinweis – Der Begrüßungstext kann nicht geändert werden, wenn Sie eine Home-Use-
Lizenz verwenden.
4.7 Benachrichtigungen
Sophos UTMverfügt über eine Benachrichtigungsfunktion, die Sie sofort per E-Mail oder
SNMP über alle sicherheitsrelevanten Vorgänge auf dem Gateway informiert – entweder per
E-Mail oder SNMP-Trap.Alle Ereignisse, die für einen Administrator von Interesse sein
86
UTM 9 Administratorhandbuch
4 Verwaltung
4.7 Benachrichtigungen könnten, haben ihre eigenen Fehler-, Warn- und Informations-Codes.Welche
Benachrichtigungen verschickt werden, hängt von den Einstellungen ab, die Sie auf der
Registerkarte Benachrichtigungen vorgenommen haben.
4.7.1 Allgemein
Auf der Registerkarte Verwaltung > Benachrichtigungen > Allgemein können Sie die
Absenderadresse (d. h. die From-Adresse) konfigurieren, die für das Versenden von
Benachrichtigungen vom Gateway verwendet werden soll.Standardmäßig ist dies [email protected]
. Falls Sie diese Einstellung ändern möchten, ist es ratsam, eine E-
Mail-Adresse aus Ihrer Domäne zu wählen, da manche Mail-Server überprüfen, ob die
Absender-Adresse einer empfangenen Nachricht tatsächlich existiert.
Darüber hinaus können Sie einen oder mehrere Empfänger für die Benachrichtigungen des
Gateway festlegen. Standardmäßig ist dies die E-Mail-Adresse des Administrators, die Sie während der ersten Einrichtung angegeben haben.
Benachrichtigungen begrenzen: Einige sicherheitsrelevante Ereignisse, z. B. erkannte
Angriffsversuche, erzeugen eine Vielzahl von Benachrichtigungen, was schnell dazu führen kann, dass die Postfächer der Empfänger förmlich überlaufen.Zu diesem Zweck verfügt
Sophos UTM über angemessene Voreinstellungen, die die Anzahl der Benachrichtigungen, die pro Stunde verschickt werden, begrenzen.Falls Sie diese Option deaktivieren, erzeugt jedes sicherheitsrelevante Ereignis eine Benachrichtigung; vorausgesetzt natürlich, dieses Ereignis ist auf der Registerkarte Verwaltung > Benachrichtigungen > Benachrichtigungen entsprechend konfiguriert.
Ge r ä te spe zifische r Te xt
Hier können Sie eine Beschreibung von Sophos UTM, eingeben, z. B. den Standort. Diese wird dann in den Benachrichtigungen angezeigt, die verschickt werden.
4.7.2 Benachrichtigungen
Benachrichtigungen sind in drei Kategorien unterteilt: l
CRIT: Benachrichtigungen über kritische Ereignisse, die den fehlerfreien Betrieb des
Gateway gefährden.
l
WARN: Warnhinweise über potenzielle Probleme, die Ihre Aufmerksamkeit erfordern, z. B. das Überschreiten von Schwellenwerten.
UTM 9 Administratorhandbuch
87
4.8 Anpassungen
4 Verwaltung
l
INFO: Rein informative Benachrichtigungen, z. B. bezüglich des Neustarts einer
Systemkomponente.
Für jedes einzelne Ereignis können Sie bestimmen, ob eine Benachrichtigung als E-Mail oder
SNMP-Trap verschickt werden soll.
4.7.3 Erweitert
Für den Fall, dass Ihre UTM E-Mails nicht direkt senden kann, können Sie einen Smarthost für den E-Mail-Versand einrichten. Gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den Externen SMTP-Server auf der Registerkarte Verwaltung >
Benachrichtigungen > Erweitert.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
2.
Geben Sie Ihren Smarthost ein.
Sie können dafür Drag&Drop verwenden.Der Port ist auf den SMTP-Port 25 voreingestellt.
l
TLS verwenden: Wählen Sie diese Option, wenn Sie TLS für den Versand von
Benachrichtigungen erzwingen wollen. Beachten Sie, dass Benachrichtigungen nicht versendet werden, wenn der Smarthost TLS nicht unterstützt.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Falls der Smarthost Authentifizierung erfordert, geben Sie den entsprechenden
Benutzernamen und Kennwort für den Smarthost im Abschnitt SMTP-Authentifizierung ein.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
4.8 Anpassungen
Auf den Registerkarten des Menüs Verwaltung > Anpassungen können Sie die Vorlagen für
Statusmeldungen und E-Mail-Benachrichtigungen, die von Sophos UTM erstellt werden, anpassen und lokalisieren. Damit ist es möglich, diese Meldungen an die Richtlinien und die
Corporate Identity Ihres Unternehmens anzupassen.
Hinweis – Anpassungen sind nicht möglich, wenn Sie eine Home-Use-Lizenz verwenden.
88
UTM 9 Administratorhandbuch
4 Verwaltung
4.8 Anpassungen
4.8.1 Allgemein
Auf der Registerkarte Verwaltung > Anpassungen > Allgemein können Sie allgemeine
Einstellungen für Statusmeldungen vornehmen, die Benutzern angezeigt werden. Beachten
Sie, dass UTF-8/Unicode unterstützt wird.
Bild 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren Elemente
Fir me nlogo
Hier können Sie Ihr eigenes Firmenlogo/-banner (nur im jpg-Format) hochladen, das in den folgenden Fällen verwendet wird: l
Webfilter-Meldungen l
Blockierte POP3-E-Mails l
Statusmeldungen zur Aufhebung der Quarantäne (werden angezeigt, wenn eine als
Spam eingestufte E-Mail über den Quarantänebericht aus der Quarantäne freigegeben oder auf die Positivliste (Whitelist) gesetzt wurde) l
Begrenzen Sie die Auflösung des Logos auf einen angemessenen Wert (z. B. 100 x 200 Pixel).
Um ein Firmenlogo zu hochzuladen, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
89
4.8 Anpassungen
4 Verwaltung
1.
Öffnen Sie das Dialogfenster Datei hochladen.
Klicken Sie dazu auf das Ordnersymbol neben dem Feld Neues Logo hochladen.
Das Dialogfenster Datei hochladen wird geöffnet.
2.
Wählen Sie das Firmenlogo.
Wechseln Sie in das Verzeichnis, wo sich das Firmenlogo befindet.
Wählen Sie das Banner aus und klicken Sie anschließend auf die Schaltfläche Speichern.
3.
Klicken Sie auf Übernehmen.
Das Firmenlogo wird hochgeladen und ersetzt die bereits vorhandene Datei.
Fir me nspe zifische r Te xt
Hierbei handelt es sich um den Text unterhalb des Firmenlogos auf der Standard-
Fehlermeldungsseite, die vom Browser angezeigt wird, wenn ein Benutzer eine Website öffnet, die vom Virenscanner oder dem Inhaltsfilter von Sophos UTM blockiert wird.Sie können hier z.
B. die Kontaktdaten des Administrators eintragen. Beachten Sie, dass eine Website aufgrund mehrerer Gründe blockiert werden kann, z. B. weil sie zu einer URL-Kategorie gehört, die explizit verboten ist, oder als Spyware (Spionagesoftware) eingestuft wurde, oder falls der
Benutzer eine Datei herunterladen möchte, deren Erweiterung als kritisch eingestuft wird (z. B.
ausführbare Dateien).Die Vorlagen für diese Vorkommnisse können auf der Registerkarte
Verwaltung > Anpassungen > Webfilter geändert werden.
4.8.2 Webfilter
Passen Sie hier die Vorlagen für Meldungen an, die vom Webfilter von Sophos UTM angezeigt werden, wenn versucht wird, auf blockierte Websites zuzugreifen. Die Meldungen beziehen sich dabei auf die jeweilige Ursache der Blockierung. Sie können die Vorlagen in andere
Sprachen übersetzen oder sie zusätzlich um Kontaktinformationen erweitern, um nur einige
Beispiele zu nennen. Klicken Sie auf das Symbol rechts vom Namen einer Meldungsvorlage, um die Vorlage anzuzeigen. Die folgenden Vorlagen können angepasst werden: l
Webfilter-Administratorangaben: Hier können Sie Informationen über den
Webfilter-Administrator eingeben. Zusätzlich können Sie die E-Mail-Adresse des
Administrators angeben.
l
Inhalt durch Surf Protection blockiert: Diese Meldung wird angezeigt, wenn ein
Benutzer versucht hat, auf eine Webseite zuzugreifen, deren URL mit einer Kategorie
übereinstimmt, die blockiert werden soll.
90
UTM 9 Administratorhandbuch
4 Verwaltung
4.8 Anpassungen l
Inhalt durch Blacklist blockiert: Diese Meldung erscheint beim Öffnen einer
Webseite, die auf der URL-Negativliste (Blacklist) steht.Um URLs zur Negativliste hinzuzufügen, gehen Sie auf die Seite Web Protection > Webfilter >
l
Inhalt von Application Control blockiert: Diese Meldung wird angezeigt, wenn ein
Benutzer versucht hat, Netzwerkverkehr zu nutzen, der von Application Control blockiert wird.Weitere Informationen zu Application Control finden Sie im Kapitel Web Protection >
l
Virus gefunden: Diese Meldung wird angezeigt, wenn eine Datei blockiert wurde, die einen Virus enthält.
l
Datei wird heruntergeladen: Diese Meldung wird angezeigt, wenn eine Datei gerade heruntergeladen wird.
l
Virenscan: Diese Meldung erscheint, wenn eine Datei gerade auf Viren überprüft wird.
l
Herunterladen der Datei abgeschlossen: Diese Meldung wird angezeigt, wenn eine
Datei komplett heruntergeladen und gescannt wurde.
l
Transparenzmodus mit Authentifizierung: Dieser Abschnitt ist nur relevant, wenn
Sie den Webfilter im Transparenzmodus mit Authentifizierung betreiben. Dieser Text wird auf der Authentifizierungsseite angezeigt, auf der jeder Benutzer sich anmelden muss, bevor er den Webfilter verwenden kann.Das Feld Nutzungsbedingungen ist standardmäßig leer. Das heißt, dass auf der Authentifizierungsseite keine
Nutzungsbedingungen angezeigt werden. Wenn Sie Nutzungsbedingungen anzeigen wollen, die Benutzer akzeptieren müssen, geben Sie diese in diesem Feld an.Sie können die Nutzungsbedingungen wieder deaktivieren, indem Sie den Inhalt des Felds
Nutzungsbedingungen löschen.
l
URL-Filter-Umgehung: Diese Meldung wird angezeigt, wenn eine Seite blockiert wird und die Umgehungsoption für den entsprechenden Benutzer aktiviert ist (siehe Web
Protection > Webfilter >
4.8.3 Download-Verwaltung
Wenn der Webfilter aktiviert ist, zeigt der Webbrowser die folgenden Statusmeldungen an, sobald ein Benutzer versucht, Inhalte von mehr als 1 MB Größe herunterzuladen, die keinen
Text bzw. keine Bilder umfassen. Beachten Sie, dass keine Statusmeldungen angezeigt werden, wenn Video- oder Audio-Streams angefordert werden oder wenn mehr als 50 % einer
Datei innerhalb von fünf Sekunden heruntergeladen wurden.
UTM 9 Administratorhandbuch
91
4.8 Anpassungen
4 Verwaltung
92
Bild 13 Anpassungen: HTTP-Statusmeldung Schritt 1 von 3
Bild 14 Anpassungen: HTTP-Statusmeldung Schritt 2 von 3
UTM 9 Administratorhandbuch
4 Verwaltung
4.8 Anpassungen
Bild 15 Anpassungen: HTTP-Statusmeldung Schritt 3 von 3
4.8.4 SMTP-/POP3-Proxy
Passen Sie hier diejenigen Vorlagen für Benutzermeldungen an, die vom SMTP- und POP3-
Proxy von Sophos UTM generiert werden.Sie können die Vorlagen in andere Sprachen
übersetzen oder sie zusätzlich um Support-Kontaktinformationen erweitern, um nur einige
Beispiele zu nennen. Die folgenden Vorlagen können angepasst werden: l
Nachricht aus Quarantäne freigegeben: Diese Meldung wird angezeigt, wenn eine
E-Mail erfolgreich aus der Quarantäne freigegeben wurde.
l
Bei der Quarantäne-Freigabe der Nachricht ist ein Fehler aufgetreten: Diese
Meldung wird angezeigt, wenn ein Fehler während der Freigabe einer E-Mail aus der
Quarantäne aufgetreten ist.
l
POP3-Nachricht blockiert: Diese Meldung wird an den Empfänger gesendet, wenn eine POP3-Nachricht blockiert wurde.
Bild 16 Anpassungen: Blockierte POP3-Proxy-Nachricht
UTM 9 Administratorhandbuch
93
4.9 SNMP
4 Verwaltung
4.9 SNMP
Das Simple Network Management Protocol (SNMP) wird dazu benutzt, um Netzwerkelemente wie z. B. Router, Server oder Switches von einer zentralen Station aus überwachen und steuern zu können. SNMP ermöglicht es einem Administrator, sich schnell einen Überblick über den Zustand der überwachten Netzwerkgeräte zu verschaffen.Sophos UTM kann so konfiguriert werden, dass sie auf SNMP-Anfragen antwortet oder SNMP-Traps an SNMP-
Verwaltungstools sendet.Ersteres wird mithilfe von sogenannten Management Information
Bases (MIBs) erreicht. Eine MIB definiert, welche Informationen zu welchen
Netzwerkelementen abgerufen werden können.Sophos UTMunterstützt SNMP Version 2 und
3 sowie die folgenden MIBs: l
DISMAN-EVENT-MIB: Management Information Base für Ereignisse l
HOST-RESOURCES-MIB: Management Information Base für Host-Ressourcen l
IF-MIB: Management Information Base für Schnittstellengruppen l
IP-FORWARD-MIB: Management Information Base für IP-Übergabetabelle l
IF-MIB: Management Information Base für das Internet Protocol (IP) l
NOTIFICATION-LOG-MIB: Management Information Base für
Benachrichtigungsprotokolle l
RFC1213-MIB: Management Information Base für die Netzwerkverwaltung von
TCP/IP-basiertem Internet: MIB II l
SNMPv2-MIB: Management Information Base für das Simple Network Management
Protocol (SNMP) l
TCP-MIB: Management Information Base für das Transmission Control Protocol (TCP) l
UDP-MIB: Management Information Base für das User Datagram Protocol (UDP)
Um Systeminformationen zu Sophos UTM zu erhalten, müssen Sie einen SNMP-Manager verwenden, der zumindest gegen die RFC1213-MIB (MIB II) kompiliert ist.
4.9.1 Anfrage
Auf der Seite Verwaltung > SNMP > Abfrage können Sie die Nutzung von SNMP-Abfragen aktivieren.
Um SNMP-Anfragen zu konfigurieren, gehen Sie folgendermaßen vor:
94
UTM 9 Administratorhandbuch
4 Verwaltung
4.9 SNMP
1.
Aktivieren Sie SNMP-Anfragen.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Abschnitte SNMP-Version und SNMP-Zugriffskontrolle können nun bearbeitet werden.
2.
Wählen Sie die SNMP-Version aus.
Wählen Sie im Abschnitt SNMP-Version aus der Auswahlliste eine Version aus. Für
SNMP Version 3 ist Authentifizierung erforderlich.
3.
Wählen Sie zugelassene Netzwerke aus.
Netzwerke im Feld Zugelassene Netzwerke dürfen Anfragen an den SNMP-Agenten von Sophos UTM stellen. Beachten Sie, dass der Zugriff immer auf das Leserecht (engl.
read-only) beschränkt ist.
l
Community-String: Geben Sie bei Nutzung von Version 2 einen Community-
String ein. Ein SNMP-Community-String dient als eine Art Kennwort für den
Zugriff auf den SNMP-Agenten.Standardmäßig ist „public“ als SNMP-
Community-String voreingestellt. Sie können diesen Wert nach Ihren
Bedürfnissen ändern.
Hinweis – Der Community-String darf aus folgenden Zeichen bestehen: (a–z),
(A–Z), (0–9), (+), (_), (@), (.), (-), (Leerzeichen).
l
Benutzername/Kennwort: Bei Nutzung von Version 3 ist Authentifizierung erforderlich. Geben Sie einen Benutzernamen und ein Kennwort ein (zweites Mal zur Bestätigung), damit der Remote-Administrator Anfragen versenden kann.
Das Kennwort muss mindestens acht Zeichen lang sein. SNMP v3 setzt für die
Authentifizierung SHA und für die Verschlüsselung AES ein. Beachten Sie, dass
Benutzername/Kennwort für beides verwendet werden.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Darüber hinaus können Sie zusätzliche Informationen zum Gateway angeben.
Ge r ä te infor ma tione n
Mit den Eingabefeldern im Abschnitt Geräteinformationen können Sie das Gateway näher erläutern, z. B. durch Angabe eines Gerätenamens, des Standorts oder des zuständigen
Administrators.Diese Informationen können von SNMP-Verwaltungsprogrammen gelesen werden und helfen bei der Identifikation des Gateways.
UTM 9 Administratorhandbuch
95
4.9 SNMP
4 Verwaltung
Hinweis – Beachten Sie, dass der gesamte SNMP-Datenverkehr (Protokollversion 2) zwischen dem Gateway und den Zugelassenen Netzwerken unverschlüsselt erfolgt und bei einem Transfer über öffentliche Netze mitgelesen werden kann.
Sophos UTMNotifie r Ma na ge me nt I nfor ma tion Ba se
( MI B)
In diesem Abschnitt können Sie den Sophos UTM Notifier MIB herunterladen, der die
Definitionen der Sophos UTM SNMP-Benachrichtigungen enthält, die auf Ihren aktuellen
Einstellungen für Benachrichtigungs-Traps basieren.
4.9.2 Traps
Auf der Registerkarte Traps können Sie einen SNMP-Trap-Server auswählen, an den
Benachrichtigungen über relevante Ereignisse auf dem Gateway per SNMP-Trap verschickt werden können. Beachten Sie, dass spezielle SNMP-Überwachungssoftware benötigt wird, um die Traps anzeigen zu können.
Die als SNMP-Traps verschickten Nachrichten enthalten einen sogenannten Object Identifier
(Objektidentifizierungsnummer) (OID), z. B. .1.3.6.1.4.1.9789, der zu den privaten
Unternehmensnummern gehört, die von der IANA vergeben werden.Diese OID setzt sich folgendermaßen zusammen: aus dem Präfix .1.3.6.1.4.1, das für iso.org.dod.internet.private.enterprise
steht, sowie 9789, der privaten
Unternehmensnummer der Astaro GmbH & Co. KG.Die OID für Benachrichtigungen 1500, an die wiederum die OID des Typs der Benachrichtigung und die des dazugehörigen Fehlercodes
(000-999) angehängt wird. Die folgenden Benachrichtigungstypen sind verfügbar: l
DEBUG = 0 l INFO = 1 l WARN = 2 l CRIT = 3
Beispiel: Die Benachrichtigung "INFO-302: New firmware Up2Date installed" verwendet die
OID .1.3.6.1.4.1.9789.1500.1.302 und bekommt die folgende Bezeichnung zugewiesen:
[<HOST>][INFO][302]
Beachten Sie, dass <HOST> ein Platzhalter für den Hostnamen darstellt und dass nur Typ und
Fehlercode aus der Betreffzeile der Benachrichtigung übermittelt werden.
96
UTM 9 Administratorhandbuch
4 Verwaltung
4.10 Zentrale Verwaltung
Um einen SNMP-Trap-Server auszuwählen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf Neuer SNMP-Trap-Server.
Das Dialogfenster Neuen SNMP-Trap-Server erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Host: Die Host-Definition für den SNMP-Trap-Server.
Community-String: Ein SNMP-Community-String dient als eine Art Kennwort für den
Zugriff auf die Abfrage von SNMP-Nachrichten. Standardmäßig ist „public“ als SNMP-
Community-String voreingestellt. Geben Sie hier den Community-String ein, der auf dem SNMP-Trap-Server konfiguriert ist.
Hinweis – Der Community-String darf aus folgenden Zeichen bestehen: (a–z), (A–Z),
(0–9), (+), (_), (@), (.), (-), (Leerzeichen).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der neue SNMP-Trap-Server wird auf der Registerkarte Traps angezeigt.
4.10 Zentrale Verwaltung
Über das Menü Zentrale Verwaltung werden Schnittstellen zu Verwaltungstools konfiguriert, die verwendet werden können, um das Gateway zu überwachen oder aus der Ferne zu verwalten.
4.10.1 Astaro Command Center
Astaro Command Center (ACC) ist Sophos' Produkt zur zentralen Verwaltung.Sie können mehrere UTM-Appliances mit einem ACC verbinden, über das eine zentrale Überwachung,
Konfiguration und Wartung möglich ist.
Auf dieser Registerkarte können Sie die Verbindung Ihrer UTM mit einem oder zwei ACCs konfigurieren.
Damit Sophos UTM von einem ACC-Server überwacht werden kann, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
97
4.10 Zentrale Verwaltung
4 Verwaltung
1.
Aktivieren Sie die ACC-Funktionalität auf der Registerkarte Astaro Command
Center.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt ACC-Einstellungen kann nun bearbeitet werden.
2.
Geben Sie den ACC-Host an.
Wählen oder legen Sie den ACC-Server an, zu dem sich Sophos UTM verbinden soll.
l
Authentifizierung (optional): Wenn der ACC Authentifizierung erfordert, wählen Sie diese Option und geben Sie das Kennwort (Verteilter Schlüssel) an, das auf dem ACC-Server konfiguriert ist.
l
Wählen Sie den ACC-Server als Up2Date-Zwischenspeicher (optional):
Up2Date-Pakete können von einem Zwischenspeicher (engl. cache) geholt werden, der sich auf dem ACC-Server befindet.Wenn Sie diese Funktionalität für
Ihr Gateway verwenden wollen, wählen Sie die Option ACC-Server als Up2Date-
Zwischenspeicher verwenden. Bitte stellen Sie sicher, dass der Administrator des
ACC, der Ihr Gerät verwaltet, die Up2Date-Zwischenspeicher-Funktionalität auf dem Server aktiviert hat.Beachten Sie, dass die Verwendung der Up2Date-
Zwischenspeicher-Funktionalität und eines übergeordneten Proxy für Up2Date-
Pakete sich gegenseitig ausschließen.
Es gibt vier Optionen, über die Sie entscheiden können, welche Funktionsbereiche Ihrer
UTM von dem Administrator des gewählten ACC verwaltet werden dürfen. Diese
Optionen spiegeln die Verwaltungsmöglichkeiten des ACC wider. Weitere Informationen finden Sie im ACC-Handbuch. Beachten Sie, dass die Konfigurationsoption für einen zweiten ACC fehlt, da die Geräte nur von einem ACC konfiguriert werden können.
3.
Legen Sie die Berechtigungen des ACC-Administrators fest.Im ACC kann der für UTM zuständige Administrator nur die Bereiche von UTM verwalten, für die hier eine ausdrückliche Berechtigung erteilt wurde.Die hierin aufgelisteten Berechtigungen entsprechen dem Hauptmenü und den Verwaltungsoptionen des ACC.
Administration: Bei Auswahl kann der Administrator die Funktionen in den Menüs
Wartung und Verwaltung verwenden. Dadurch lässt sich beispielsweise der Bestand anzeigen. Außerdem können Backups erstellt und wiederhergestellt sowie geplante
Vorgänge wie Firmware-Aktualisierungen durchgeführt werden.
Berichte: Bei Auswahl kann der Administrator die Funktionen im Berichtsmenü verwenden.Dadurch lassen sich z. B. UTM-Berichte anfordern.
98
UTM 9 Administratorhandbuch
4 Verwaltung
4.10 Zentrale Verwaltung
Überwachung: Bei Auswahl wird UTM auf den Seiten für die Überwachung angezeigt und der Administrator kann die entsprechenden Funktionen verwenden.
Konfiguration: Bei Auswahl kann der Administrator die Funktionen im
Konfigurationsmenü verwenden.Somit lassen sich der UTM beispielsweise Objekte
(Netzwerke, Hosts, VPNs) zuweisen.
Hinweis – Weitere Informationen finden Sie im ACC-Handbuch.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.Kurz darauf kann Sophos UTM durch den hier ausgewählten ACC-Server überwacht und verwaltet werden.
Einste llunge n für e in zwe ite s AC C
In diesem Abschnitt können Sie optional ein weiteres ACC hinzufügen.Das ist sinnvoll, wenn Sie beispielsweise die Konfiguration selbst vornehmen (erster ACC-Server), aber Ihre Maschinen dennoch von einem Dritten überwachen lassen wollen, z. B. Ihrem MSSP (zweiten ACC-
Server).Die Einstellungen sind fast identisch mit denen des ersten ACC-Servers, lediglich die
Konfigurationsoption fehlt, da diese nur dem ersten ACC-Server zur Verfügung steht.
Hinweis – Beachten Sie, dass das Gateway und der ACC-Server über Port 4433 miteinander kommunizieren, wohingegen der Zugriff auf das Astaro Command Center mit einem Browser über das HTTPS-Protokoll auf Port 4444 für die WebAdmin- und auf Port
4422 für die Gateway-Manager-Schnittstelle erfolgt.
AC C -Zusta nd
Sie können den aktuellen Verbindungsstatus und Zustand im Abschnitt ACC-Zustand sehen.
Ein Neuladen der Seite aktualisiert diese Daten.
AC C -Obj e kte
Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einem ACC aus angelegt wurden und dieser ACC ist nun getrennt von Sophos UTM. ACC-erzeugte
Objekte können Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und
Ähnliches sein.
Die Schaltfläche Objekte aufräumen kann angeklickt werden, um alle Objekte freizugeben, die vom ACC angelegt wurden, mit dem das System ehemals verwaltet wurde. Diese Objekte sind
UTM 9 Administratorhandbuch
99
4.11 Hochverfügbarkeit
4 Verwaltung
normalerweise gesperrt und können nur auf dem lokalen Gerät eingesehen werden. Nach
Betätigung der Schaltfläche werden die Objekte voll zugänglich und können vom lokalen
Administrator wiederverwendet oder gelöscht werden.
Hinweis – Wenn ehemalige ACC-erzeugte Objekte aufgeräumt wurden, können sie nicht zurückgewandelt werden, wenn das Gerät wieder mit demselben ACC verbunden wird.Das
bedeutet, wenn ein entfernter ACC noch Objektdefinitionen für ein Gerät bereithält, das sich später mit ihm wiederverbindet, so werden diese Objekte erneut auf das Gerät übertragen – obwohl dann bereits lokale Kopien existieren.
Live -Pr otokoll
Sie können das Live-Protokoll verwenden, um die Verbindung zwischen Sophos UTM und dem
ACC zu beobachten.Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um das Live-
Protokoll in einem neuen Fenster zu öffnen.
4.11 Hochverfügbarkeit
In den allermeisten Fällen ist ein Hardware-Fehler für den Ausfall eines
Internetsicherheitssystems verantwortlich.Die Fähigkeit eines Systems, bei Ausfall einer seiner
Komponenten uneingeschränkten Betrieb zu gewährleisten, wird auch Failover bzw.
Hochverfügbarkeit genannt (abgekürzt HA, abgeleitet von engl. High-Availability).Sophos
UTMbietet Hochverfügbarkeit, indem es ermöglicht, ein redundantes Hot-Standby-System zu konfigurieren, das im Falle eines technischen Versagens des Primärsystems dessen Aufgaben
übernimmt (aktiv-passiv).Alternativ dazu können Sie Sophos UTM als Cluster konfigurieren, welches speziellen Datenverkehr auf mehrere Maschinen verteilt (aktiv-aktiv), wie man es von konventionellen Lösungen zur Lastverteilung kennt. Das führt zu optimaler
Ressourcenauslastung und verringert Rechenzeit.
Die Konzepte Hochverfügbarkeit und Cluster ähneln sich hinsichtlich ihrer Implementierung in
Sophos UTM sehr. So kann z. B. ein hochverfügbares System als ein Zwei-Knoten-Cluster angesehen werden, was die Mindestanforderung an ein redundantes System darstellt.
Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen annehmen: l
Master: Das Primärsystem in einem Hot-Standby-/Cluster-Aufbau. Innerhalb eines
Clusters sorgt der Master für die Synchronisierung und Verteilung der Daten.
100
UTM 9 Administratorhandbuch
4 Verwaltung
4.11 Hochverfügbarkeit l
Slave: Das Sekundärsystem in einem Hot-Standby-/Cluster-Aufbau, das den Betrieb sicherstellt, falls das Primärsystem ausfällt.
l
Worker: Ein einfacher Cluster-Knoten, der nur für die Datenverarbeitung zuständig ist.
Alle Knoten überwachen sich gegenseitig mit Hilfe eines sogenannten Heartbeat-Signals, ein in periodischen Abständen verschicktes Multicast-UDP-Datenpaket, um festzustellen, ob die anderen Knoten noch „am Leben“ sind (daher der Begriff Heartbeat, dt. Herzschlag).Falls
aufgrund eines technischen Fehlers einer der Knoten kein Heartbeat-Signal mehr aussenden kann, wird er als tot betrachtet.Je nach der Rolle, die der ausgefallene Knoten innehatte,
ändert sich die Konfiguration des Aufbaus wie folgt: l
Falls der Master-Knoten ausfällt, übernimmt der Slave-Knoten seinen Platz und der
Worker-Knoten mit der höchsten ID wird Slave.
l
Falls der Slave-Knoten ausfällt, wird der Worker-Knoten mit der höchsten ID zum Slave.
l
Falls ein Worker-Knoten ausfällt, bemerken Sie im Höchstfall Leistungseinbußen aufgrund der verringerten Rechenleistung. Die Ausfallsicherheit ist dadurch nicht beeinträchtigt.
Berichte
Alle Berichtsdaten werden auf dem Master-Knoten konsolidiert und in Abständen von fünf
Minuten auf die anderen Knoten übertragen.Im Fall einer Übernahme durch das
Sekundärsystem verlieren Sie daher höchstens fünf Minuten an Daten. Es gibt allerdings einen
Unterschied in Bezug auf die Ansammlung von Daten.Die Diagramme auf den Registerkarten
Protokolle & Berichte > Hardware repräsentieren lediglich die Daten des Knotens, der gerade
Master ist.Netzwerkverkehrsdaten wiederum, wie sie beispielsweise auf der Seite Protokolle &
Berichte > Netzwerknutzung erscheinen, repräsentieren Daten von allen beteiligten Knoten.
So zeigt z. B. das Histogramm der heutigen CPU-Auslastung die aktuelle Prozessorauslastung des Master-Knotens. Im Fall einer Übernahme durch den Slave wären dies dann die Daten des
Slave. Im Gegensatz dazu sind z. B. die Informationen Häufigste Netzwerkdienste im Menü
Netzwerk eine Ansammlung der Daten aller Knoten, die bei der verteilten Verarbeitung des
Datenverkehrs involviert waren.
Hinweise
l
Das Address Resolution Protocol (ARP) wird nur vom aktuellen Master benutzt, d. h.
Slave- und Worker-Knoten senden und beantworten keine ARP-Anfragen.
UTM 9 Administratorhandbuch
101
4.11 Hochverfügbarkeit
4 Verwaltung
l
Im Fall einer Übernahme führt die Einheit, die die Aufgaben übernimmt, eine ARP-
Bekanntgabe (auch bekannt als gratuitous ARP) durch. Das ist gewöhnlich eine ARP-
Anfrage, die dazu dient, die ARP-Zwischenspeicher (Cache) der anderen Hosts zu aktualisieren, die diese Anfrage erhalten. Die ARP-Bekanntgabe wird dazu benutzt, bekannt zu geben, dass die IP-Adresse des Master auf den Slave übertragen wurde.
l
Alle Schnittstellen, die auf dem Master konfiguriert sind, müssen eine physikalische
Verbindung haben, das heißt, der Port muss korrekt mit einem Netzwerkgerät verbunden sein.
4.11.1 Hardware- und Software-Voraussetzungen
Die folgenden Hardware- und Software-Voraussetzungen müssen für die HA- und Cluster-
Funktionalität erfüllt sein: l
Gültige Lizenz mit aktivierter HA-Option (für das Standby-Gerät benötigen Sie lediglich eine zusätzliche Basislizenz).
l
Zwei UTM-Geräte mit identischer Software-Version und identischer Hardware oder zwei UTM-Appliances des gleichen Modells.
l
Heartbeat-fähige Ethernet-Netzwerkkarten.Auf der HCL (Hardware Compatibility List) können Sie nachsehen, welche Netzwerkkarten unterstützt werden.Die HCL befindet sich in der SophosKnowledgebase (verwenden Sie „HCL“ als Suchbegriff).
l
Ethernet-Crosskabel (für die Verbindung zwischen Master und Slave in einem Hot-
Standby-System).UTMAppliances der Modelle 320, 425 und 525, deren dedizierte HA-
Schnittstelle eine Gigabit-auto-MDX-Schnittstelle ist, können auch durch ein Standard-
Ethernetkabel der IEEE-Norm 802.3 miteinander verbunden werden.
l
Netzwerk-Switch (um Cluster-Knoten miteinander zu verbinden).
4.11.2 Status
Die Registerkarte Verwaltung > Hochverfügbarkeit > Status führt alle Geräte auf, die zu einem
Hot-Standby-System bzw. Cluster gehören, und zeigt die folgenden Informationen an: l
ID: Die Knoten-ID des Geräts.In einem Hot-Standby-System ist die ID entweder 1
(Master) oder 2 (Slave).
Die ID in einem Cluster reicht von 1 bis 10, da ein Cluster aus maximal zehn Knoten bestehen kann.
102
UTM 9 Administratorhandbuch
4 Verwaltung
4.11 Hochverfügbarkeit l
Rolle: Jeder Knoten innerhalb eines Clusters kann eine der folgenden Rollen annehmen: l
MASTER: Das Primärsystem in einem Hot-Standby-/Cluster-Aufbau. Innerhalb eines Clusters sorgt der Master für die Synchronisierung und Verteilung der
Daten.
l
SLAVE: Das Sekundärsystem in einem Hot-Standby-/Cluster-Aufbau, das den
Betrieb sicherstellt, falls das Primärsystem ausfällt.
l
WORKER: Ein einfacher Cluster-Knoten, der nur für die Datenverarbeitung zuständig ist.
l
Gerätename: Der Name des Geräts.
l
Status: HA-Status des Knotens. Die folgenden Werte sind möglich: l
AKTIV: Der Knoten ist voll funktionsfähig.
l
NICHT VERBUNDEN: Eine oder mehrere Schnittstellen sind nicht verbunden.
l
UP2DATE: Auf dem Knoten wird gerade ein Up2Date ausgeführt.
l
UP2DATE FEHLGESCHLAGEN: Das Up2Date auf dem Knoten ist fehlgeschlagen.
l
TOT: Der Knoten ist nicht erreichbar.
l
SYNCING: Die Datensynchronisierung läuft. Dieser Status wird angezeigt, wenn ein Übernahmevorgang stattfindet. Die anfängliche Synchronisierungszeit beträgt mindestens fünf Minuten. Sie kann jedoch durch alle an der Synchronisierung beteiligten Programme verlängert werden.Während ein SLAVE synchronisiert und sich im Zustand SYNCING befindet, findet keine Übernahme, z. B. wegen eines Linkausfalls auf dem Master-Knoten, statt.
l
Version: Versionsnummer der Sophos UTM Software, die auf dem System installiert ist.
l
Letzte Statusänderung: Zeitpunkt der letzten Statusänderung.
Neustart/Herunterfahren: Mit diesen Schaltflächen kann ein Gerät manuell neu gestartet oder heruntergefahren werden.
Knoten entfernen: Verwenden Sie diese Schaltfläche, um einen toten Cluster-Knoten über
WebAdmin zu entfernen. Alle knotenspezifischen Daten wie E-Mail-Quarantäne und Spool werden dann vom Master übernommen.
Klicken Sie auf die Schaltfläche HA-Live-Protokoll öffnen in der rechten oberen Ecke, um das
Hochverfügbarkeits-Live-Protokoll in einem separaten Fenster zu öffnen.
UTM 9 Administratorhandbuch
103
4.11 Hochverfügbarkeit
4 Verwaltung
4.11.3 Systemstatus
Die Registerkarte Verwaltung > Hochverfügbarkeit > Systemstatus führt alle Geräte auf, die zu einem Hot-Standby-System bzw. Cluster gehören und zeigt Informationen über die
Ressourcennutzung jedes einzelnen Gerätes an: l
Die CPU-Auslastung in Prozent l
Die RAM-Auslastung in Prozent l
Der von der Swap-Partition benutzte Festplattenplatz in Prozent l
Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz in Prozent l
Der von der Daten-Partition belegte Festplattenplatz in Prozent
4.11.4 Konfiguration
Die HA-Funktionalität von Sophos UTM umfasst drei Grundeinstellungen: l
Automatische Konfiguration l
Hot-Standby (aktiv-passiv) l
Cluster (aktiv-aktiv)
Automatische Konfiguration:Sophos UTM verfügt über eine Plug-and-Play-
Konfigurationsoption speziell für UTM Appliances, die es ermöglicht, ein Hot-Standby-System bzw. ein Cluster aufzubauen, ohne jedes Gerät einzeln konfigurieren oder manuell installieren zu müssen, das zum Cluster hinzugefügt werden soll.Dazu verbindet man einfach die HA-
Schnittstellen (eth3) der UTM Appliances miteinander und wählt auf allen Geräten jeweils die
Option Automatische Konfiguration.
Hinweis – Damit Automatische Konfiguration funktioniert, müssen alle UTM Appliances vom gleichen Modell sein.Sie können z. B. nur zwei UTM 320 Appliances zum Aufbau eines HA-
Systems verwenden; eine UTM 220 kann hingegen nicht mit einer UTM 320 kombiniert werden.
Wenn Sie zwei UTM Appliances über die entsprechende Schnittstelle miteinander verbinden, erkennen sich alle Geräte gegenseitig und konfigurieren sich selbstständig als HA-System. Das
Gerät mit der längeren Betriebszeit wird Master. Im unwahrscheinlichen Fall, dass die
104
UTM 9 Administratorhandbuch
4 Verwaltung
4.11 Hochverfügbarkeit
Betriebszeit identisch ist, wird die Entscheidung, welches Gerät Master werden soll, anhand der
MAC-Adresse getroffen.
Wenn Sie UTM Software verwenden, wird die Option Automatische Konfiguration auf dedizierten Slave-Systemen dazu benutzt, automatisch einem Master- oder bereits konfigurierten Hot-Standby-System bzw. Cluster beizutreten.Aus diesem Grund ist
Automatische Konfiguration eher als Übergangsmodus zu verstehen denn als eigenständiger
HA-Betriebsmodus.Denn der HA-Betriebsmodus ändert sich in Hot-Standby oder Cluster, sobald das Gerät mit der Einstellung Automatische Konfiguration einem Hot-Standby-System bzw. Cluster beitritt.Voraussetzung dafür allerdings ist, dass die Option Automatische
Konfiguration neuer Geräte aktivieren auf dem Master aktiviert ist.Diese Funktion sorgt dafür, dass genau die Geräte automatisch einem Hot-Standby-System bzw. Cluster hinzugefügt werden, deren HA-Betriebsmodus auf Automatische Konfiguration steht.
Hot-Standby (aktiv-passiv):Sophos UTM kann als Hot-Standby-System, bestehend aus zwei Knoten, konfiguriert werden, was die Mindestvoraussetzung für ein redundantes System ist.Eine der größten technischen Verbesserungen von Sophos UTM Software 9 ist, dass die
Latenzzeit für eine Übernahme durch das Standby-Gerät auf weniger als zwei Sekunden verringert werden konnte. Zusätzlich zur Firewall-Synchronisierung bietet das Gateway auch eine IPsec-Tunnel-Synchronisierung.Dies bedeutet, dass weder Road-Warrior- noch entfernte VPN-Gateway-Verbindungen nach einer Übernahme neu aufgebaut werden müssen. Objekte, die sich in Quarantäne befinden, werden ebenfalls synchronisiert und sind so auch nach einem Ausfall des Primärsystems noch verfügbar.
Cluster (aktiv-aktiv): Um der steigenden Nachfrage nach der Verarbeitung von großen
Mengen an Internetverkehr in Echtzeit gerecht zu werden, kann Sophos UTM als Cluster konfiguriert werden. Ein Cluster besteht aus mehreren Knoten, auf die rechenintensive
Aufgaben wie z. B. Inhaltsfilterung, Virenscans, Angriffschutz und Entschlüsselung gleichmäßig verteilt werden können. Ohne die Notwendigkeit eines speziellen Lastenausgleichsprogramms wird so die Gesamtleistung des Gateways deutlich erhöht.
Hinweis – Wenn Sie ein Cluster konfigurieren, stellen Sie sicher, dass Sie den Master zuerst konfigurieren, bevor Sie die anderen Geräte mit dem Switch verbinden.
Die Einrichtung von Master, Slaves und Workers unterscheidet sich nur in wenigen Punkten:
Gehen Sie folgendermaßen vor:
1.
Wählen Sie einen HA-Betriebsmodus.
Standardmäßig ist die HA-Funktion deaktiviert. Die folgenden Modi sind möglich:
UTM 9 Administratorhandbuch
105
4.11 Hochverfügbarkeit
4 Verwaltung
l
Automatische Konfiguration l
Hot-Standby (aktiv-passiv) l
Cluster (aktiv-aktiv)
Hinweis – Falls Sie den Betriebsmodus später ändern möchten, müssen Sie vorher den Modus auf Aus stellen. Erst danach können Sie einen der Betriebsmodi
Automatische Konfiguration, Hot-Standby oder Cluster wählen.
Abhängig von Ihrer Auswahl werden eine oder mehrere Optionen angezeigt.
2.
Nehmen Sie die folgenden Einstellungen vor:
Sync-NIC: Wählen Sie die Netzwerkkarte aus, über die Master- und Slave-Systeme miteinander kommunizieren. Wenn Linkbündelung aktiviert ist, können Sie hier auch eine
Linkbündelungsschnittstelle sehen.
Hinweis – Beachten Sie, dass nur jene Netzwerkkarten angezeigt werden, die noch nicht konfiguriert wurden. Es ist möglich, die Synchronisierungsschnittstelle in einer laufenden Konfiguration zu ändern. Beachten Sie, dass danach alle Knoten einen
Neustart durchführen werden.
Die folgenden Optionen können erst konfiguriert werden, nachdem entweder Hot-
Standby oder Cluster als Betriebsmodus ausgewählt wurde:
Gerätename: Geben Sie einen aussagekräftigen Namen für das Gerät ein.
Geräteknoten-ID: Weisen Sie dem Gerät eine Knoten-ID zu. Im Fall eines Ausfalls des
Primärsystems wird der Knoten mit der höchsten ID Master.
Verschlüsselungsschlüssel: Das Kennwort, mit dem die Kommunikation zwischen
Master und Slave verschlüsselt wird (zur Sicherheit müssen Sie das Kennwort zweimal eingeben). Der Schlüssel darf maximal 16 Zeichen lang sein.
3.
Klicken Sie auf Übernehmen.
Die Konfiguration der HA-Ausfallsicherheit auf dem Gerät ist damit abgeschlossen.
Das Gateway im Hot-Standby-Modus wird in regelmäßigen Abständen über die Sync-NIC
(Synchronisierungsschnittstelle) aktualisiert. Sollte das Primärsystem ausfallen, wird das
Sekundärsystem unmittelbar in den normalen Modus wechseln und die Aufgaben des
Primärsystems übernehmen.
106
UTM 9 Administratorhandbuch
4 Verwaltung
4.11 Hochverfügbarkeit
Hinweis – Wenn Sie ein Hot-Standby-System bzw. Cluster deaktivieren, führen die Slaveund Worker-Knoten eine Werksrücksetzung (engl. Factory Reset) durch und fahren herunter.
Weitere Informationen zu diesem Thema (insbesondere Anwendungsfälle) finden Sie im
HA/Cluster Guide unter SophosKnowledgebase .
Er we ite r t
In diesem Abschnitt können Sie einige erweiterte Einstellungen vornehmen.
Automatische Konfiguration neuer Geräte aktivieren: Wenn Sie ein Hot-Standby-
System bzw. Cluster manuell konfiguriert haben, sorgt diese Option dafür, dass genau die
Geräte automatisch zu einem Hot-Standby-System bzw. Cluster hinzugefügt werden, deren
HA-Betriebsmodus auf Automatische Konfiguration steht. Da diese Option jedoch keinen Effekt auf Slave-Systemen hat, können Sie die Option aktiviert lassen, was der Standardeinstellung entspricht.
Knoten während Up2Date reservieren: Aktivieren Sie diese Option, damit während eines
Updates auf eine neue Systemversion die Hälfte der HA/Cluster-Knoten die aktuelle
Systemversion beibehält.Sobald die neue Version stabil ist, können Sie die verbleibenden
Knoten auf der Seite Verwaltung > Hochverfügbarkeit > Status aktualisieren. Falls die neue
Version einen Ausfall der aktualisierten Knoten zur Folge hat, bilden die verbleibenden Knoten einen neuen HA/Cluster mit der alten Version. Anschließend können Sie auf den nicht mehr funktionierenden Knoten wieder die alte Version installieren oder auf das nächste Update warten.
Preferred Master: (bevorzugter Master) Hier können Sie einen designierten Master-Knoten bestimmen, indem Sie einen Knoten von der Auswahlliste wählen. Im Fall einer Übernahme wird der gewählte Knoten nicht im Slave-Modus bleiben, nachdem die Verbindung wiederhergestellt ist, sondern in den Master-Modus zurückkehren.
Backup-Schnittstelle: Um zu verhindern, dass sowohl Master als auch Slave gleichzeitig
Master werden (Master-Master-Situationen), beispielsweise durch ein Versagen der HA-
Synchronisierungsschnittstelle oder das Abziehen eines Netzwerkkabels, kann eine Heartbeatfähige Backup-Schnittstelle ausgewählt werden. Diese zusätzliche Heartbeat-fähige
Schnittstelle kann eine beliebige konfigurierte und aktive Ethernet-Schnittstelle sein. Wenn eine
Backup-Schnittstelle gewählt wurde, wird ein zusätzliches Heartbeat-Signal über diese
Schnittstelle in eine Richtung vom Master zum Slave gesendet, um sicherzustellen, dass die
UTM 9 Administratorhandbuch
107
4.12 Ausschalten/Neustart
4 Verwaltung
Master-Slave-Konfiguration intakt bleibt. Wenn die Master-Slave-Verbindung deaktiviert ist und die Backup-Schnittstelle aktiv wird, erhält der Administrator eine Benachrichtigung, die ihn darüber informiert, dass einer der Cluster-Knoten tot ist. Da diese Option jedoch keinen Effekt auf Slave-Systeme hat, können Sie sie unkonfiguriert lassen.
Hinweis – Wenn die HA-Synchronisierungsschnittstelle ausfällt, wird keine Konfiguration mehr synchronisiert. Die Backup-Schnittstelle verhindert lediglich Master-Master-
Situationen.
4.12 Ausschalten/Neustart
Auf dieser Registerkarte können Sie Sophos UTM manuell herunterfahren oder neu starten.
Herunterfahren: Mit dieser Aktion können Sie das System herunterfahren und alle Dienste ordnungsgemäß stoppen. Falls Sie keinen Monitor oder LCD-Display angeschlossen haben, wird das erfolgreiche Herunterfahren durch eine endlose Reihe von Pieptönen im Abstand von einer Sekunde signalisiert.
Um Sophos UTM herunterzufahren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche System jetzt herunterfahren.
2.
Bestätigen Sie den Warnhinweis.
Bestätigen Sie die Sicherheitsabfrage „System wirklich herunterfahren?“ mit OK.
Das System fährt anschließend herunter.
Abhängig von der verwendeten Hardware und Konfiguration kann dieser Prozess mehrere
Minuten dauern. Sie sollten das Gerät erst dann ausschalten, nachdem es vollständig heruntergefahren ist. Wenn Sie das Gerät vorher ausschalten, wird das System beim nächsten
Start den Zustand des Dateisystems überprüfen, was den Startvorgang erheblich verzögert.
Im schlimmsten Fall können Daten verloren gehen.
Einen erfolgreichen Systemstart signalisiert das Gerät mit fünf aufeinanderfolgenden
Pieptönen.
Neustart: Mit dieser Aktion können Sie das System neu starten. Abhängig von der verwendeten Hardware und Konfiguration kann dieser Prozess mehrere Minuten dauern.
Um Sophos UTM neu zu starten, gehen Sie folgendermaßen vor:
108
UTM 9 Administratorhandbuch
4 Verwaltung
4.12 Ausschalten/Neustart
1.
Klicken Sie auf die Schaltfläche System jetzt neu starten.
2.
Bestätigen Sie den Warnhinweis.
Bestätigen Sie die Sicherheitsabfrage „System wirklich neu starten?“ mit OK.
Das System fährt herunter und startet anschließend neu.
UTM 9 Administratorhandbuch
109
5 Definitionen & Benutzer
In diesem Kapitel wird die Konfiguration von Netzwerk-, Dienst- und Zeitraumdefinitionen beschrieben, die von Sophos UTM verwendet werden.Die Definitionenübersicht im WebAdmin zeigt die Anzahl aller Netzwerkdefinitionen in Abhängigkeit von ihrem Typ und die Anzahl aller
Dienstdefinitionen in Abhängigkeit von ihrem Protokolltyp.
Die Seiten des Menüs Definitionen & Benutzer ermöglichen die zentrale Definition von
Netzwerken und Diensten, die dann überall in den Konfigurationsmenüs verwendet werden können. Dies erlaubt es Ihnen, überall mit einheitlichen Namen zu arbeiten, anstatt mit uneingängigen IP-Adressen, Portnummern und Netzmasken. Ein weiterer Vorteil von
Definitionen liegt darin, dass Sie individuelle Netzwerke und Dienste gruppieren und dadurch auf einmal konfigurieren können. Wenn Sie dann beispielsweise später Änderungen an den
Einstellungen dieser Gruppe vornehmen, gelten diese für alle darin enthaltenen Netzwerke und Dienste.
Zudem beschreibt dieses Kapitel die Konfiguration von Benutzerkonten, Benutzergruppen und externen Authentifizierungsservern von Sophos UTM sowie die Authentifizierung für Client-
PCs.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
5.1 Netzwerkdefinitionen
Auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen werden die Hosts, Netzwerke und Netzwerkgruppen der UTM festgelegt. Die hier angelegten Definitionen können an vielen anderen Stellen der WebAdmin-Konfigurationsmenüs verwendet werden.
5.1 Netzwerkdefinitionen
5 Definitionen & Benutzer
Tipp – Durch einen Klick auf das Infosymbol einer Netzwerkdefinition in der Liste der
Netzwerkdefinitionen können Sie alle Konfigurationsoptionen sehen, in denen diese
Netzwerkdefinition verwendet wird.
Die Netzwerktabelle enthält auch statische Netzwerke, die automatisch vom System angelegt wurden und die weder bearbeitet noch gelöscht werden können: l
Schnittstellen-Adresse: Eine Definition dieser Art wird für jede Netzwerkkarte hinzugefügt.Sie enthält die aktuelle IP-Adresse der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Address)“.
l
Schnittstellen-Broadcast-Adresse: Eine Definition dieser Art wird für jede Ethernetartige Netzwerkschnittstelle hinzugefügt. Sie enthält die aktuelle IPv4-Broadcast-
Adresse der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Broadcast)“.
l
Schnittstellen-Netzwerkadresse: Eine Definition dieser Art wird für jede Ethernetartige Netzwerkschnittstelle hinzugefügt. Sie enthält das aktuelle IPv4-Netzwerk der
Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem
Zusatz „(Network)“.
l
Internet (IPv4/IPv6): Eine Netzwerkdefinition (jeweils für IPv4 und IPv6, falls IPv6 aktiviert ist), die an diejenige Schnittstelle gebunden ist, die als Standardgateway fungiert. Die Benutzung dieser Definition sollte Ihren Konfigurationsprozess erleichtern.Wenn die Uplink-Ausgleich-Funktion aktiviert ist, ist die Definition Internet an die Uplink-Schnittstellen gebunden.
Um eine Netzwerkdefinition anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite Netzwerkdefinitionen auf Neue Netzwerkdefinition.
Das Dialogfenster Neue Netzwerkdefinition erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
(Abhängig von dem gewählten Definitionstyp werden weitere Parameter der
Netzwerkdefinition angezeigt.)
Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein.
Typ: Wählen Sie den Typ der Netzwerkdefinition. Die folgenden Typen sind verfügbar:
112
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.1 Netzwerkdefinitionen l
Host: Einzelne IP-Adresse.Geben Sie die folgenden Informationen an: l
IPv4/IPv6-Adresse: Die IP-Adresse des Hosts (Sie können keine IP-
Adresse einer bereits konfigurierten Schnittstelle eingeben).
l
DNS-Host: Ein DNS-Hostname, der dynamisch vom System aufgelöst wird, um eine IP-Adresse zu erhalten. DNS-Hosts sind nützlich, wenn es darum geht, mit dynamischen IP-Endpunkten zu arbeiten.Das System löst diese Definitionen periodisch immer wieder neu auf, wobei es sich an den TTL-Werten (Time To
Live) orientiert, und aktualisiert die Definitionen bei Bedarf mit den neuen IP-
Adressen.Geben Sie die folgenden Informationen an: l
Hostname: Der Name des Hosts, der aufgelöst werden soll.
l
DNS-Gruppe: Eine DNS-Gruppe ähnelt einem DNS-Host, aber sie kann mehrere RRs (Resource Records, dt. Ressourcen-Einträge) für einen einzelnen
Host im DNS verarbeiten.Eine DNS-Gruppe ist nützlich zur Definition von
Firewallregeln und Ausnahmen in transparenten Proxies.
l
Netzwerk: Ein Standard-IP-Netzwerk, das aus einer Netzwerkadresse und einer
Netzmaske besteht.Geben Sie die folgenden Informationen an: l
IPv4/IPv6-Adresse: Die Netzwerkadresse des Netzwerks (Sie können keine IP-Adresse einer bereits konfigurierten Schnittstelle eingeben).
l
Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das
Subnetzwerk spezifizieren und wie viele Bits Platz für Hostadressen bieten.
l
Multicast-Gruppe: Ein Netzwerk, das einen festgelegten Multicast-
Netzwerkbereich umfasst.
l
IPv4-Adresse: Die Netzwerkadresse des Multicast-Netzwerks, die im
Bereich 224.0.0.0 bis 239.255.255.255 liegen muss.
l
Netzmaske: Die Bitmaske, die angibt, wie viele Bits eines Oktetts das
Subnetzwerk spezifizieren und wie viele Bits Platz für Hostadressen bieten.
l
Netzwerkgruppe: Eine Art Behälter, der eine Liste anderer Netzwerkdefinitionen enthält. Sie können ihn verwenden, um Netzwerke und Hosts zusammenzufassen, damit Ihre Konfiguration übersichtlicher wird.Sobald Sie die
Netzwerkgruppe ausgewählt haben, erscheint das Feld Mitglieder, über das Sie die Gruppenmitglieder hinzufügen können.
l
Verfügbarkeitsgruppe: Eine Gruppe aus Hosts und/oder DNS-Hosts, die nach
Priorität angeordnet sind. Die Verfügbarkeit aller Hosts wird standardmäßig mit
ICMP-Pings, die im Abstand von 60 Sekunden erfolgen, überprüft. Der
(verfügbare) Host mit der höchsten Priorität wird für die Konfiguration
UTM 9 Administratorhandbuch
113
5.1 Netzwerkdefinitionen
5 Definitionen & Benutzer
verwendet.Sobald Sie die Verfügbarkeitsgruppe ausgewählt haben, erscheint das Feld Mitglieder, über das Sie die Gruppenmitglieder hinzufügen können.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Die angezeigten Optionen hängen vom oben ausgewählten Typ ab.
Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstelle gebunden werden, sodass Verbindungen zu dieser Definition nur über diese
Schnittstelle zustande kommen.
Überwachungstyp (nur beim Typ Verfügbarkeitsgruppe): Wählen Sie das
Dienstprotokoll für die Verfügbarkeitsprüfung.
Port (nur beim Überwachungstyp TCP oder UDP): Nummer des Ports, an den die Anfrage gesendet wird.
URL (optional, nur beim Überwachungstyp HTTP oder HTTPS): Angefragte
URL. Wenn keine angegeben ist, wird das Wurzelverzeichnis verwendet.
Intervall (nur beim Typ Verfügbarkeitsgruppe): Geben Sie eine Zeitspanne in
Sekunden an, in der die Hosts überprüft werden.
Zeitüberschreitung: Geben Sie die maximale Zeitspanne, in der die Hosts eine
Antwort senden können, in Sekunden ein. Wenn ein Host während dieser Zeit nicht antwortet, wird er als tot betrachtet.
Immer aufgelöst: Diese Option ist vorausgewählt, sodass für den Fall, dass kein
Host erreichbar ist, die Gruppe zu jenem Host aufgelöst wird, der zuletzt verfügbar war.Andernfalls, wenn alle Hosts tot sind, wird die Gruppe auf nicht aufgelöst gesetzt.
4.
Klicken Sie auf Speichern.
Die neue Definition wird in der Liste Netzwerke angezeigt.
Um eine Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
114
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.2 Dienstdefinitionen
5.2 Dienstdefinitionen
Auf der Seite Definitionen & Benutzer > Dienstdefinitionen werden die Dienste und die
Dienstgruppen zentral definiert und verwaltet.Dienste sind Definitionen bestimmter Arten von
Netzwerkverkehr und bestehen aus einem Protokoll, z. B. TCP oder UDP, und protokollbezogenen Optionen wie Portnummern.Mittels der Dienste können Sie bestimmen, welche Arten von Netzwerkverkehr vom Gateway angenommen oder abgelehnt werden.
Tipp – Durch einen Klick auf das Infosymbol einer Dienstdefinition in der Liste der
Dienstdefinitionen können Sie alle Konfigurationsoptionen sehen, in denen diese
Dienstdefinition verwendet wird.
Um eine Dienstdefinition anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite Dienstdefinitionen auf Neue Dienstdefinition.
Das Dialogfenster Neue Dienstdefinition erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
(Abhängig von dem gewählten Definitionstyp werden weitere Parameter der
Netzwerkdefinition angezeigt.)
Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein.
Definitionstyp: Wählen Sie den Diensttyp aus. Die folgenden Typen sind verfügbar: l
TCP: TCP-Verbindungen (Transmission Control Protocol) verwenden
Portnummern von 0 bis 65535. Verlorene Pakete werden von TCP erkannt und erneut angefragt. Bei einer TCP-Verbindung informiert der Empfänger den
Absender darüber, wenn er ein Paket erfolgreich erhalten hat
(verbindungsbezogenes Protokoll). TCP-Sitzungen beginnen mit einem 3-Wege-
Handshake, und Verbindungen werden am Ende der Sitzung geschlossen.Geben
Sie die folgenden Informationen an: l
Zielport: Geben Sie den Zielport ein, entweder als einzelne Portnummer
(z. B. 80) oder als Bereich (z. B. 1024:64000) mit einem Doppelpunkt als
Trennzeichen.
l
Quellport: Geben Sie den Quellport ein, entweder als einzelne
Portnummer (z. B. 80) oder als Bereich (z. B. 1024:64000) mit einem
Doppelpunkt als Trennzeichen.
UTM 9 Administratorhandbuch
115
5.2 Dienstdefinitionen
5 Definitionen & Benutzer
l
UDP: Das UDP-Protokoll (User Datagram Protocol) verwendet Portnummern zwischen 0 und 65535 und ist ein zustandsloses (engl. stateless) Protokoll. Da
UDP sich keine Zustände merkt, ist es schneller als TCP, vor allem wenn es sich um das Versenden kleiner Datenmengen handelt. Diese Zustandslosigkeit bedeutet aber auch, dass UDP nicht erkennen kann, wenn Pakete verloren gehen oder verworfen (engl. drop) werden. Der Empfänger-Computer teilt dem
Absender nicht mit, wenn er ein Datenpaket erhält.Wenn Sie UDP gewählt haben, können Sie die gleichen Konfigurationsoptionen angeben wie bei TCP.
l
TCP/UDP: Hierbei handelt es sich um eine Kombination von TCP und UDP, die sich besonders für Anwendungsprotokolle eignet, die beide Unterprotokolle verwenden, z. B. DNS.Wenn Sie TCP/UDP gewählt haben, können Sie die gleichen Konfigurationsoptionen angeben wie bei TCP oder UDP.
l
ICMP/ICMPv6: Das ICMP-Protokoll (Internet Control Message Protocol) wird, kurz gesagt, dazu verwendet, Fehlermeldungen zu versenden, die angeben, dass z. B. ein angeforderter Dienst nicht verfügbar ist oder dass ein Host oder Router nicht erreicht werden kann.Nachdem Sie ICMP oder ICMPv6 gewählt haben, geben Sie den ICMP-Typ/-Code an. Beachten Sie, dass die IPv4-Firewallregeln nicht für ICMPv6- und IPv6-Firewallregeln nicht für ICMP-Verkehr gelten.
l
IP: Das Internet-Protokoll (Internet Protocol, IP) ist ein Netzwerk- und
Transportprotokoll für den Datenaustausch über das Internet.Nachdem Sie IP, gewählt haben, geben Sie die Nummer desjenigen Protokolls an, das in IP eingebettet werden soll, z. B. 121 (steht für das SMP-Protokoll).
l
ESP: Das ESP-Protokoll (Encapsulating Security Payload) ist Teil des IPSec-
Tunnelprotokoll-Pakets, welches Verschlüsselungsdienste für Daten bietet, die
über VPN-Tunnel gesendet werden.Nach der Auswahl von ESP oder AH geben
Sie den Sicherheitsparameterindex (SPI) an, der in Verbindung mit der IP-
Adresse die Sicherheitsparameter identifiziert. Sie können entweder einen Wert zwischen 256 und 4.294.967.296 angeben, oder die Voreinstellung des Bereichs
256 bis 4.294.967.296 (Doppelpunkt als Trennzeichen) beibehalten, insbesondere wenn Sie automatischen Schlüsselaustausch für IPsec verwenden.Beachten Sie, dass die Zahlen 1–255 von der IANA (Internet
Assigned Numbers Authority) reserviert sind.
l
AH: Die Authentifizierungskopfzeile (Authentication Header, AH) ist Teil der
IPsec-Tunnelprotokoll-Lösung und befindet sich zwischen der IP-Kopfzeile (engl.
header) und den Datagramm-Nutzdaten (engl. payload), um die Integrität der
Daten zu verwalten – jedoch nicht deren Geheimhaltung.
116
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.3 Zeitraumdefinitionen l
Group (Gruppe): Hierbei handelt es sich um eine Art Behälter, der eine Liste anderer Dienstdefinitionen enthält. Sie können ihn verwenden, um
Dienstdefinitionen zusammenzufassen, damit Ihre Konfiguration übersichtlicher wird.Nachdem Sie die Gruppe gewählt haben, erscheint das Feld Mitglieder, wo
Sie Gruppenmitglieder hinzufügen können (d. h. andere Dienstdefinitionen).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Definition wird in der Liste Dienstereignisse angezeigt.
Um eine Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Note – Der Typ der Definition kann im Nachhinein nicht mehr geändert werden. Wenn Sie den Typ der Definition ändern wollen, müssen Sie die Dienstdefinition löschen und eine neue mit den gewünschten Einstellungen anlegen.
5.3 Zeitraumdefinitionen
Auf der Seite Definitionen & Benutzer > Zeitraumdefinitionen werden einzelne oder wiederkehrende Zeitfenster definiert, die dazu verwendet werden können, Firewallregeln oder
Inhaltsfilterprofile auf bestimmte Zeiträume zu beschränken.
Tipp – Durch einen Klick auf das Infosymbol einer Zeitraumdefinition in der Liste
Zeitraumdefinitionen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese
Zeitraumdefinition verwendet wird.
Um eine Zeitraumdefinition anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Zeitraumdefinitionen auf Neue
Zeitraumdefinition.
Das Dialogfenster Neue Zeitraumdefinition erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Zeitraumdefinition ein.
Typ: Wählen Sie den Typ des Zeitraums aus. Die folgenden Typen sind verfügbar:
UTM 9 Administratorhandbuch
117
5.4 Benutzer & Gruppen
5 Definitionen & Benutzer
l
Wiederkehrendes Ereignis: Diese Ereignisse kehren periodisch wieder. Sie können Startzeit, Endzeit und die Wochentage angeben, für die diese
Zeitraumdefinition gelten soll. Ein Start- oder Enddatum kann für diesen Typ nicht ausgewählt werden.
l
Einzelereignis: Diese Ereignisse finden nur einmal statt. Sie können sowohl
Startdatum und -zeit als auch Enddatum und -zeit auswählen.Da diese
Definitionen keine wiederkehrenden Ereignisse sind, können Sie die Option
Wochentage für diesen Typ nicht auswählen.
l
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige
Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Zeitraumdefinition wird in der Liste Zeitraumdefinitionen angezeigt.
Um eine Zeitraumdefinition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Hinweis – Sie können nur Zeitraumdefinitionen löschen, die nicht in einer Firewallregel oder in einer
verwendet werden.
5.4 Benutzer & Gruppen
Über das Menü Definitionen & Benutzer > Benutzer & Gruppen können Sie Benutzer und
Gruppen für den Zugriff auf den WebAdmin sowie den Fernzugriff, Zugriff auf das
Benutzerportal und die E-Mail-Nutzung erstellen.
5.4.1 Benutzer
Auf der Registerkarte Definitionen & Benutzer > Benutzer & Gruppen > Benutzer können Sie
Benutzerkonten zum Gateway hinzufügen.In der Werkseinstellung ist in Sophos UTM ein
Administrator namens admin eingestellt.
Tipp – Durch einen Klick auf das Infosymbol einer Benutzerdefinition in der Liste Benutzer werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Benutzerdefinition verwendet wird.
118
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.4 Benutzer & Gruppen
Wenn Sie eine E-Mail-Adresse im Dialogfenster Neuer Benutzer angeben, wird parallel zum
Anlegen der Benutzerdefinition ein X.509-Zertifikat generiert. Dabei dient die E-Mail-Adresse als VPN-ID.Wenn jedoch keine E-Mail-Adresse festgelegt wird, dient für die Zertifikaterstellung der Distinguished Name (DN) des Benutzers als VPN-ID. Wenn sich ein Benutzer über eine
Backend-Gruppe wie z. B. eDirectory authentifiziert, wird dadurch ein Zertifikat angelegt, selbst wenn keine E-Mail-Adresse in der entsprechenden Backend-Benutzerdefinition angegeben ist.
Da die VPN-ID jedes Zertifikats einzigartig sein muss, muss jede Benutzerdefinition eine unterschiedliche und einzigartige E-Mail-Adresse besitzen.Das Anlegen einer
Benutzerdefinition mit einer bereits vorhandenen E-Mail-Adresse ist nicht möglich.Diese
Zertifikate können für verschiedene
-Methoden verwendet werden, die von Sophos
UTM unterstützt werden, mit Ausnahme von PPTP, L2TP über IPsec unter Verwendung von
PSK und über natives IPsec unter Verwendung von RSA oder PSK.
Um ein Benutzerkonto hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Benutzer auf Neuer Benutzer.
Das Dialogfenster Neuen Benutzer erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Benutzername: Tragen Sie einen aussagekräftigen Namen für diesen Benutzer ein (z.
B. Max Mustermann).
Realname: Tragen Sie den Realnamen des Benutzers ein (z. B. Max Mustermann).
E-Mail-Adresse: Tragen Sie die primäre E-Mail-Adresse des Benutzers ein.
Zusätzliche E-Mail-Adressen (optional): Geben Sie zusätzliche E-Mail-Adressen dieses Benutzers ein.Alle als Spam eingestuften E-Mails an diese Adressen werden in einem individuellen Quarantänebericht gesondert aufgeführt. Dieser Quarantänebericht wird an die primäre E-Mail-Adresse geschickt.
Authentifizierung: Wählen Sie die Authentifizierungsmethode. Die folgenden
Methoden sind verfügbar: l
Lokal: Wählen Sie diese Methode, um den Benutzer lokal im Gateway zu authentifizieren.
l
Entfernt: Der Benutzer authentifiziert sich über eine externe
Authentifizierungsmethode, die von Sophos UTM unterstützt wird.Weitere
Informationen finden Sie unter Definitionen & Benutzer >
Authentifizierungsserver.
UTM 9 Administratorhandbuch
119
5.4 Benutzer & Gruppen
5 Definitionen & Benutzer
l
Keine: Wählen Sie diese Methode, um zu verhindern, dass der Benutzer sich authentifizieren kann.Dies ist beispielsweise nützlich, um einen Benutzer vorübergehend zu deaktivieren, ohne die Benutzerdefinition vollständig löschen zu müssen.
Kennwort: Tragen Sie das Kennwort für den Benutzer ein (ein zweites Mal zur
Bestätigung).+Nur verfügbar, wenn Sie als Authentifizierungsmethode Lokal gewählt haben. Beachten Sie, dass die einfache Benutzerauthentifizierung keine Umlaute unterstützt.
Backend-Sync: Einige Grundeinstellungen, wie der echte Name und die E-Mail-
Adresse des Benutzers werden automatisch durch Synchronisation mit dem externen
Backend-Authentifizierungsserver aktualisiert (diese Option ist nur verfügbar, wenn Sie als Authentifizierungsmethode Entfernt gewählt haben).
Hinweis – Momentan können Daten nur mit Active-Directory- und eDirectory-Servern synchronisiert werden.
X.509-Zertifikat: Sobald die Benutzerdefinition angelegt wurde, können Sie diesem
Benutzer ein X.509-Zertifikat zuweisen, wenn Sie die Benutzerdefinition bearbeiten.
Standardmäßig handelt es sich dabei um jenes Zertifikat, das beim Anlegen der
Benutzerdefinition erzeugt wurde.Sie können jedoch auch ein Zertifikat eines
Drittanbieters zuweisen, das Sie auf der Registerkarte Fernzugriff > Zertifikatverwaltung
>
hochladen können.
Statische Fernzugriffs-IP verwenden (optional): Wählen Sie diese Option aus, wenn
Sie einem Benutzer, der Fernzugriff verwendet, eine statische IP-Adresse anstelle einer dynamischen IP-Adresse aus einem IP-Adressenpool zuweisen möchten. Für IPsec-
Benutzer hinter einem NAT-Router ist es beispielsweise zwingend erforderlich, eine statische IP-Adresse zu verwenden.
Hinweis – Die statische IP-Adresszuweisung kann nur für den Fernzugriff via PPTP,
L2TP und IPsec genutzt werden.Sie kann jedoch nicht für den Fernzugriff via SSL genutzt werden.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
120
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.4 Benutzer & Gruppen
3.
Nehmen Sie optional zusätzliche Einstellungen vor.
Benutzer können ihre eigene Positiv- und Negativliste mit E-Mail-Adressen erstellen und verwalten (siehe Kapitel
Benutzerportal ). Sie können diese Listen hier anzeigen und bei
Bedarf ändern.
4.
Klicken Sie auf Speichern.
Das neue Benutzerkonto wird anschließend in der Liste Benutzer angezeigt.
Wenn Sie diesem Benutzer reguläre Administrationsrechte mit Zugriff auf die webbasierte
Administrationsschnittstelle WebAdmin geben wollen, fügen Sie den Benutzer zur Gruppe
SuperAdmins hinzu, die auf der Registerkarte Definitionen & Benutzer > Benutzer & Gruppen >
konfiguriert wird.
Hinweis – Wenn Sie ein Benutzerobjekt gelöscht haben und ein Benutzerkonto mit demselben Namen anlegen wollen, stellen Sie sicher, dass Sie auch das zugehörige Zertifikat auf der Registerkarte Fernzugriff > Zertifikatverwaltung >
gelöscht haben.
Andernfalls erhalten Sie eine Fehlermeldung, dass ein Benutzerkonto mit diesem Namen bereits existiert.
Sie können Zertifikate für den Fernzugriff und/oder Konfigurationen von Benutzern herunterladen, für die eine Art des Fernzugriffs aktiviert wurde.Aktivieren Sie dazu das
Auswahlfeld vor den jeweiligen Benutzern und wählen Sie die gewünschte Option im
Tabellenkopf aus der Auswahlliste Aktionen aus. Benutzer mit Fernzugriff können diese
Dateien auch selbst herunterladen, sofern Sie Zugriff auf das Benutzerportal haben.
5.4.2 Gruppen
Auf der Seite Definitionen & Benutzer > Benutzer & Gruppen > Gruppen können Sie
Benutzergruppen zum Gateway hinzufügen.In der Werkseinstellung ist in Sophos UTM die
Benutzergruppe SuperAdmins vorhanden.Wenn Sie einem Benutzer administrative Rechte geben wollen, d. h. Zugriffsrechte auf den WebAdmin, fügen Sie ihn der Gruppe SuperAdmins hinzu; diese Gruppe sollte nicht gelöscht werden.
Tipp – Durch einen Klick auf eine Gruppendefinition in der Liste Gruppen werden Ihnen alle
Konfigurationsoptionen angezeigt, in denen diese Gruppendefinition verwendet wird.
Um eine Benutzergruppe hinzufügen, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
121
5.4 Benutzer & Gruppen
5 Definitionen & Benutzer
1.
Klicken Sie auf der Registerkarte Gruppen auf Neue Gruppen.
Das Dialogfenster Neue Gruppe erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Gruppenname: Geben Sie einen aussagekräftigen Namen für diese Gruppe ein. Der
Gruppenname muss nicht mit dem Gruppennamen Ihrer Backend-Gruppen
übereinstimmen.
Gruppentyp: Wählen Sie den Gruppentyp aus. Sie können zwischen einer Gruppe mit statischen Mitgliedern und zwei Gruppen mit dynamischer Mitgliedschaft wählen.
l
Statische Mitglieder: Wählen Sie die lokalen Benutzer aus, die Mitglied in dieser
Gruppe werden sollen.
l
IPsec-X509-DN-Maske: Benutzer werden dynamisch zu einer IPsec-X509-DN-
Gruppendefinition hinzugefügt, sobald sie sich erfolgreich über eine IPsec-
Verbindung am Gateway angemeldet haben und spezifische Parameter ihres
Distinguished Name mit dem Wert im Feld DN-Maske übereinstimmen.
l
Backend-Mitgliedschaft: Benutzer werden dynamisch zur einer
Gruppendefinition hinzugefügt, wenn sie sich erfolgreich an einem der unterstützten Authentifizierungsdienste angemeldet haben.Um fortzufahren, wählen Sie die entsprechende Backend-Authentifizierungsmethode aus: l
Active Directory: Eine Active-Directory-Benutzergruppe des Gateway stellt die Gruppenmitgliedschaft für Mitglieder von Active-Directory-Server-
Benutzergruppen bereit, die in einem Windows-Netzwerk konfiguriert sind.
Geben Sie den Namen der Active-Directory-Server-Gruppen ein, denen dieser Benutzer angehört.Weitere Informationen finden Sie unter
Definitionen & Benutzer > Authentifizierungsserver >
l
eDirectory: Eine eDirectory-Benutzergruppe des Gateway stellt die
Gruppenmitgliedschaft für Mitglieder von eDirectory-Benutzergruppen bereit, die in einem eDirectory-Netzwerk konfiguriert sind. Geben Sie den
Namen der eDirectory-Gruppen ein, denen dieser Benutzer angehört.Weitere Informationen finden Sie unter Definitionen & Benutzer >
Authentifizierungsserver >
l
RADIUS: Benutzer werden automatisch zu einer RADIUS-Backend-
Gruppe hinzugefügt, wenn sie sich erfolgreich über die RADIUS-
Authentifizierungsmethode authentifiziert haben.
122
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.4 Benutzer & Gruppen l
TACACS+: Benutzer werden automatisch zu einer TACACS+-Backend-
Gruppe hinzugefügt, wenn sie sich erfolgreich über die TACACS+-
Authentifizierungsmethode authentifiziert haben.
l
LDAP: Benutzer werden automatisch zu einer LDAP-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die LDAP-
Authentifizierungsmethode authentifiziert haben.
Auf Backend-Gruppenmitglieder beschränken (optional): In Netzwerken mit einem
X.500-Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen auf Ihrem
Backend-Server beschränkt werden, wenn Sie nicht alle Benutzer des gewählten
Backend-Servers in diese Gruppendefinition aufnehmen wollen.Wenn Sie diese Option wählen, müssen die hier angegebenen Gruppen mit einem Allgemeinen Namen
(Common Name) übereinstimmen, der auf Ihrem Backend-Server konfiguriert ist.Beachten Sie, dass Sie das CN=-Präfix weglassen können, wenn Sie diese Option für
Active Directory aktivieren. Wenn Sie diese Option für ein eDirectory-Backend aktivieren, können Sie den eDirectory-Browser verwenden, um bequem die eDirectory-Gruppen auszuwählen, die in diese Gruppendefinition aufgenommen werden sollen.Falls Sie den eDirectory-Browser nicht verwenden, stellen Sie jedoch sicher, dass das CN=-Präfix vorhanden ist, wenn Sie eDirectory-Container eingeben.
Ein LDAP-Attribut überprüfen (optional): In Netzwerken mit einem LDAP-
Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen in der Datenbank begrenzt werden, die ein bestimmtes LDAP-Attribut Ihres Backend-Servers aufweisen, wenn Sie nicht alle Benutzer eines gewählten LDAP-Backend-Servers in diese
Gruppendefinition aufnehmen wollen. Dieses Attribut wird dann als LDAP-Filterkriterium verwendet.Beispiel: Sie könnten groupMembership als Attribut mit dem Wert
CN=Sales,O=Beispiel angeben. Dadurch würden alle Benutzer aus der
Vertriebsabteilung Ihrer Firma zur Gruppendefinition hinzugefügt werden.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Benutzergruppe wird anschließend in der Liste Gruppen angezeigt.
Um eine Gruppe zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
123
5.5 Client-Authentifizierung
5 Definitionen & Benutzer
Bild 17 Gruppen: eDirectory-Browser vonSophos UTM
5.5 Client-Authentifizierung
Sophosstellt einen Authentifizierungsclient für Windows zur Verfügung, sodass sich die
Benutzer direkt bei UTM authentifizieren können. Dies ermöglicht eine benutzerbasierte
Kontrolle über das Surfen im Internet sowie den Netzwerkverkehr, da z. B. auf
Benutzernetzwerken oder Gruppennetzwerken basierende Firewallregeln erstellt werden können. Zudem werden, falls möglich, IP-Adressen, Hostnamen und ähnliche Elemente durch
Benutzernamen ersetzt, sodass Berichtsdaten und Objekte besser verständlich sind.
Benutzer, die Client-Authentifizierung nutzen möchten oder sollen, müssen den Sophos
Authentication Agent (SAA) auf ihrem Client-PC installieren. Der SAA kann von dieser
WebAdmin-Seite oder im Benutzerportal heruntergeladen werden. Beachten Sie, dass der
Download-Link im Benutzerportal nur für Benutzer verfügbar ist, die Teil der Benutzergruppe für die Client-Authentifizierungskonfiguration sind.
Um Client-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie auf der Registerkarte Client-Authentifizierung die Client-
Authentifizierung.
124
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Client-Authentifizierungsoptionen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Netzwerke aus.
Wählen Sie die Netzwerke aus, die Client-Authentifizierung verwenden sollen.Beachten
Sie, dass diese Netzwerke direkt mit UTM verbunden sein müssen, da die Client-
Authentifizierung andernfalls nicht funktioniert.
3.
Wählen Sie die zugelassenen Benutzer und Gruppen aus.
Wählen Sie im Feld Zugelassene Benutzer und Gruppen einzelne Benutzer und
Gruppen aus oder fügen Sie diese hinzu. Sie können auch eine bereits bestehende
Authentifizierungsgruppe, z. B. eine Active-Directory-Benutzergruppe, auswählen.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Client-Authentifizierung ist nun für die ausgewählten Netzwerke verfügbar.
Client-Authentifizierungsprogramm
Wenn Client-Authentifizierung aktiviert ist, können Sie den Sophos Authentication Agent (SAA) hier herunterladen. Sie können den SAA manuell bereitstellen oder die Benutzer laden den
Client direkt vom Benutzerportal herunter.
Der SAA kann als Authentifizierungsmethode für den Webfilter genutzt werden.Weitere
Informationen hierzu finden Sie im Kapitel Web Protection > Webfilter > Allgemein.
5.6 Authentifizierungsserver
Auf der Seite Definitionen & Benutzer > Authentifizierungsserver können Datenbanken und
Backend-Server externer Dienste zur Benutzerauthentifizierung verwaltet werden.Externe
Benutzerauthentifizierung ermöglicht es Ihnen, Benutzerkonten gegen vorhandene
Benutzerdatenbanken oder Verzeichnisdienste zu validieren, die sich auf anderen Servern in
Ihrem Netzwerk befinden. Momentan werden folgende Authentifizierungsdienste unterstützt: l
Novell eDirectory l
Microsoft Active Directory l
RADIUS
UTM 9 Administratorhandbuch
125
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
l
TACACS+ l
LDAP
5.6.1 Allgemeine Einstellungen
Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Allgemeine
Einstellungen können Sie die grundlegenden Einstellungen für die Authentifizierung vornehmen. Die folgenden Optionen sind möglich:
Benutzer automatisch erstellen: Wenn diese Option ausgewählt ist, legt Sophos UTM automatisch ein Benutzerobjekt an, sobald sich ein unbekannter Benutzer einer konfigurierten
Backend-Gruppe erfolgreich über einen der angebundenen Authentifizierungsdienste anmeldet, der von Sophos UTM unterstützt wird.Beispiel: Wenn Sie eine RADIUS-Backend-
Gruppe konfigurieren und diese Gruppe im Feld Zugelassene Auditoren auf der Registerkarte
Verwaltung > WebAdmin-Einstellungen >
ausgewählt haben, erstellt Sophos
UTM automatisch eine Benutzerdefinition für RADIUS-Benutzer, die sich erfolgreich am
WebAdmin angemeldet haben.
l
Automatische Benutzererstellung für Funktionen: Für bestimmte Funktionen kann eine automatische Benutzererstellung aktiviert oder deaktiviert werden. Die
Benutzer werden dabei nur für die ausgewählten Funktionen angelegt.Diese Option ist nicht verfügbar – und automatische Benutzererstellung ist für alle Funktionen deaktiviert
– wenn die Option Benutzer automatisch erstellen nicht ausgewählt ist.
Hinweis – Diese Funktion ist nicht möglich mit Active Directory Single Sign-On (SSO).
Diese Benutzerobjekte werden auch benötigt, um Zugang zum
von Sophos
UTM zu gewähren.Darüber hinaus wird für alle Benutzerobjekte automatisch ein SSL-
Zertifikat erzeugt.Beachten Sie jedoch, dass die automatische Benutzererstellung fehlschlägt, wenn es zu einem E-Mail-Adressenkonflikt kommt, da die zu erstellende Benutzerdefinition keine E-Mail-Adresse besitzen darf, die auf dem System bereits vorhanden ist.Alle E-Mail-
Adressen müssen innerhalb des Systems einzigartig sein, da sie zur Identifizierung für die SSL-
Zertifikate dienen.
Wichtiger Hinweis – Authentifizierung (das Herausfinden, wer ein Benutzer ist) und
Autorisierung (das Herausfinden, was ein Benutzer darf) für einen Benutzer, dessen
Benutzerobjekt automatisch erstellt wurde, geschieht immer auf dem entfernten Backend-
126
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver
Server bzw. Verzeichnisdienst.Aus diesem Grund sind automatisch erzeugte
Benutzerobjekte in Sophos UTM nutzlos, wenn der entsprechende Backend-Server nicht erreichbar ist oder das Benutzerobjekt auf der entfernten Maschine gelöscht wurde.
Beachten Sie auch, dass Sophos UTM Benutzerauthentifizierungsdaten, die es von einem entfernten Authentifizierungsserver geholt hat, für 300 Sekunden zwischenspeichert.
Ausgenommen hiervon ist Active Directory Single Sign-On (SSO). Deshalb werden sich
Änderungen an den entfernten Benutzereinstellungen erst auswirken, wenn der
Speicherzeitraum abgelaufen ist.
Authe ntifizie r ungs-Zwische nspe iche r
Jedes Mal, wenn Sophos UTM eine Benutzeranfrage von einem noch unbekannten Benutzer erreicht, z. B. http, und Authentifizierung erforderlich ist, schreibt die Sophos User
Authentication (SUA) einen Eintrag in den Authentifizierungs-Zwischenspeicher.Mit der Zeit kann es in Umgebungen mit häufig wechselnden Benutzern sinnvoll sein, den
Zwischenspeicher gelegentlich zu leeren. Eine Leerung kann auch angebracht sein, wenn Sie für alle Benutzer eine sofortige neue Authentifizierung erzwingen wollen.Verwenden Sie die
Schaltfläche Auth.-Zwischenspeicher leeren, um den Authentifizierungs-Zwischenspeicher zu leeren.
Eine Authentifizierung ist 300 Sekunden lang gültig. In dieser Zeit werden neuerliche
Authentifizierungsanfragen desselben Benutzers direkt im Zwischenspeicher abgefragt. Diese
Methode entlastet Backend-Authentifizierungsdienste wie eDirectory.
Hinweis – Das Leeren des Zwischenspeichers hat keine Auswirkung auf augenblicklich entfernt angemeldete Benutzer.
Live -Pr otokoll
Live-Protokoll öffnen: Durch einen Klick auf die Schaltfläche wird das Protokoll der Sophos
User Authentication (SUA) in einem neuen Fenster angezeigt.
5.6.2 Server
Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Server können Sie einen oder mehrere Authentifizierungsserver erstellen, u. a.
,
und
.
UTM 9 Administratorhandbuch
127
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
5.6.2.1 eDirectory
Novell eDirectory ist ein X.500-kompatibler Verzeichnisdienst zur zentralen Verwaltung von
Zugriffsrechten auf Ressourcen auf mehreren Servern und Hosts innerhalb eines bestimmten
Netzwerks. eDirectory ist eine hierarchische, objektorientierte Datenbank, die alle Bestandteile einer Organisation in einer logischen Baumstruktur darstellt. Diese Bestandteile können
Menschen, Server, Workstations, Anwendungen, Drucker, Dienste, Gruppen usw. sein.
Um eDirectory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Backend: Wählen Sie eDirectory als Backend-Verzeichnisdienst.
Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.
Server: Wählen Sie einen eDirectory-Server (oder fügen Sie einen hinzu).
SSL: Wählen Sie diese Option, um SSL-gesicherten Datentransfer zu aktivieren.Der
Port ändert sich dann von 389 (LDAP) auf 636 (ldaps = LDAP over SSL).
Port: Wählen Sie den Port des eDirectory-Servers.Standardmäßig ist das Port 389.
Bind-DN: Der Distinguished Name (DN) des Benutzers, mit dem dieser am Server angemeldet werden soll. Dieser Benutzer wird benötigt, wenn anonyme Anfragen an den eDirectory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer genügend
Privilegien besitzen muss, um alle relevanten Informationen zur Benutzerdefinition vom eDirectory-Server erhalten zu können, damit er Benutzer authentifizieren kann.eDirectory-Benutzer, -Gruppen und -Container können mit dem vollständigen
Distinguished Name in LDAP-Notation und Kommas als Trennzeichen angegeben werden (z. B. CN=administrator,DC=intranet,DC=beispiel,DC=de).
Kennwort: Geben Sie das Kennwort für den Bind-Benutzer ein (ein zweites Mal zur
Bestätigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-
Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die
128
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in dem die Benutzer eingefügt sind, die authentifiziert werden sollen. Beachten Sie, dass der BaseDN über den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert werden muss, wobei Kommata als Trennzeichen verwendet werden müssen (z. B.
O=Beispiel,OU=RnD
). Der BaseDN kann leer sein. In diesem Fall wird der BaseDN automatisch aus dem Verzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.
Kennwort: Geben Sie das Kennwort des Testbenutzers ein.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um den
Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle
Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.
3.
Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
5.6.2.2 Active Directory
Microsoft Active Directory (AD) ist ein Verzeichnisdienst und eine zentrale Komponente der
Windows 2000/2003 Server. Es speichert Informationen aus einem breiten Spektrum von
Netzwerkressourcen, einschließlich Benutzer, Gruppen, Computer, Drucker, Anwendungen,
Dienste und jede Art von benutzerdefinierten Objekten. Als solches ist es ein Mittel, um diese
Ressourcen zentral zu organisieren, zu verwalten und den Zugriff darauf zu kontrollieren.
Die Active-Directory-Authentifizierungsmethode ermöglicht es, Sophos UTM an einer
Windows-Domäne zu registrieren, wodurch ein Objekt für Sophos UTM auf dem primären
Domänencontroller (DC) angelegt wird.Die UTM ist dann in der Lage, Benutzer- und
Gruppeninformationen von der Domäne abzufragen.
Um Active-Directory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Backend: Wählen Sie Active Directory als Backend-Verzeichnisdienst.
UTM 9 Administratorhandbuch
129
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.
Server: Wählen Sie einen Active-Directory-Server (oder fügen Sie einen hinzu).
SSL: Wählen Sie diese Option, um SSL-gesicherten Datentransfer zu aktivieren.Der
Port ändert sich dann von 389 (LDAP) auf 636 (ldaps = LDAP over SSL).
Port: Geben Sie den Port des Active-Directory-Servers ein.Standardmäßig ist das Port
389
.
Bind-DN: Der vollständige Distinguished Name (DN) des Benutzers, mit dem dieser am
Server angemeldet werden soll in LDAP-Notation. Dieser Benutzer wird benötigt, wenn anonyme Anfragen an den Active-Directory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer genügend Privilegien besitzen muss, um alle relevanten
Informationen zur Benutzerdefinition vom eDirectory-Server erhalten zu können, damit er Benutzer authentifizieren kann – das ist eine Voraussetzung, die meistens vom
Administrator der Domäne erfüllt wird.
Jeder DN besteht aus einem oder mehreren Relative Distinguished Names (RDN). Ein
RDN setzt sich aus Attributen des Active-Directory-Benutzerobjekts zusammen und umfasst seinen Benutzernamen, den Knoten des Objekts und den höchsten DN des
Servers. Die Definition erfolgt in der LDAP-Notation. Als Trennzeichen wird das Komma verwendet.
l
Der Benutzername muss der Name des Benutzers sein, der in der Lage ist, auf das Verzeichnis zuzugreifen und folgendermaßen spezifiziert ist: CN-Bezeichner
(z. B. CN=user). Obwohl die Benutzung eines beliebten Kontos mit
Domänenberechtigungen, wie z. B. „admin“, möglich ist, wird als bessere
Methode dringend empfohlen, einen Benutzer zu wählen, der keine
Administrationsrechte besitzt, da es völlig ausreichend für diesen Benutzer ist,
Leserechte auf alle Objekte des angegebenen BaseDN zu besitzen.
l
Die Information über den Knoten, an dem sich das Benutzerobjekt befindet, muss alle Unterknoten zwischen dem Wurzelknoten und dem Benutzerobjekt umfassen und besteht gewöhnlich aus Komponenten wie sogenannten
Organisationseinheiten (engl. organizational units) und dem allgemeinen Namen
(CN, engl. common name).Organisationseinheiten (dargestellt durch ein
Verzeichnis-/Buchsymbol in der Microsoft Management-Konsole) werden durch
130
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver den OU-Bezeichner spezifiziert.Beachten Sie, dass die Reihenfolge der Knoten vom untersten zum obersten verläuft, d. h. dass spezifischere Elemente zuerst angegeben werden (z. B. OU=Management_US,OU=Management).Andererseits
werden Standardcontainer von Active Directory (dargestellt durch ein einfaches
Verzeichnis-Symbol) wie z. B. der vordefinierte Benutzer-Knoten durch den CN-
Bezeichner spezifiziert (z. B. CN=Users).
l
Der oberste DN des Servers kann aus mehreren Domänenkomponenten (engl.
domain component) bestehen, wobei jede durch den DC-Bezeichner spezifiziert wird.Beachten Sie, dass die Domänenkomponenten in der gleichen Reihenfolge angegeben werden wie der Domänenname. Beispiel: Wenn der Domänenname beispiel.de
ist, dann ist der DN-Teil DC=beispiel,DC=de.
Ein Beispiel für einen Bind-Benutzer-DN, wenn der Benutzername administrator ist und das Benutzerobjekt sich im Container Users in einer Domäne namens beispiel.de
befindet: CN=administrator,​
Bild 18 Authentifizierung: Microsoft Management-Konsole
Angenommen, Sie haben eine Organisationseinheit namens Management mit dem
Unterknoten Management_US angelegt und verschieben das Benutzerobjekt
„Administrator“ dorthin, dann ändert sich der DN wie folgt: CN=administrator,
Kennwort: Geben Sie das Kennwort für den Bind-Benutzer ein (ein zweites Mal zur
Bestätigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-
Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die
UTM 9 Administratorhandbuch
131
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in dem die Benutzer eingefügt sind, die authentifiziert werden sollen. Beachten Sie, dass der BaseDN über den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert werden muss, wobei Kommata als Trennzeichen verwendet werden müssen (z. B.
O=Beispiel,OU=RnD
). Der BaseDN kann leer sein. In diesem Fall wird der BaseDN automatisch aus dem Verzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.
Kennwort: Geben Sie das Kennwort des Testbenutzers ein.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um den
Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle
Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.
3.
Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
5.6.2.3 LDAP
LDAP steht für Lightweight Directory Access Protocol und ist ein Netzwerkprotokoll, um
Verzeichnisdienste, die auf dem X.500-Standard basieren, zu modifizieren und Anfragen zu senden.Sophos UTMbenutzt das LDAP-Protokoll, um Benutzer für einige seiner Dienste zu authentifizieren, indem mithilfe von Attributen oder Gruppenzugehörigkeiten auf dem LDAP-
Server festgestellt wird, ob Zugriff auf einen bestimmten Dienst gewährt wird oder nicht.
Um LDAP-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Backend: Wählen Sie LDAP als Backend-Verzeichnisdienst.
Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung
132
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.
Server: Wählen Sie einen LDAP-Server (oder fügen Sie einen hinzu).
SSL: Wählen Sie diese Option, um SSL-gesicherten Datentransfer zu aktivieren.Der
Port ändert sich dann von 389 (LDAP) auf 636 (ldaps = LDAP over SSL).
Port: Wählen Sie den Port des LDAP-Servers.Standardmäßig ist das Port 389.
Bind-DN: Der Distinguished Name (DN) des Benutzers, mit dem dieser am Server angemeldet werden soll. Dieser Benutzer ist zwingend. Aus Sicherheitsgründen werden anonyme Anfragen an den LDAP-Server nicht unterstützt. Beachten Sie, dass der
Benutzer genügend Privilegien besitzen muss, um alle relevanten Informationen zur
Benutzerdefinition vom LDAP-Server erhalten zu können, damit er Benutzer authentifizieren kann.LDAP-Benutzer, -Gruppen und -Container können mit dem vollständigen Distinguished Name in LDAP-Notation und Kommas als Trennzeichen angegeben werden (z. B. CN=administrator,DC=intranet,DC=beispiel,DC=de).
Kennwort: Geben Sie das Kennwort für den Bind-Benutzer ein (ein zweites Mal zur
Bestätigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-
Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzerattribut: Wählen Sie das Benutzerattribut, das als Filter für die Suche im
LDAP-Verzeichnis benutzt werden soll. Das Benutzerattribut enthält den eigentlichen
Anmeldenamen, nach dem jeder Benutzer von z. B. Fernzugriffsdiensten gefragt wird.
Folgende Benutzerattribute sind möglich: l
CN (allgemeiner Name, engl. common name) l
SN (Nachname) l
UID (Benutzer-ID)
Falls Benutzernamen in Ihrem LDAP-Verzeichnis nicht in Form dieser Attribute gespeichert werden, wählen Sie <<Angepasst>> aus der Liste aus und geben Sie Ihr benutzerdefiniertes Attribut im Feld Angepasst an. Beachten Sie, dass dieses Attribut in
Ihrem LDAP-Verzeichnis konfiguriert sein muss.
UTM 9 Administratorhandbuch
133
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in dem die Benutzer eingefügt sind, die authentifiziert werden sollen. Beachten Sie, dass der BaseDN über den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert werden muss, wobei Kommata als Trennzeichen verwendet werden müssen (z. B.
O=Beispiel,OU=RnD
). Der BaseDN kann leer sein. In diesem Fall wird der BaseDN automatisch aus dem Verzeichnis abgerufen.
Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.
Kennwort: Geben Sie das Kennwort des Testbenutzers ein.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um den
Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle
Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.
3.
Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
5.6.2.4 RADIUS
RADIUS steht für Remote Authentication Dial In User Service und ist ein weit verbreitetes
Protokoll, mit dem Netzwerkgeräte, wie z. B. Router, Informationen für die
Benutzerauthentifizierung von einem zentralen Server abfragen können. Neben den reinen
Benutzerinformationen für die Authentifizierung kann RADIUS auch technische Informationen verwalten, die von Netzwerkgeräten benutzt werden. Dazu gehören z. B. verwendete
Protokolle, IP-Adressen, Routeninformationen etc. Zusammen bilden sie ein Benutzerprofil, das in einer Datei oder Datenbank auf dem RADIUS-Server gespeichert wird.
Das RADIUS-Protokoll ist sehr flexibel und es gibt Server für die meisten Betriebssysteme.Die
RADIUS-Implementierung auf dem UTM ermöglicht es Ihnen, Zugriffsrechte basierend auf
Proxies und Benutzern zu konfigurieren. Um die RADIUS-Authentifizierung verwenden zu können, benötigen Sie einen laufenden RADIUS-Server im Netzwerk.Da Kennwörter als
Klartext (unverschlüsselt) übermittelt werden, platzieren Sie den RADIUS-Server im selben
Netzwerk wie UTM und stellen Sie sicher, dass die UTM und der Server am selben Switch hängen.
Um RADIUS-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
134
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver
1.
Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Backend: Wählen Sie RADIUS als Backend-Verzeichnisdienst.
Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.
Server: Wählen Sie einen RADIUS-Server (oder fügen Sie einen hinzu).
Port: Wählen Sie den Port des RADIUS-Servers.Standardmäßig ist das Port 1812.
Vereinbarter Schlüssel: Dieser vereinbarte Schlüssel (engl. Shared Secret) ist eine
Zeichenfolge, die als Kennwort zwischen dem RADIUS-Client und dem RADIUS-Server dient. Geben Sie den vereinbarten Schlüssel ein (ein zweites Mal zur Bestätigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-
Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.
Kennwort: Geben Sie das Kennwort des Testbenutzers ein.
NAS-Kennung: Wählen Sie die entsprechende NAS-Kennung aus der Liste. Weitere
Informationen entnehmen Sie bitte dem untenstehenden Hinweis und der Tabelle.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um den
Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle
Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.
3.
Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
Hinweis -Jeder Benutzerauthentifizierungsdienst von Sophos UTM (z. B.
oder
), der Anfragen an den RADIUS-Server stellt, sendet eine andere Kennung (NAS-Kennung, engl. NAS identifier) an den RADIUS-Server.Beispiel: Der PPTP-Dienst sendet die NAS-
UTM 9 Administratorhandbuch
135
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
Kennung pptp an den RADIUS-Server, wenn er versucht, einen Benutzer zu authentifizieren.Dadurch können die verschiedenen Dienste auf dem RADIUS-Server auseinandergehalten werden. Das kommt den Autorisierungszwecken zugute, d. h. der
Zugriffsgenehmigung für den Benutzer auf verschiedene Dienste. Unten finden Sie eine Liste der Benutzerauthentifizierungsdienste und ihrer NAS-Kennung.
Benutzerauthentifizierungsdienst NAS-Kennung
ssl SSL-VPN
PPTP pptp ipsec IPsec
L2TP über IPsec
SMTP-Proxy
Benutzerportal l2tp smtp portal webadmin WebAdmin
SOCKS-Proxy
Webfilter
Authentifizierungsclient socks http agent
Wireless Access Points
Die NAS-Kennung ist der Name des WLAN-
Netzwerks.
Tabelle 1: RADIUS NAS-Kennungen
5.6.2.5 TACACS+
TACACS+ steht für Terminal Access Controller Access Control System und ist ein proprietäres
Protokoll von Cisco Systems Inc., das detaillierte Netzwerkverkehrsinformationen liefert und administrative Kontrolle über Authentifizierungs- und Autorisierungsprozesse ermöglicht.Während RADIUS Authentifizierung und Autorisierung in einem Benutzerprofil
136
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver kombiniert, trennt TACACS+ diese Vorgänge.Ein weiterer Unterschied ist, dass TACACS+ das
TCP-Protokoll verwendet (Port 49), wohingegen RADIUS das UDP-Protokoll verwendet.
Um TACACS+-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.
Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Backend: Wählen Sie TACACS+ als Backend-Verzeichnisdienst.
Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.
Server: Wählen Sie einen TACACS+-Server (oder fügen Sie einen hinzu).
Port: Geben Sie den Port des TACACS+-Servers ein.Standardmäßig ist das Port 49.
Schlüssel: Geben Sie den Schlüssel für die Authentifizierung und die Verschlüsselung der gesamten TACACS+-Kommunikation zwischen Sophos UTM und dem TACACS+-
Server ein. Der hier eingegebene Wert des Schlüssels muss mit dem auf dem
TACACS+-Server übereinstimmen. Geben Sie den Schlüssel ein (ein zweites Mal zur
Bestätigung).
Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-
Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die
Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und
Verbindungen annimmt.
Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.
Kennwort: Geben Sie das Kennwort des Testbenutzers ein.
Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Testen, um den
Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle
Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.
3.
Klicken Sie auf Speichern.
Der Server wird in der Liste Server angezeigt.
UTM 9 Administratorhandbuch
137
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
5.6.3 Single Sign-On
Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Single Sign-On können Sie die Single-Sign-On-Funktionalität für Active Directory und/oder eDirectory konfigurieren.
Active Dir e ctor y Single Sign-On ( SSO)
Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit dem Webfilter verwendet wird, um Single Sign-On für Browser bereitzustellen, die NTLMv2 oder Kerberos-
Authentifizierung unterstützen.
Um die Single-Sign-On-Funktionalität zu aktivieren, muss UTM der Active-Directory-Domäne beitreten.Damit dieser Domänenbeitritt funktioniert, müssen die folgenden Voraussetzungen erfüllt sein: l
Die Zeitzone auf dem Gateway und auf dem Domänencontroller (DC) müssen gleich sein.
l
Der Zeitunterschied der Uhren darf NICHT mehr als fünf Minuten zwischen dem
Gateway und dem DC betragen.
l
Der UTM-Hostname muss im ADDNS-System existieren.
l
Das UTM muss das AD-DNS zur Weiterleitung (engl. forwarder) verwenden oder es muss eine DNS-Anfrageroute zur AD-Domäne besitzen, die auf den AD-DNS-Server zeigt.
Um Active Directory SSO zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.
2.
Nehmen Sie die folgenden Einstellungen vor:
Domäne: Tragen Sie hier den Namen der Domäne ein (z. B.
intranet.meinefirma.de
).Das UTM sucht alle DCs, die über DNS erreichbar sind.
Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte für die Anbindung von Computern an diese Domäne besitzt (in der Regel ist dies der
„Administrator‟).
Kennwort: Geben Sie das Kennwort für den Admin-Benutzer ein (ein zweites Mal zur
Bestätigung).
138
UTM 9 Administratorhandbuch
5 Definitionen & Benutzer
5.6 Authentifizierungsserver
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Hinweis zur Unterstützung der Kerberos-Authentifizierung: Damit die opportunistische SSO-Kerberos-Unterstützung funktioniert, müssen die Clients den FQDN-
Hostnamen von UTM in ihren Proxyeinstellungen verwenden; das Benutzen der IP-Adresse wird nicht funktionieren. Der NTLMv2-Modus ist von dieser Voraussetzung nicht betroffen, und wird automatisch benutzt, wenn diese Voraussetzung nicht erfüllt ist oder wenn der
Browser eine Kerberos-Authentifizierung nicht unterstützt.
e Dir e ctor y Single Sign-On ( SSO)
Hier können Sie SSO für eDirectory konfigurieren.Wenn Sie eDirectory SSO als
Authentifizierungsmethode unter Web Protection > Webfilter eingerichtet haben, wird der hier gewählte eDirectory-Server benutzt.
Um eDirectory SSO zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Legen Sie einen eDirectory-Server auf der Registerkarte Server an.
2.
Nehmen Sie die folgenden Einstellungen vor:
Server: Wählen Sie einen eDirectory-Server aus, für den Sie SSO aktivieren möchten.
Sync-Intervall: Die Zeit (in Sekunden) zwischen zwei Synchronisierungsereignissen zwischen UTM und eDirectory-Server.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
5.6.4 Erweitert
Loka le Authe ntifizie r ungske nnwör te r
Mit dieser Option können Sie festlegen, dass Administratoren oder lokal registrierte Benutzer mit administrativen Rechten sichere Kennwörter verwenden müssen. Die
Kennwortkomplexität kann so konfiguriert werden, dass sie den folgenden
Sicherheitsanforderungen entspricht: l
Mindestlänge des Kennworts (acht Zeichen ist voreingestellt) l mindestens ein kleingeschriebener Buchstabe l mindestens ein großgeschriebener Buchstabe
UTM 9 Administratorhandbuch
139
5.6 Authentifizierungsserver
5 Definitionen & Benutzer
l mindestens eine Zahl l mindestens ein nicht-alphanumerisches Zeichen
Um die ausgewählten Kennworteigenschaften zu aktivieren, wählen Sie die Option Komplexe
Kennwörter verlangen und klicken Sie auf Übernehmen.
Ve r ze ichnisbe nutze r vor a b hole n
Benutzer von eDirectory oder Active Directory können mit UTM synchronisiert werden.Das
bedeutet, dass Benutzerdefinitionen vorab auf UTM angelegt werden, sodass diese
Benutzerdefinitionen bereits existieren, wenn sich ein Benutzer anmeldet. Der
Synchronisierungsprozess kann wöchentlich oder täglich stattfinden.
Um das Vorabholen (engl. prefetching) zu aktivieren, nehmen Sie die folgenden Einstellungen vor:
Server: Die Auswahlliste enthält Server, die auf der Registerkarte Server angelegt wurden.
Wählen Sie einen Server aus, für den Sie das Vorabholen aktivieren möchten.
Vorabholenintervall: Wählen Sie ein Intervall, um Benutzer vorabzuholen. Um die
Synchronisierung wöchentlich stattfinden zu lassen, wählen Sie einen Wochentag, zu der die
Synchronisierung beginnen soll.Um die Synchronisierung täglich stattfinden zu lassen, wählen
Sie Täglich.
Vorabholenzeit: Wählen Sie eine Uhrzeit, zu der die Synchronisierung stattfinden soll.
Gruppen: Geben Sie hier die Gruppen ein, die im Voraus angelegt werden sollen.Sie können den integrierten LDAP-Browser verwenden, um die Gruppen auszuwählen.
Aktiviere Backend-Synchronisierung bei Anmeldung (optional): Wählen Sie diese
Option aus, wenn Sie wollen, dass Benutzerinformationen aus dem Verzeichnis geholt werden, sobald sich ein bislang unbekannter Benutzer anmeldet.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Jetzt vorab holen: Klicken Sie auf diese Schaltfläche, um das Vorabholen sofort zu starten.
Vorabholen-Live-Protokoll öffnen: Klicken Sie auf diese Schaltfläche, um das Vorabholen-
Live-Protokoll zu öffnen.
140
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
In diesem Kapitel wird die Konfiguration von Schnittstellen und netzwerkspezifischen
Einstellungen in Sophos UTM beschrieben.Die Seite Netzwerkstatistik im WebAdmin gibt einen
Überblick über die zehn aktivsten Dienste, Quellhosts und gleichzeitigen Verbindungen von heute.In jedem Abschnitt befindet sich ein Link auf die Details.Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie weitere statistische
Informationen finden können.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
l
l
l
6.1 Schnittstellen
Ein Gateway benötigt mindestens zwei Netzwerkkarten, um ein internes LAN mit einem externen Netzwerk (z. B. dem Internet) zu verbinden.In den folgenden Beispielen ist die
Netzwerkkarte eth0 immer die interne Netzwerkschnittstelle.Die Netzwerkkarte eth1 ist als externe Netzwerkschnittstelle vorgesehen (z. B. zum Internet). Diese beiden Seiten werden auch Trusted bzw. Untrusted genannt.
Während der Installation werden die Netzwerkkarten automatisch erkannt.Wenn bei der
Software-Appliance weitere Netzwerkkarten hinzugefügt werden, ist eine Neuinstallation des
Sicherheitssystems notwendig. Nutzen Sie hierfür die Backup-Funktion, um nach der
Neuinstallation Ihre aktuelle Systemkonfiguration einfach wieder einzuspielen.
6.1 Schnittstellen
6 Schnittstellen & Routing
Das Gateway muss die einzige Schnittstelle zwischen dem internen und dem externen
Netzwerk sein.Alle Datenpakete müssen die UTM passieren.Es wird dringend davon abgeraten, die internen und externen Schnittstellen über einen Hub oder Switch physikalisch zusammen auf ein Netzwerksegment zu legen, es sei denn dieser ist als VLAN-Switch konfiguriert.Es kann zu falschen ARP-Auflösungen (Address Resolution Protocol) kommen
(ARP-Clash) die nicht alle Betriebssysteme (z. B. die von Microsoft) verwalten können. Pro
Gateway-Netzwerkschnittstelle muss daher auch ein physikalisches Netzwerk-Segment verwendet werden.
Im Menü Schnittstellen können Sie alle auf der UTM installierten Netzwerkkarten konfigurieren und verwalten sowie die Schnittstellen zum externen Netzwerk (Internet) und zu den internen
Netzwerken (LAN, DMZ).
Hinweis – Beachten Sie bei der Planung Ihrer Netzwerktopologie und der Konfiguration von
UTM, welche Netzwerkkarten Sie jeweils auf der Appliance auswählen.In den meisten
Konfigurationen ist als Verbindung zum externen Netzwerk die Netzwerkschnittstelle mit
SysID eth1 vorgesehen. Für die spätere Installation eines Hochverfügbarkeitsystems (HA) benötigen Sie auf beiden Systemen eine Netzwerkkarte mit gleicher SysID.Weitere
Informationen zur Installation des Hochverfügbarkeitssystems (HA-Failover) finden Sie auf der Seite
In den folgenden Abschnitten wird erklärt, wie die verschiedenen Arten von Schnittstellen über die Registerkarten Schnittstellen, Zusätzliche Adressen, Linkbündelung, Uplink-Ausgleich,
Multipathregeln und Hardware verwaltet und konfiguriert werden.
6.1.1 Schnittstellen
Auf der Registerkarte Schnittstellen können Sie die Netzwerkkarten und virtuellen
Schnittstellen konfigurieren. In der Liste sind die bereits konfigurierten Netzwerkschnittstellen mit ihrem symbolischen Namen, Netzwerkkarte und aktueller Adresse aufgeführt. Der Status jeder Schnittstelle wird ebenso angezeigt. Durch Anklicken des Statussymbols können Sie
Schnittstellen aktivieren und deaktivieren. Beachten Sie, dass Schnittstellengruppen keinen
Symbolstatus haben.
Tipp – Durch einen Klick auf das Infosymbol einer Netzwerkschnittstelle in der Liste
Schnittstellen werden Ihnen alle Konfigurationen angezeigt, in denen diese Schnittstelle verwendet wird.
142
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Neu hinzugefügte Schnittstellen können am Anfang als Down (aus) angezeigt werden, solange sich die Verbindung noch im Aufbau befindet. Sie können Schnittstellen bearbeiten oder löschen, indem Sie auf die entsprechenden Schaltflächen klicken.
6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen
Jede Schnittstelle auf dem Gateway besitzt einen symbolischen Namen und eine
Netzwerkkarte, der sie zugewiesen ist. Der symbolische Name wird verwendet, wenn Sie in anderen Konfigurationen auf diese Schnittstelle referenzieren.Für jede Schnittstelle wird automatisch eine passende Gruppe von Netzwerkdefinitionen vom Gateway erstellt: l
Eine Definition, die die aktuelle IP-Adresse der Schnittstelle enthält, und deren Name sich aus dem Schnittstellennamen und dem Zusatz (Address) zusammensetzt.
l
Eine Definition, die das Netzwerk enthält, mit dem die Schnittstelle verbunden ist, und deren Name sich aus dem Schnittstellennamen und dem Zusatz (Network) zusammensetzt.Diese Definition wird nicht für Point-to-Point-Schnittstellen (PPP) angelegt.
l
Eine Definition, die die Broadcast-Adresse der Schnittstelle enthält, und deren Name sich aus dem Schnittstellennamen und dem Zusatz (Broadcast) zusammensetzt.Diese
Definition wird nicht für Point-to-Point-Schnittstellen (PPP) angelegt.
Wenn die Schnittstelle eine dynamische Methode zur Adresszuweisung verwendet (wie z. B.
DHCP oder Fernzuweisung), so werden diese Definitionen automatisch aktuell gehalten.Alle
Einstellungen, die sich auf diese Definitionen beziehen, z. B. Firewall- und NAT-Regeln, werden ebenfalls automatisch mit den geänderten Adressen aktualisiert.
Eine Schnittstelle mit dem symbolischen Namen Internal ist bereits vordefiniert.Hierbei handelt es sich um die Administrationsschnittstelle, die typischerweise als die interne Schnittstelle mit dem Gateway verwendet wird. Falls Sie sie umbenennen möchten, sollten Sie das direkt nach der Installation tun.
6.1.1.2 Arten von Schnittstellen
Die nachfolgende Liste gibt eine Übersicht darüber, welche Schnittstellentypen zum Gateway hinzugefügt werden können und welche Hardware dafür benötigt wird:
Gruppe: Sie können Ihre Schnittstellen in Gruppen organisieren. Bei entsprechender
Konfiguration können Sie eine Schnittstellengruppe anstelle mehrerer einzelner Schnittstellen wählen.
UTM 9 Administratorhandbuch
143
6.1 Schnittstellen
6 Schnittstellen & Routing
3G/UMTS: Diese Schnittstelle basiert auf einem USB-Modem-Stick.Vor Erstellung der
Schnittstelle muss der Stick eingesteckt werden und die UTM neu gestartet werden.
Kabelmodem (DHCP): Hierbei handelt es sich um eine Standard-Ethernet-Schnittstelle mit
DHCP.
DSL (PPPoA/PPTP): PPP-over-ATM.Ein DSL-PPPoA-Gerät ermöglicht Ihnen, Ihr Gateway an PPP-over-ATM-kompatible DSL-Leitungen anzuschließen. Diese Geräte benutzen das
PPT-Protokoll, um IP-Pakete zu tunneln. Sie erfordern eine dedizierte Ethernet-Verbindung
(sie können nicht mit anderen Schnittstellen auf derselben Hardware koexistieren). Sie müssen ein DSL-Modem an das Schnittstellennetzwerksegment anschließen. Die Netzwerkparameter für diese Gerätetypen können über eine entfernte Stelle zugewiesen werden (üblicherweise Ihr
Internetanbieter). Außerdem müssen Sie einen Benutzernamen und Kennwort für das Konto bei Ihrem ISP angeben. Auch müssen Sie die IP-Adresse Ihres Modems angeben. Diese
Adresse ist dem Modem normalerweise fest zugewiesen und kann nicht geändert werden. Um mit dem Modem kommunizieren zu können, müssen Sie eine NIC-IP-Adresse und eine
Netzmaske eingeben. Die IP-Adresse des Modems muss sich dabei innerhalb des durch diese
Parameter definierten Netzwerks befinden.Die Ping-Adresse muss ein Host am anderen Ende der PPTP-Verbindung sein, der die ICMP-Pinganfragen beantwortet. Sie können versuchen, den DNS-Server Ihres ISP dafür zu verwenden. Falls diese Adresse nicht über Ping erreicht werden kann, wird angenommen, dass die Verbindung tot ist, und die Verbindung wird neu aufgebaut.
DSL (PPPoE): PPP-over-Ethernet.Ein DSL-PPPoE-Gerät ermöglicht Ihnen, Ihr Gateway an
PPP-over-Ethernet-kompatible DSL-Leitungen anzuschließen. Diese Geräte erfordern eine dedizierte Ethernet-Verbindung (sie können nicht mit anderen Schnittstellen auf derselben
Hardware koexistieren). Sie müssen ein DSL-Modem an das Schnittstellennetzwerksegment anschließen. Die Netzwerkparameter für diese Gerätetypen können über eine entfernte Stelle zugewiesen werden (üblicherweise Ihr Internetanbieter). Außerdem müssen Sie einen
Benutzernamen und Kennwort für das Konto bei Ihrem ISP angeben.
Ethernet-Standard: Dabei handelt es sich um eine normale Ethernet-Schnittstelle mit einer
Bandbreite von 10, 100 oder 1000 Mbit/s.
Ethernet-VLAN: VLAN (Virtual LAN) ist eine Methode, um mehrere getrennte
Netzwerksegmente der 2. Schicht auf einer einzigen Hardwareschnittstelle zu ermöglichen.
Jedes Segment wird durch eine VLAN-ID (auch engl. tag genannt) identifiziert, wobei es sich um eine einfache Ganzzahl (engl. integer) handelt.Wenn Sie eine VLAN-Schnittstelle hinzufügen, erzeugen Sie damit ein Hardware-Gerät, das dazu verwendet werden kann, auch
144
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen zusätzliche Schnittstellen (Aliasse) hinzuzufügen.PPPoE- und PPPoA-Geräte können nicht
über VLAN-virtuelle Hardware betrieben werden.
Modem (PPP): Mit diesem Schnittstellentyp können Sie die UTM über ein PPP-Modem mit dem Internet verbinden.Für die Konfiguration benötigen Sie eine serielle Schnittstelle und ein externes Modem auf der UTM. Darüber hinaus benötigen Sie DSL-Zugangsdaten wie
Benutzername und Kennwort. Diese Daten erhalten Sie von Ihrem Internetanbieter.
6.1.1.3 Gruppe
Zwei oder mehr Schnittstellen lassen sich zu einer Gruppe zusammenfassen. Gruppen erleichtern die Konfiguration. Beim Erstellen von Multipathregeln müssen Sie eine Gruppe konfigurieren, wenn Sie den Datenverkehr auf eine definierte Gruppe von Uplink-Schnittstellen verteilen möchten, anstatt alle Uplink-Schnittstellen zu verwenden.
Um eine Gruppen-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie Gruppe aus der Auswahlliste aus.
Schnittstellen: Fügen Sie die gewünschten Schnittstellen zur Gruppe hinzu.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die Gruppe wird zur Schnittstellenliste hinzugefügt. Gruppen haben keinen Status.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.1.4 3G/UMTS
Sophos UTMunterstützt Netzwerkverbindungen über 3G/UMTS-USB-Sticks.
Um eine 3G/UMTS-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
UTM 9 Administratorhandbuch
145
6.1 Schnittstellen
6 Schnittstellen & Routing
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie 3G/UMTS aus der Auswahlliste aus.
Hardware: Wählen Sie einen USB-Modem-Stick aus der Auswahlliste aus. Beachten
Sie, dass nach dem Anschluss des USB-Sticks ein Neustart erforderlich ist.
Netzwerk: Wählen Sie den Typ des Mobilfunknetzes aus (entweder GSM/W-CDMA,
CDMA oder LTE).
IPv4 Standard-GW/IPv6 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das Standardgateway Ihres Anbieters nutzen möchten.
PIN (optional): Geben Sie die PIN der SIM-Karte ein, falls eine PIN konfiguriert ist.
APN automatisch wählen: (optional): Standardmäßig wird der APN (Access Point
Name) vom USB-Modem-Stick abgerufen.Wenn Sie die Auswahl dieses
Kontrollkästchens deaktivieren, müssen Sie die APN-Informationen in das Feld APN eingeben.
Benutzername/Kennwort (optional): Geben Sie, sofern erforderlich, einen
Benutzernamen und ein Kennwort für das Mobilfunknetz ein.
Einwahlkennung (optional): Sollte Ihr Dienstanbieter eine spezifische Einwahlkennung verwenden, müssen Sie diese hier eingeben.Der Standardwert ist *99#.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Init-Kennung: Geben Sie die Kennung zur Initialisierung des USB-Modem-Sticks ein.
Beachten Sie, dass die Init-Kennung eventuell dem USB-Modem-Stick angepasst werden muss. In diesem Fall entnehmen Sie die Init-Kennung dem zugehörigen
Handbuch des USB-Modem-Sticks.Falls Sie keine entsprechende Dokumentation zur
Verfügung haben, tragen Sie in das Eingabefeld ATZ ein.
Rückstellung: Geben Sie die Kennung zur Rückstellung des USB-Modem-Sticks ein.
Beachten Sie auch hier, dass die Rückstellungskennung eventuell dem USB-Modem-
Stick angepasst werden muss. In diesem Fall entnehmen Sie diese dem zugehörigen
Handbuch des USB-Modem-Sticks.Falls Sie keine entsprechende Dokumentation zur
Verfügung haben, tragen Sie in das Eingabefeld ATZ ein.
146
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für die
Schnittstellenart 3G/UMTS auf 1500 Byte voreingestellt.
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
UTM 9 Administratorhandbuch
147
6.1 Schnittstellen
6 Schnittstellen & Routing
6.1.1.5 Ethernet-Standard
Um eine Netzwerkkarte für eine Ethernet-Standard-Verbindung zu einem internen oder externen Netzwerk zu konfigurieren, muss die Netzwerkkarte mit einer IP-Adresse und einer
Netzmaske konfiguriert werden.
Um eine Ethernet-Standard-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie Ethernet-Standard aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
Tipp – Wählen Sie als Schnittstelle zum externen Netzwerk (z. B. zum Internet) die
Netzwerkkarte mit der SysID eth1 aus.Beachten Sie, dass eine Netzwerkkarte nicht gleichzeitig als Ethernet-Standard-Schnittstelle und als PPP-over-Ethernet (PPPoE-
DSL) oder PPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4/IPv6 Adresse: Geben Sie die zusätzliche IP-Adresse für die Schnittstelle ein.
Netzmaske: Wählen Sie eine Netzmaske (IPv4) oder geben Sie eine IPv6-Netzmaske ein.
IPv4/IPv6 Standard-GW (optional): Wählen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP (optional): Tragen Sie hier die IP-Adresse des Standardgateway ein.
Hinweis – Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besitzen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
148
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für den
Schnittstellentyp Ethernet-Standard auf 1500 Byte voreingestellt.
Proxy-ARP: Wählen Sie diese Option aus, um die Proxy-ARP-Funktion zu aktivieren.Standardmäßig ist die Funktion Proxy-ARP deaktiviert.
Diese Funktion ist für Schnittstellen vom Typ Broadcast verfügbar.Wenn diese Funktion aktiviert ist, wird das Gateway über diese Schnittstelle Datenverkehr stellvertretend für andere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe
übernimmt die Firewall für alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das ermöglicht Ihnen, ein „transparentes“ Netzwerk-Bridging einzurichten ohne auf die Firewall-Eigenschaften zu verzichten.Ein anderer Anwendungsfall für diese
Funktion ist, wenn der Router Ihres Anbieters (ISP) Ihr „offizielles“ Netzwerk einfach auf seine Ethernetschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
UTM 9 Administratorhandbuch
149
6.1 Schnittstellen
6 Schnittstellen & Routing
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.1.6 Ethernet-VLAN
Um eine Verbindung zwischen der UTM und den virtuellen LANs herzustellen, benötigt das
System eine Netzwerkkarte mit einem Tag-fähigen Treiber.Ein Tag ist ein kleiner 4-Byte-
Header, der an den Ethernet-Header von Paketen angefügt wird.Das Tag enthält die Nummer des VLANs, für das dieses Paket bestimmt ist: Die VLAN-Nummer besteht aus 12 Bit, dadurch sind 4095 verschiedene virtuelle LANs möglich. Diese VLAN-Nummer wird im WebAdmin als
VLAN-Tag oder VLAN-ID bezeichnet.
Hinweis -Sophos verwaltet eine Liste der unterstützten, Tag-fähigen Netzwerkkarten.Die
Hardwarekompatibilitätsliste (Hardware Compatibility List; HCL) steht in der
SophosKnowledgebase zur Verfügung. Verwenden Sie „HCL“ als Suchbegriff, um die entsprechende Seite zu finden.
Um eine Ethernet-VLAN-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie Ethernet-VLAN aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
VLAN-Tag: Tragen Sie das VLAN-Tag für diese Schnittstelle ein.
IPv4/IPv6 Adresse: Geben Sie die zusätzliche IP-Adresse für die Schnittstelle ein.
150
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Netzmaske: Wählen Sie eine Netzmaske (IPv4) oder geben Sie eine IPv6-Netzmaske ein.
IPv4/IPv6 Standard-GW (optional): Wählen Sie diese Option, wenn Sie ein statisches
Standardgateway verwenden wollen.
Standard-GW-IP (optional): Tragen Sie hier die IP-Adresse des Standardgateway ein.
Hinweis – Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besitzen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für den
Schnittstellentyp Ethernet-VLAN auf 1500 Byte voreingestellt.
Proxy-ARP: Wählen Sie diese Option aus, um die Proxy-ARP-Funktion zu aktivieren.Standardmäßig ist die Funktion Proxy-ARP deaktiviert.
Diese Funktion ist für Schnittstellen vom Typ Broadcast verfügbar.Wenn diese Funktion aktiviert ist, wird das Gateway über diese Schnittstelle Datenverkehr stellvertretend für andere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe
übernimmt die Firewall für alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das ermöglicht Ihnen, ein „transparentes“ Netzwerk-Bridging einzurichten ohne auf die Firewall-Eigenschaften zu verzichten.Ein anderer Anwendungsfall für diese
Funktion ist, wenn der Router Ihres Anbieters (ISP) Ihr „offizielles“ Netzwerk einfach auf seine Ethernetschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
UTM 9 Administratorhandbuch
151
6.1 Schnittstellen
6 Schnittstellen & Routing
des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.1.7 Kabelmodem (DHCP)
Um eine Kabelmodem-Schnittstelle (DHCP) zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie Kabelmodem (DHCP) aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
152
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Tipp – Wählen Sie als Schnittstelle zum externen Netzwerk (z. B. zum Internet) die
Netzwerkkarte mit der SysID eth1 aus.Beachten Sie, dass eine Netzwerkkarte nicht gleichzeitig als Kabelmodem (DHCP) und als PPP-over-Ethernet (PPPoE-DSL) oder
PPPTP-over-Ethernet (PPPoA-DSL) genutzt werden kann.
IPv4 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das
Standardgateway Ihres Anbieters nutzen möchten.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Hostname: Wenn Ihr ISP den Hostnamen Ihres Systems benötigt, geben Sie ihn hier ein.
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für die
Schnittstellenart Kabelmodem auf 1500 Byte voreingestellt.
Proxy-ARP: Wählen Sie diese Option aus, um die Proxy-ARP-Funktion zu aktivieren.Standardmäßig ist die Funktion Proxy-ARP deaktiviert.
Diese Funktion ist für Schnittstellen vom Typ Broadcast verfügbar.Wenn diese Funktion aktiviert ist, wird das Gateway über diese Schnittstelle Datenverkehr stellvertretend für andere Hosts annehmen und diesen entsprechend weiterleiten. Diese Aufgabe
übernimmt die Firewall für alle Hosts, zu denen sie eine direkte Schnittstellenroute besitzt. Das ermöglicht Ihnen, ein „transparentes“ Netzwerk-Bridging einzurichten ohne auf die Firewall-Eigenschaften zu verzichten.Ein anderer Anwendungsfall für diese
Funktion ist, wenn der Router Ihres Anbieters (ISP) Ihr „offizielles“ Netzwerk einfach auf seine Ethernetschnittstelle setzt (anstelle eine Host-Route zu verwenden).
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
UTM 9 Administratorhandbuch
153
6.1 Schnittstellen
6 Schnittstellen & Routing
des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.1.8 DSL (PPPoE)
Für diese Konfiguration benötigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von Ihrem ISP.VDSL wird ebenfalls von dieser Schnittstellenart unterstützt.
Hinweis – Die UTM ist nach Aktivierung der DSL-Verbindung täglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
Um eine DSL-(PPPoE-)Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
154
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie DSL (PPPoE) aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
VDSL: Wählen Sie diese Option (nur) aus, wenn es sich bei der Verbindung um eine
VDSL-Verbindung handelt.Der MTU-Wert ändert sich auf 1476.
Statische PPPoE-IP (optional): Markieren Sie dieses Auswahlfeld, wenn Sie von Ihrem
Internetanbieter eine statische IP-Adresse zugewiesen bekommen haben, und geben
Sie die IP-Adresse und die dazugehörige Netzmaske in die erscheinenden Textfelder ein.
l
IPv4/IPv6 Adresse: Geben Sie die zusätzliche IP-Adresse für die Schnittstelle ein.
l
Netzmaske: Wählen Sie aus der Auswahlliste eine Netzmaske aus und/oder tragen Sie eine IPv6-Netzmaske ein.
Hinweis – Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besitzen.
IPv4/IPv6 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das
Standardgateway Ihres Anbieters nutzen möchten.
Benutzername: Tragen Sie den Benutzernamen ein, den Sie von Ihrem Anbieter erhalten haben.
Kennwort: Tragen sie das Kennwort ein, das Sie von Ihrem Internetanbieter erhalten haben.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Nehmen Sie optional die folgenden erweiterten Einstellungen vor:
Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung beendet und wieder neu aufgebaut werden soll.Sie können zwischen Nie und einer beliebigen Uhrzeit wählen.
Verzögerte Wiedereinwahl: Definieren Sie hier die Zeitverzögerung für die
Wiedereinwahl.Standardmäßig beträgt sie 5 Sekunden.Sollte Ihr Anbieter eine längere
UTM 9 Administratorhandbuch
155
6.1 Schnittstellen
6 Schnittstellen & Routing
Verzögerung erfordern, können Sie den Wert auf Eine Minute oder Fünfzehn Minuten setzen.
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für die
Schnittstellenart DSL (PPPoE) auf 1492 Byte voreingestellt.
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
156
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
6.1.1.9 DSL (PPPoA/PPTP)
Für die Konfiguration einer PPP-over-ATM-Verbindung (PPPoA) benötigen Sie auf der UTM eine freie Ethernet-Netzwerkkarte und ein externes ADSL-Modem mit Ethernet-Anschluss.
Die Verbindung zum Internet erfolgt über zwei Teilstrecken.Zwischen der UTM und dem
ADSL-Modem erfolgt die Verbindung mit dem Protokoll PPTP over Ethernet.Die Verbindung vom ADSL-Modem zum Internetanbieter (ISP) erfolgt mit dem ADSL-Einwahlprotokoll PPP
over ATM.
Für diese Konfiguration benötigen Sie DSL-Zugangsdaten wie Benutzername und Kennwort.
Die Zugangsdaten erhalten Sie von Ihrem ISP.
Hinweis – Die UTM ist nach Aktivierung der DSL-Verbindung täglich 24 Stunden mit Ihrem
Internetanbieter verbunden. Sie sollten daher sicherstellen, dass Ihr Anbieter die Verbindung als Flatrate oder bandbreitenbasiert abrechnet und nicht anhand der Verbindungsdauer.
Um eine DSL-(PPPoA/PPTP-)Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie DSL (PPPoA/PPTP) aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
IPv4 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das
Standardgateway Ihres Anbieters nutzen möchten.
Benutzername: Tragen Sie den Benutzernamen ein, den Sie von Ihrem Anbieter erhalten haben.
Kennwort: Tragen sie das Kennwort ein, das Sie von Ihrem Internetanbieter erhalten haben.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
UTM 9 Administratorhandbuch
157
6.1 Schnittstellen
6 Schnittstellen & Routing
3.
Nehmen Sie optional die folgenden erweiterten Einstellungen vor:
Modem-IP: Tragen Sie die IP-Adresse des ADSL-Modems ein. Diese Adresse wird in der Regel vom Anbieter oder von der Hardware mitgeliefert und kann nicht geändert werden.Beispiel: 10.0.0.138 (bei AonSpeed).
NIC-Adresse: Tragen Sie die IP-Adresse für die Netzwerkkarte auf der UTM ein, die an das Modem angeschlossen ist. Diese Adresse muss im selben Subnetz liegen wie die IP-
Adresse des Modems.Beispiel: 10.0.0.140 (bei AonSpeed).
NIC-Netzmaske: Tragen Sie die Netzmaske ein.
Beispiel: 255.255.255.0 (bei AonSpeed).
Ping-Adresse (optional): Tragen Sie die IP-Adresse eines Hosts im Internet ein, der auf
ICMP-Ping-Anfragen antwortet.Um die Verbindung zwischen der UTM und dem externen Netzwerk zu testen, geben Sie eine IP-Adresse eines Hosts am anderen Ende der PPTP-Verbindung an. Sie können versuchen, den DNS-Server Ihres ISP dafür zu verwenden.Die UTM sendet Ping-Anfragen zu diesem Host: Falls das System von diesem Host keine Antwort erhält, ist die Verbindung nicht intakt.
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für die
Schnittstellenart DSL (PPPoA) auf 1492 Byte voreingestellt.
Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung beendet und wieder neu aufgebaut werden soll.Sie können zwischen Nie und einer beliebigen Uhrzeit wählen.
Verzögerte Wiedereinwahl: Definieren Sie hier die Zeitverzögerung für die
Wiedereinwahl.Standardmäßig beträgt sie 5 Sekunden.Sollte Ihr Anbieter eine längere
Verzögerung erfordern, können Sie den Wert auf Eine Minute oder Fünfzehn Minuten setzen.
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite
158
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.1.10 Modem (PPP)
Für die Konfiguration benötigen Sie eine serielle Schnittstelle und ein externes PPP-Modem auf der UTM.Darüber hinaus benötigen Sie DSL-Zugangsdaten wie Benutzername und
Kennwort. Diese Daten erhalten Sie von Ihrem Internetanbieter.
Um eine Modem-(PPP)-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.
Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein.
Typ: Wählen Sie Modem (PPP) aus der Auswahlliste aus.
Hardware: Wählen Sie eine Schnittstelle aus der Auswahlliste aus.
UTM 9 Administratorhandbuch
159
6.1 Schnittstellen
6 Schnittstellen & Routing
IPv4 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das
Standardgateway Ihres Anbieters nutzen möchten.
Benutzername: Tragen Sie den Benutzernamen ein, den Sie von Ihrem Anbieter erhalten haben.
Kennwort: Tragen sie das Kennwort ein, das Sie von Ihrem Internetanbieter erhalten haben.
Einwahlkennung: Geben Sie die Telefonnummer ein.Beispiel: 5551230
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Geschwindigkeit: Stellen Sie hier die Geschwindigkeit in Bit pro Sekunde für die
Verbindung zwischen der UTM und dem Modem ein. Übliche Werte sind 57.600 Bit/s und 115.200 Bit/s.
Datenflusskontrolle: Stellen Sie die Methode zur Kontrolle des Datenflusses ein.
Wenn die Daten über die serielle Verbindung laufen, kann es vorkommen, dass das
System die ankommenden Daten nicht schnell genug verarbeiten kann. Um sicherzustellen, dass keine Daten verloren gehen, ist eine Methode zur Kontrolle des
Datenflusses notwendig. Bei der seriellen Verbindung sind zwei Methoden verfügbar: l
Hardware-Signale l
Software-Signale
Da bei einer PPP-Verbindung alle acht Bit der Leitung verwendet werden und sich in den
übertragenen Daten die Byte der Steuerzeichen Control S und Control Q befinden, empfehlen wir, die Voreinstellung Hardware beizubehalten und ein entsprechendes serielles Verbindungskabel zu verwenden.
Init-Kennung: Tragen Sie die Kennung zur Initialisierung des Modems ein. Beachten
Sie, dass die Init-Kennung (init string) eventuell dem Modem angepasst werden muss. In diesem Fall entnehmen Sie die Init-Kennung dem zugehörigen Modem-Handbuch.Falls
Sie keine entsprechende Dokumentation zur Verfügung haben, tragen Sie in das
Eingabefeld ATZ ein.
Rückstellung: Tragen Sie die Rückstellungskennung (reset string) für das Modem ein.
Beachten Sie auch hier, dass die Rückstellungskennung eventuell dem Modem angepasst werden muss. In diesem Fall entnehmen Sie diese dem zugehörigen
160
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Modem-Handbuch.Falls Sie keine entsprechende Dokumentation zur Verfügung haben, tragen Sie in das Eingabefeld ATZ ein.
MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission
Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der
Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte
Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann. Ein MTU-
Wert, der größer als 1500 Byte ist, muss vom Netzwerkbetreiber und der Netzwerkkarte
(z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU-Wert ist für die
Schnittstellenart Modem (PPP) auf 1492 Byte voreingestellt.
Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und
Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
Angezeigtes Max. (optional): Hier können Sie die maximale Downlink-Bandbreite Ihrer
Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die
Bandbreite kann entweder in MB/s oder KB/s angegeben werden. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus.
4.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
5.
Aktivieren Sie die Schnittstelle.
Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün).Die Schnittstelle wird zunächst möglicherweise noch als Down (nicht verbunden) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
UTM 9 Administratorhandbuch
161
6.1 Schnittstellen
6 Schnittstellen & Routing
6.1.2 Zusätzliche Adressen
Eine Netzwerkkarte kann mit zusätzlichen IP-Adressen konfiguriert werden (auch Aliasse genannt). Diese Funktion wird benötigt, um auf einer physikalischen Netzwerkkarte mehrere logische Netzwerke zu verwalten.Sie kann auch im Zusammenhang mit NAT (Network
Address Translation) verwendet werden, um der UTM zusätzliche Adressen zuzuweisen.
Um zusätzliche Adressen auf einer Netzwerkkarte zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Zusätzliche Adressen auf Neue zusätzliche
Adresse.
Das Dialogfenster Neue zusätzliche Adresse erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die neue zusätzliche Adresse ein.
Auf Schnittstelle: Wählen Sie im Auswahlmenü die Netzwerkkarte aus, der die
Adresse zugewiesen werden soll.
IPv4/IPv6 Adresse: Geben Sie die zusätzliche IP-Adresse für die Schnittstelle ein.
Netzmaske: Wählen Sie aus der Auswahlliste eine Netzmaske aus und/oder tragen Sie eine IPv6-Netzmaske ein.
Hinweis – Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6-Adresse besitzen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen
Prüfung erscheint die neue Schnittstelle in der Schnittstellen-Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot).
4.
Aktivieren Sie die zusätzliche Adresse.
Aktivieren Sie die zusätzliche Adresse durch einen Klick auf die Statusampel.
Die zusätzliche Adresse ist nun eingeschaltet (Statusampel zeigt Grün).Die zusätzliche
Adresse wird möglicherweise dennoch als Down (Aus) angezeigt. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden.Die
162
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen zusätzliche Adresse ist vollständig einsatzbereit, sobald die Meldung Up (Ein) angezeigt wird.
Um eine zusätzliche Adresse zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.1.3 Linkbündelung
Linkbündelung (engl. Link Aggregation) (auch Kanalbündelung, port trunking oder NIC bonding) fasst mehrere parallele Ethernet-Verbindungen zu einer logischen Verbindung mit einer IP-Adresse zusammen. Die gebündelten Ports werden von Ihrem System als eine einzige
IP-Adresse wahrgenommen. Mit Linkbündelung lässt sich einerseits die Bandbreite über die
Kapazität einer einzelnen NIC hinaus vervielfachen, andererseits bietet es durch die redundanten Verbindungen eine einfache Ausfallsicherung (Failover) und Fehlertoleranz für den Fall, dass ein Port oder Switch ausfällt. Der gesamte Datenverkehr, der über den ausgefallenen Port oder Switch lief, wird automatisch auf die übrigen Ports oder Switches umgeleitet. Eine solche Ausfallsicherung ist für das System, das diese Verbindung benutzt, völlig transparent.
Hinweis – In einer Hochverfügbarkeitsumgebung können die einzelnen Ethernet-
Verbindungen sogar auf verschiedenen HA-Einheiten sein.
Sie können bis zu vier verschiedene Linkbündelungsgruppen definieren. Pro Gruppe sind maximal vier Ethernet-Schnittstellen zulässig. Eine Gruppe kann aus nur einer Schnittstelle bestehen.
Um eine Linkbündelungsgruppe (LAG) zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Wählen Sie für jede LAG, welche Schnittstellen Sie hinzufügen wollen.
Eine Gruppe kann aus einer konfigurierten Schnittstelle und/oder einer oder mehreren unkonfigurierten Schnittstellen bestehen.
Um eine konfigurierte Schnittstelle zu verwenden, wählen Sie diese aus der Auswahlliste
Konvertierungsschnittstelle aus. Um unkonfigurierte Schnittstellen zu verwenden, markieren Sie die entsprechenden Auswahlfelder.
2.
Aktivieren Sie die LAG.
Aktivieren Sie die LAG durch einen Klick auf die Schaltfläche Diese Gruppe aktivieren.
UTM 9 Administratorhandbuch
163
6.1 Schnittstellen
6 Schnittstellen & Routing
Sobald die Linkbündelungsgruppe konfiguriert ist, steht eine neue LAG-Schnittstelle (z.
B. lag0) zur Verfügung, die ausgewählt werden kann, wenn Sie eine neue
Schnittstellendefinition auf der Registerkarte Schnittstellen anlegen. Für eine LAG können die folgenden Schnittstellenarten konfiguriert werden: l
Ethernet-Standard l
Ethernet-VLAN l
Kabelmodem (DHCP) l
Alias-Schnittstellen
Um eine LAG zu deaktivieren, entfernen Sie die Häkchen aus den Auswahlfeldern, die Teil dieser LAG sind, klicken Sie auf Diese Gruppe aktualisieren und bestätigen Sie den
Warnhinweis.Der Status der LAG wird auf der Registerkarte Support > Erweitert >
Schnittstellen angezeigt.
6.1.4 Uplink-Ausgleich
Mit der Uplink-Ausgleich-Funktion können Sie mehrere Internetverbindungen zusammenfassen, entweder um Zusatzverbindungen bei einem Ausfall zu haben oder um die
Last auf mehrere Verbindungen zu verteilen. Die Kombination von bis zu 32 unterschiedlichen
Internetverbindungen wird unterstützt.
Der Uplink-Ausgleich ist automatisch aktiviert, wenn Sie einer Schnittstelle zusätzlich zu einer bereits vorhandenen Schnittstelle mit Standardgateway ein Standardgateway zuweisen.Alle
Schnittstellen mit Standardgateway werden zum Feld Aktive Schnittstellen hinzugefügt und der
Uplink-Ausgleich wird ab diesem Zeitpunkt automatisch durchgeführt. Weitere Schnittstellen mit Standardgateway werden ebenfalls automatisch hinzugefügt.
Auf der Registerkarte Multipathregeln können Sie konkrete Regeln für den auszugleichenden
Datenverkehr definieren.
Um den Uplink-Ausgleich manuell einzurichten, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den Uplink-Ausgleich.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Uplink-Ausgleich kann nun bearbeitet werden.
164
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
2.
Wählen Sie aktive Schnittstellen aus.
Fügen Sie eine oder mehrere Schnittstellen hinzu, indem Sie auf das Ordnersymbol klicken und danach Schnittstellen aus der Objektleiste herüberziehen. Wenn mehrere
Schnittstellen verwendet werden, wird der Verkehr automatisch zwischen diesen lastverteilt. Wenn eine der Schnittstellen nicht erreichbar ist, wird der Verkehr von der/den verbleibenden Schnittstelle(n) übernommen.
Hinweis – Wenn Uplink-Ausgleich automatisch aktiviert wurde, enthält die Liste Aktive
Schnittstellen zunächst bereits alle Schnittstellen mit Standardgateway.Wenn Sie eine
Schnittstelle aus der Liste entfernen, wird das Auswahlkästchen Standardgateway der
Schnittstelle automatisch deaktiviert.Daher muss jede Schnittstelle mit
Standardgateway entweder auf dieser Liste oder im Feld Standby-Schnittstellen unten aufgeführt sein. Sie können jedoch Schnittstellen ohne Standardgateway hinzufügen und die Standardgatewayadresse später eingeben.
Hinweis – Die Reihenfolge der Schnittstellen ist wichtig, sowohl bei den aktiven als auch bei den Standby-Schnittstellen: Wenn ein Server nicht antwortet, wird die erste darauffolgende Schnittstelle ausgewählt. Sie können die Reihenfolge der Schnittstellen
ändern, indem Sie die blauen Pfeile im entsprechenden Feld anklicken.
Über die Planer-Schaltfläche in der Kopfzeile des Feldes können Sie das
Verteilungsverhalten und die Schnittstellenbindung der aktiven Schnittstellen festlegen:
Gewichtung: Die Gewichtung kann auf einen Wert zwischen 0 und 100 festgelegt werden und gibt an, wie viel Datenverkehr eine Schnittstelle im Vergleich zu allen anderen Schnittstellen verarbeitet. Hierfür wird ein gewichteter Round-Robin-
Algorithmus verwendet. Ein höherer Wert bedeutet, dass mehr Datenverkehr über die jeweilige Schnittstelle geroutet wird. Die Werte werden im Verhältnis zueinander bewertet, daher muss ihre Summe nicht 100 ergeben. So ist z. B. eine Konfiguration möglich, bei der Schnittstelle 1 den Wert 100, Schnittstelle 2 den Wert 50 und
Schnittstelle 3 den Wert 0 hat. Dabei bearbeitet Schnittstelle 2 nur halb so viel
Datenverkehr wie Schnittstelle 1, während Schnittstelle 3 nur aktiv wird, wenn keine der anderen Schnittstellen verfügbar ist. Der Wert Null bedeutet, dass grundsätzlich eine andere Schnittstelle mit höherem Wert gewählt wird, wenn diese verfügbar ist.
UTM 9 Administratorhandbuch
165
6.1 Schnittstellen
6 Schnittstellen & Routing
Bindung: Die Schnittstellen-Bindung ist ein Verfahren, das gewährleistet, dass
Datenverkehr mit bestimmten Attributen immer über dieselbe Uplink-Schnittstelle geroutet wird. Die Bindung hat eine Zeitbeschränkung von einer Stunde.
3.
Wählen Sie Standby-Schnittstellen (optional).
Hier können Sie optional Ersatz-Schnittstellen hinzufügen, die nur in Aktion treten, wenn alle aktiven Schnittstellen unerreichbar sind.
4.
Überwachung aktivieren (optional):
Automatische Überwachung ist standardmäßig aktiviert, um ein mögliches Versagen einer Schnittstelle zu entdecken. Dies bedeutet, dass der Zustand aller Uplink-Ausgleich-
Schnittstellen überwacht wird, indem ein bestimmter Host im Internet in einem Abstand von 15 Sekunden angesprochen wird. Sobald ein Host keine Antwort mehr versendet, wird die entsprechende Schnittstelle als tot betrachtet und nicht mehr für die Verteilung verwendet.Auf dem Dashboard wird dann in der Spalte Link der Schnittstelle Fehler angezeigt.
Standardmäßig ist der überwachende Host der dritte Pings zulassende Hop auf dem
Weg zu einem der Root-DNS-Server. Sie können die Hosts zum Überwachen der
Server selbst bestimmen. Für diese Hosts können Sie einen anderen Dienst als Ping auswählen und Überwachungsintervall und -zeitüberschreitung anpassen:
1.
Deaktivieren Sie das Auswahlkästchen Automatische Überwachung.
Das Feld Überwachte Hosts kann nun bearbeitet werden.
2.
Fügen Sie die überwachenden Hosts hinzu.
Fügen Sie mindestens einen Host hinzu, der statt zufällig gewählten Hosts die
Überwachung übernehmen soll. Wenn eine Schnittstelle von mehr als einem Host
überwacht wird, wird sie nur als tot betrachtet, wenn keiner der überwachenden
Hosts in der festgelegten Zeitspanne antwortet.
Hinweis – Wenn ein ausgewählter Host an eine Schnittstelle gebunden ist, wird er nur zur Überwachung dieser Schnittstelle verwendet. Ist ein Host nicht an eine Schnittstelle gebunden, wird er zur Überwachung aller Schnittstellen verwendet. Schnittstellen, die nicht von den ausgewählten Hosts überwacht werden, werden automatisch überwacht.
Über die Planer-Schaltfläche in der Kopfzeile des Feldes können Sie die
Überwachungseinstellungen festlegen:
166
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Überwachungstyp: Wählen Sie das Dienstprotokoll für die
Überwachungsprüfungen aus.Wählen Sie für die Dienstüberwachung entweder
TCP (TCP-Verbindungsaufbau), UDP (UDP-Verbindungsaufbau), Ping (ICMP-
Ping), HTTP Host (HTTP-Anfragen) oder HTTPS Hosts (HTTPS-
Anfragen).Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt die Schnittstelle als ausgefallen.
Port (nur bei Überwachungstypen TCP und UDP): Nummer des Ports, an den die Anfrage gesendet wird.
URL (optional, nur bei Überwachungstypen HTTP/S-Hosts): Anzufragender
URL. Wenn keine angegeben ist, wird das Wurzelverzeichnis verwendet.
Intervall: Geben Sie eine Zeitspanne in Sekunden an, in der die Hosts überprüft werden.
Zeitüberschreitung: Geben Sie einen maximalen Zeitraum in Sekunden an, in dem die überwachenden Hosts eine Antwort senden können. Wenn keiner der
überwachenden Hosts einer Schnittstelle in diesem Zeitraum antworten, wird die
Schnittstelle als tot betrachtet.
5.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Eine neue virtuelle Schnittstelle namens Uplink Interfaces wird automatisch angelegt und steht anderen Funktionen von Sophos UTM zur Verfügung, z. B. IPsec-Regeln.Die virtuelle
Schnittstelle Uplink Interfaces umfasst alle Uplink-Schnittstellen, die der Schnittstellen-Liste hinzugefügt wurden.
Eine neue virtuelle Schnittstelle namens Uplink Primary Addresses (Uplink-Hauptadressen) wird automatisch angelegt und steht anderen Funktionen von Sophos UTM zur Verfügung, z.
B. Firewallregeln.Sie bezieht sich auf die Hauptadressen sämtlicher Uplink-Schnittstellen.
Im Fall des Versagens einer Schnittstelle können offene VPN-Tunnel automatisch über die nächste verfügbare Schnittstelle wiederhergestellt werden, vorausgesetzt, dass DynDNS verwendet wird oder der entfernte Server die IP-Adressen aller Uplink-Schnittstellen akzeptiert.Voraussetzung ist, dass die IPsec-Regel die Uplink-Schnittstellen als Lokale
Schnittstelle verwendet.
UTM 9 Administratorhandbuch
167
6.1 Schnittstellen
6 Schnittstellen & Routing
6.1.5 Multipathregeln
Auf der Registerkarte Schnittstellen & Routing & Schnittstellen > Multipathregeln können Sie
Regeln für den Uplink-Ausgleich erstellen.Die Regeln werden auf die aktiven Schnittstellen der
Registerkarte Uplink-Ausgleich angewendet. Im Fall, dass alle aktiven Schnittstellen ausfallen und die passiven Schnittstellen übernehmen, werden die Multipathregeln auf die passiven
Schnittstellen angewendet. Die Regeln werden natürlich nur angewendet, wenn es mehr als eine Schnittstelle gibt (aktiv oder passiv), zwischen denen der Verkehr verteilt werden kann.
Generell werden alle Dienste lastverteilt – auch ohne das Anlegen von Multipathregeln.
Multipathregeln erlauben es Ihnen aber, den Ausgleich für bestimmten Verkehr festzulegen.
Um eine Multipathregel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Multipathregeln auf Neue Multipathregel.
Das Dialogfenster Neue Multipathregel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Multipathregel ein.
Quelle: Wählen Sie eine Quell-IP-Adresse oder ein Quellnetzwerk aus, auf die oder das die Regel sich beziehen soll.
Dienst: Wählen Sie einen Netzwerkdienst aus, auf den die Regel sich beziehen soll.
Ziel: Wählen Sie eine Ziel-IP-Adresse oder ein Quellnetzwerk aus, auf die oder das die
Regel sich beziehen soll.
Schnittst. Bindung:Die Schnittstellen-Bindung ist ein Verfahren, das gewährleistet, dass Datenverkehr mit bestimmten Attributen immer über dieselbe Uplink-Schnittstelle geroutet wird.Die Bindung hat eine Zeitbeschränkung von einer Stunde. Sie können diese Einstellung jedoch auf der Registerkarte Uplink-Ausgleich ändern. Sie können bestimmen, was die Basis für die Bindung sein soll: l
Nach Verbindung: Der (Standard-)Ausgleich erfolgt abhängig von der
Verbindung, d. h. sämtlicher Datenverkehr, der zu einer bestimmten Verbindung gehört, verwendet dieselbe Schnittstelle, während Datenverkehr einer anderen
Verbindung an eine andere Schnittstelle gesendet werden kann.
l
Nach Quelle:: Ausgleich erfolgt abhängig von der Quell-IP-Adresse, d. h.
sämtlicher Datenverkehr, der aus einer Quelle stammt, verwendet dieselbe
168
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.1 Schnittstellen
Schnittstelle, während Datenverkehr aus anderen Quellen an eine andere
Schnittstelle gesendet werden kann.
l
Nach Ziel: Ausgleich erfolgt abhängig von der Ziel-IP-Adresse, d. h. sämtlicher
Datenverkehr für ein Ziel verwendet dieselbe Schnittstelle, während
Datenverkehr mit andren Zielen an eine andere Schnittstelle gesendet werden kann.
l
Nach Quelle/Ziel: Ausgleich erfolgt abhängig von Quell- und Ziel-IP-Adresse, d.
h. sämtlicher Datenverkehr aus einer bestimmten Quelle und mit einem bestimmten Ziel verwendet dieselbe Schnittstelle. Datenverkehr mit einer anderen Kombination aus Quelle und Ziel kann an eine andere Schnittstelle gesendet werden.
l
Nach Schnittstelle: Wählen Sie eine Schnittstelle aus der Auswahlliste Bind-
Schnittstelle. Der Verkehr, für den diese Regel zutrifft, wird über diese
Schnittstelle geroutet. Wenn eine Schnittstelle versagt und keine folgenden
Regeln zutreffen, wird für die Verbindung die Standardaktion angewendet.
Ausgleich an (nicht mit Bindung nach Schnittstelle): Fügen Sie eine
Schnittstellengruppe zum Feld hinzu. Der Verkehr, für den diese Regel zutrifft, wird über die Schnittstellen dieser Gruppe ausgeglichen.Standardeinstellung ist Uplink-
Schnittstellen, d. h. Verbindungen werden über alle Uplink-Schnittstellen ausgeglichen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Multipathregel wird in der Liste Multipathregeln angezeigt. Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
4.
Aktivieren Sie die Regel.
Die neue Multipathregel ist standardmäßig ausgeschaltet. Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Die Regel ist nun aktiviert (Statusampel zeigt Grün).
6.1.6 Hardware
Auf der Registerkarte Schnittstellen & Routing > Schnittstellen > Hardware sind alle konfigurierten Schnittstellen mit den entsprechenden Hardware-Informationen aufgelistet wie z. B. der Ethernet-Betriebsmodus und die MAC-Adresse.Für jede Schnittstelle kann die automatische Aushandlung (engl. auto negotiation) eingeschaltet oder ausgeschaltet werden.
UTM 9 Administratorhandbuch
169
6.1 Schnittstellen
6 Schnittstellen & Routing
Auto Negotiation (Automatische Aushandlung): Gewöhnlich wird der Ethernet-
Betriebsmodus (1000BASE-T Full-Duplex, 100BASE-T Full-Duplex, 100BASE-T Half-Duplex,
10BASE-T Half-Duplex, usw.) zwischen zwei Netzwerkgeräten automatisch ausgehandelt, indem der beste Betriebsmodus gewählt wird, der von beiden Geräten unterstützt wird. Dabei wird eine höhere Geschwindigkeit (z. B. 1000 Mbit/s) einer niedrigeren Geschwindigkeit (z. B.
100 Mbit/s) vorgezogen, und bei gleicher Geschwindigkeit wird Full-Duplex Half-Duplex vorgezogen.
Warnung – Für eine einwandfreie Funktion von 1000 Mbit/s ist die automatische
Aushandlung stets erforderlich und wird auch vom IEEE-Standard 802.3ab gefordert.Achten
Sie deshalb darauf, Auto Negotiation für Schnittstellen mit Link mode 1000BASE-T niemals auszuschalten. Die zeitliche Abstimmung Ihrer Netzwerkverbindung könnte scheitern, was zu eingeschränkter Funktionalität oder vollständigem Versagen führen kann. Bei der
Verwendung von 100 Mbit/s und 10 Mbit/s ist die automatische Aushandlung optional, ihr
Einsatz wird aber – sofern möglich – empfohlen.
Die automatische Aushandlung ist standardmäßig aktiviert.Klicken Sie in den seltenen Fällen, in denen sie abgeschaltet werden muss, auf die Schaltfläche Bearbeiten der entsprechenden
Netzwerkkarte und ändern Sie die Einstellung in dem erscheinenden Dialogfenster NIC-
Parameter bearbeiten über die Auswahlliste Link Mode.Klicken Sie auf Speichern, um Ihre
Änderungen zu speichern.
Warnung – Seien Sie vorsichtig, wenn Sie die automatische Aushandlung abschalten, da die
Leistung dieser Verbindung eingeschränkt oder sogar unterbrochen werden kann. Falls es sich bei der Netzwerkkarte um Ihre Schnittstelle zum WebAdmin handelt, wäre in diesem Fall kein Zugriff auf den WebAdmin mehr möglich!
Im Fall, dass eine der Schnittstellen ihre Netzwerkverbindung aufgrund einer Änderung an der automatischen Aushandlung oder den Geschwindigkeitseinstellungen verloren hat, wird eine
Änderung der Einstellung auf ihren ursprünglichen Wert normalerweise die Funktionalität nicht wiederherstellen: Das Ändern der automatischen Aushandlung oder den
Geschwindigkeitseinstellungen von nicht verbundenen Schnittstellen funktioniert nicht zuverlässig.Aktivieren Sie daher erst die automatische Aushandlung und starten Sie dann die
UTM neu, um die normale Funktionalität wiederherzustellen.
HA-Link-Überwachung: Wenn Hochverfügbarkeit aktiviert ist, werden alle konfigurierten
Schnittstellen auf ihren Link-Status hin überwacht.Falls ein Link ausfällt, wird eine Übernahme
170
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.2 Bridging
(Takeover) eingeleitet. Falls eine konfigurierte Schnittstelle nicht durchgehend verbunden ist
(z. B. die Administrationsschnittstelle), deaktivieren Sie bitte die HA-Link-Überwachung für diese Schnittstelle. Andernfalls werden alle HA-Knoten im Status NICHT VERBUNDEN verbleiben.Um die HA-Link-Überwachung zu deaktivieren, klicken Sie auf die Schaltfläche
Bearbeiten der entsprechenden Netzwerkkarte und ändern Sie die Einstellung in dem erscheinenden Dialogfeld NIC-Parameter bearbeiten.Klicken Sie auf Speichern, um Ihre
Änderungen zu speichern.
Set Virtual MAC: Unter Umständen ist es sinnvoll, die MAC-Adresse eines Geräts zu ändern.
Beispielsweise müssen die Modems einiger ISPs zurückgesetzt werden, wenn sich das angeschlossene Gerät und die damit verbundene MAC-Adresse ändert. Ein Zurücksetzen des
Modems lässt sich vermeiden, indem die MAC-Adresse auf den Wert des Vorgängergeräts gesetzt wird.
Die UTM überschreibt jedoch nicht die ursprüngliche MAC-Adresse des Geräts, sondern legt stattdessen eine virtuelle MAC-Adresse fest.Klicken Sie dazu auf die Schaltfläche Bearbeiten der entsprechenden Netzwerkkarte.Wählen Sie in dem erscheinenden Dialogfeld NIC-
Parameter bearbeiten die Option Set Virtual MAC und geben Sie eine gültige MAC-Adresse ein.Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
Klicken Sie auf die Schaltfläche Bearbeiten der entsprechenden Netzwerkkarte, um die ursprüngliche MAC-Adresse wiederherzustellen.Wählen Sie in dem erscheinenden Dialogfeld
NIC-Parameter bearbeiten die Option Virtuelle MAC setzen ab.Klicken Sie auf Speichern, um
Ihre Änderungen zu speichern.
6.2 Bridging
Das Bridging (engl. von „Brücke“) ist eine Methode zur Weiterleitung von Datenpaketen und wird hauptsächlich in Ethernet-Netzwerken eingesetzt. Im Gegensatz zum Routing trifft
Bridging keine Annahmen darüber, wo sich in einem Netzwerk eine bestimmte Adresse befindet. Stattdessen benutzt es Broadcast um unbekannte Geräte zu lokalisieren.
Durch Bridging können zwei oder auch mehrere gleichartige Netzwerke oder
Netzwerksegmente miteinander verbunden werden. Dabei werden die Datenpakete mittels
Bridging-Tabellen weitergeleitet, welche MAC-Adressen einem Bridge-Port zuordnen. Die entstehende Bridge übermittelt den Verkehr dann transparent durch die Bridging-
Schnittstellen.
UTM 9 Administratorhandbuch
171
6.2 Bridging
6 Schnittstellen & Routing
Hinweis – Diese Art von Verkehr muss explizit durch entsprechende Firewallregeln erlaubt werden.
Hinweis – Die meisten virtuellen Hosts lassen standardmäßig keine Änderungen von MAC-
Adressen oder den Promiscuous Mode auf ihren virtuellen Schnittstellen zu. Damit Bridging auf virtuellen Hosts ausgeführt werden kann, stellen Sie sicher, dass die Validierung auf den
MAC-Adressen des virtuellen Hosts deaktiviert und der Promiscuous Mode zugelassen ist.
6.2.1 Status
Um eine Bridge zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Bridging auf der Registerkarte Status.
Klicken Sie auf der Registerkarte Schnittstellen & Routing > Bridging > Status entweder auf die Statusampel oder auf die Schaltfläche Aktivieren.
Die Statusampel wird gelb und der Abschnitt Bridge-Konfiguration kann nun bearbeitet werden.
2.
Wählen Sie den Bridging-Modus aus.
Sie können zwischen zwei Bridging-Modi wählen: l
Bridge über alle NICs: Bei dieser Methode werden alle verfügbaren Ethernet-
Netzwerkkarten zu einer einzigen Bridge-Schnittstelle zusammengefasst.Die
Festlegung einer Konvertierungsschnittstelle ist in diesem Modus Pflicht. Alle
Schnittstellen außer der konvertierten Schnittstelle werden bei dieser Methode gelöscht.
l
Bridge über ausgewählte NICs: In diesem Modus können die NICs für die
Bridge individuell zusammengestellt werden. Hierfür werden mindestens zwei unkonfigurierte Netzwerkkarten benötigt. Wählen Sie eine oder mehrere
Netzwerkkarten aus, die Teil der Bridge werden sollen.Außerdem besteht die
Möglichkeit, eine Konvertierungsschnittstelle zu bestimmen, die auf die neue
Bridge übertragen wird.
3.
Wählen Sie die Netzwerkkarte für die Bridge aus.
Für das Bridging kann nur eine bereits konfigurierte Netzwerkkarte ausgewählt werden.Die Bridge übernimmt die Adresseinstellungen dieser Schnittstelle sowie die
Alias-Adressen und die VLAN-Einstellungen.
172
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.2 Bridging
4.
Klicken Sie auf Bridge einrichten.
Die Netzwerkkarten werden nun zusammengefasst und die Bridge wird aktiviert
(Statusampel zeigt Grün).
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
Sobald die Bridge konfiguriert ist, erscheint die umgewandelte Schnittstelle als Bridge-Gerät mit der SysID br0 auf der Registerkarte Schnittstellen & Routing > Schnittstellen.Alle Schnittstellen, die zur Bridge gehören, werden in der Bridge-Konfiguration angezeigt.Um eine Schnittstelle aus der Bridge zu entfernen, wählen Sie die entsprechende Option ab und klicken Sie auf
Bridge aktualisieren.
Um die Bridge zu entfernen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Status auf Aktivierung abbrechen.
Die Statusampel wird gelb.
2.
Klicken Sie auf Entfernen der Bridge bestätigen.
Die Statusampel wird rot. Die Bridge wurde erfolgreich entfernt.
6.2.2 Erweitert
Auf der Registerkarte Schnittstellen & Routing > Bridging > Erweitert können die folgenden
Optionen konfiguriert werden:
ARP-Broadcasts zulassen: Mit dieser Funktion können Sie bestimmen, ob eingehende
ARP-Broadcasts von der Bridge weitergeleitet werden sollen.Im eingeschalteten Zustand erlaubt die Bridge Anfragen an die MAC-Zieladresse FF:FF:FF:FF:FF:FF. Dies kann eventuell von mutmaßlichen Angreifern genutzt werden, um Informationen über die
Netzwerkkarten im entsprechenden Netzwerksegment oder sogar auf dem Gerät selbst zu sammeln. Daher ist die Standardeinstellung, solche Broadcasts nicht durch die Bridge zu lassen.
Spanning Tree Protocol: Wenn diese Option aktiviert ist, wird das Spanning Tree Protocol
(STP) aktiviert. Dieses Netzwerkprotokoll erkennt und verhindert Bridge-Loops.
Achtung – Beachten Sie, dass das Spanning Tree Protocol keinen Schutz bietet. Daher können Angreifer möglicherweise die Bridge-Topologie ändern.
UTM 9 Administratorhandbuch
173
6.3 Dienstqualität (QoS)
6 Schnittstellen & Routing
Ablaufzeit: In diesem Eingabefeld stellen Sie ein, nach welcher Zeitspanne eine inaktive MAC-
Adresse gelöscht wird. Standardmäßig ist als Zeitraum 300 Sekunden voreingestellt.
IPv6-Durchleitung zulassen: Aktivieren Sie diese Option, um die Durchleitung von IPv6-
Verkehr über die Bridge ohne Kontrolle zuzulassen.
Virtuelle MAC-Adresse: Hier können Sie eine statische MAC-Adresse für die Bridge eingeben. Standardmäßig (und solange der Eintrag 00:00:00:00:00:00 lautet) verwendet die
Bridge die niedrigste MAC-Adresse aller zugehörigen Schnittstellen.
Weitergeleitete EtherTypes: Standardmäßig leitet eine Bridge, die auf Sophos UTM konfiguriert ist, nur IP-Pakete weiter. Wenn Sie möchten, dass weitere Protokolle weitergeleitet werden, müssen Sie deren EtherType in dieses Feld eingeben. Die Typen müssen als 4stellige hexadezimale Zahlen angegeben werden. Beliebte Beispiele sind AppleTalk (Typ
809B), Novell (Typ 8138) oder PPPoE (Typen 8863 und 8864).Ein typischer Fall wäre eine
Bridge zwischen Ihren RED-Schnittstellen, die zusätzliche Protokolle zwischen den verbundenen Netzwerken weiterleiten sollen.
6.3 Dienstqualität (QoS)
Im Allgemeinen bezeichnet Dienstqualität (QoS, engl. Quality of Service)
Kontrollmechanismen, die dafür sorgen, dass ausgewählter Netzwerkverkehr bevorzugt behandelt und insbesondere dass diesem eine Mindestbandbreite zugesichert wird.In Sophos
UTM wird zu priorisierender Verkehr auf der Registerkarte Dienstqualität konfiguriert. Hier können Sie für bestimmte Arten von ausgehendem Verkehr, der zwei Punkte im Netzwerk passiert, eine garantierte Bandbreite reservieren. Dahingegen wird die Optimierung von
Kapazitäten (engl. traffic shaping) für eingehenden Verkehr intern durch verschiedene
Techniken umgesetzt, z. B. durch Stochastic Fairness Queuing (SFQ) oder Random Early
Detection (RED).
6.3.1 Status
Auf der Registerkarte Dienstqualität (QoS) > Status sind die Netzwerkkarten aufgelistet, für die
QoS konfiguriert werden kann. Standardmäßig ist QoS für alle Schnittstellen ausgeschaltet.
Um die Bandbreiten, die Ihr ISP bereitstellt, für Down- und Uplink zu konfigurieren (in Kbit/s), klicken Sie auf die Schaltfläche Edit der jeweiligen Schnittstelle.Um z. B. eine
Internetverbindung mit 5 Mbit/s für Up- und Downlink zu konfigurieren, geben Sie 5120 ein.
174
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.3 Dienstqualität (QoS)
Sollte Ihre Bandbreite variieren, geben Sie den niedrigsten garantierten Wert an, der von
Ihrem ISP zugesichert wird. Wenn Sie beispielsweise eine Internetverbindung mit 5 Mbit/s für
Up- und Downlink mit einer Variation von 0,8 Mbit/s haben, geben Sie 4300 Kbit/s an. Beachten
Sie, dass das Gateway eine veränderte Bandbreite berücksichtigt, wenn die verfügbare
Bandbreite temporär höher ausfällt als der konfigurierte tiefste zugesicherte Wert. Dabei wird der prozentuale Anteil an der Bandbreite für zu priorisierenden Verkehr entsprechend erhöht; umgekehrt funktioniert das jedoch leider nicht.
Uplink begrenzen: Wenn Sie diese Option wählen, nutzt die Funktion QoS die oben eingetragenen Bandbreitenwerte als Basis für die Kalkulation des zu priorisierenden
Datenverkehrs, der diese Schnittstelle passiert.Die Option Uplink begrenzen ist standardmäßig ausgewählt und sollte für die folgenden Arten von Schnittstellen verwendet werden: l
Ethernet-Standard-Schnittstelle: Zwischen Gateway und Internet ist ein Router installiert und die vom Router bereitgestellte Bandbreite ist bekannt.
l
Ethernet-VLAN-Schnittstelle: Zwischen Gateway und Internet ist ein Router installiert und die vom Router bereitgestellte Bandbreite ist bekannt.
l
DSL (PPPoE) l
DSL (PPPoA) l
Modem (PPP)
Die Option Uplink begrenzen sollte grundsätzlich für jene Schnittstellen ausgeschaltet werden, bei denen die Basis für die Bandbreiten-Kalkulation schon durch die Maximalgeschwindigkeit der jeweiligen Schnittstelle ermittelt werden kann. Dies betrifft jedoch nur die folgenden
Schnittstellen-Typen: l
Ethernet-Standard-Schnittstelle: Direkt mit dem Internet verbunden.
l
Ethernet-VLAN-Schnittstelle: Direkt mit dem Internet verbunden.
l
Kabelmodem (DHCP)
Bei Schnittstellen ohne eine Uplink-Grenze verteilt die QoS-Funktion den gesamten
Datenverkehr proportional. Wenn Sie beispielsweise auf einer Kabelmodem-Schnittstelle 512
Kbit/s für VoIP-Verkehr reserviert haben und sich die verfügbare Bandbreite halbiert, dann würden 256 Kbit/s für diesen Datenverkehr verwendet werden (im Gegensatz zu Schnittstellen mit einer festen Obergrenze funktioniert proportionale Verteilung in beiden Richtungen).
Download-Ausgleich: Wenn diese Option aktiviert ist, verhindern die beiden
Warteschlangen-Algorithmen Stochastic Fairness Queuing (SFQ) und Random Early
Detection (RED), dass es zu Netzwerkstaus kommt. Im Fall dass die konfigurierte Download-
UTM 9 Administratorhandbuch
175
6.3 Dienstqualität (QoS)
6 Schnittstellen & Routing
Geschwindigkeit erreicht ist, werden Pakete jener Verbindung verworfen, die den meisten
Downlink in Anspruch nimmt.
Upload-Optimierung: Wenn diese Option aktiviert ist, werden ausgehende TCP-Pakete, die eine Verbindung aufbauen, priorisiert (TCP-Pakete mit SYN-Flag) ebenso wie TCP-
Bestätigungspakete (TCP-Pakete mit ACK-Flag und einer Paketlänge zwischen 40 und 60
Bytes) und DNS-Lookups (UDP-Pakete auf Port 53).
6.3.2 Verkehrskennzeichner
Ein Verkehrskennzeichner (engl. traffic selector) kann als eine QoS-Definition angesehen werden, die bestimmte Arten von Netzwerkverkehr beschreibt, die von QoS bearbeitet werden. Diese Definitionen werden später innerhalb der Bandbreiten-Pool-Definition verwendet. Dort können Sie festlegen, wie dieser Verkehr von QoS behandelt wird, indem Sie z. B. die komplette Bandbreite begrenzen oder dem Verkehr einen gewissen Mindestanteil der
Bandbreite zusichern.
Um einen Verkehrskennzeichner anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Verkehrskennzeichner auf Neuer
Verkehrskennzeichner.
Das Dialogfenster Neuen Verkehrskennzeichner erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diesen Verkehrskennzeichner ein.
Kennzeichnertyp: Sie können folgende Arten von Kennzeichnern festlegen: l
Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird der
Verkehr auf Grundlage eines einzelnen Dienstes oder einer Dienstgruppe reguliert.
l
Anwendungskennzeichner: Verwenden Sie einen Anwendungskennzeichner, wird der Verkehr auf Grundlage von Anwendungen reguliert, d. h. je nachdem, zu welcher Anwendung er gehört, unabhängig vom verwendeten Port oder Dienst.
l
Gruppe: Sie können verschiedene Dienst- und Anwendungskennzeichner in einer Verkehrskennzeichnerregel zusammenfassen. Um eine Gruppe definieren zu können, müssen bereits einzelne Kennzeichner definiert sein.
Quelle: Wählen Sie das Quellnetzwerk aus, für das QoS aktiviert werden soll.
176
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.3 Dienstqualität (QoS)
Dienst: Nur für Verkehrskennzeichner. Wählen Sie den Netzwerkdienst aus, für den
QoS aktiviert werden soll. Sie können zwischen verschiedenen vordefinierten Diensten und Dienstgruppen auswählen.Wenn Sie z. B. für VoIP-Verbindungen eine bestimmte
Bandbreite reservieren möchten, wählen Sie VoIP-Protokolle (SIP und H.323) aus.
Ziel: Wählen Sie das Zielnetzwerk aus, für das QoS aktiviert werden soll.
Kontrollieren durch: Nur für Anwendungskennzeichner. Wählen Sie aus, ob die
Regulierung des Verkehrs auf Grundlage des jeweiligen Anwendungstyps oder kategoriebasiert durch einen dynamischen Filter erfolgen soll.
l
Anwendungen: Der Verkehr wird anwendungsbasiert reguliert.Wählen Sie im
Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l
Dynamischer Filter: Der Verkehr wird kategoriebasiert reguliert.Wählen Sie im
Feld Diese Kategorien kontrollieren eine oder mehrere Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Nur für
Anwendungskennzeichner. Klicken Sie auf das Ordnersymbol, um
Anwendungen/Kategorien auszuwählen. Ein Dialogfenster wird geöffnet, das im nächsten Abschnitt detailliert beschrieben wird.
Produktivität: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten
Produktivitätswert wieder.
Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten Risikowert wieder.
Hinweis – Einige Anwendungen sind von der Regulierung ausgeschlossen.Dies ist für einen reibungslosen Betrieb von Sophos UTM erforderlich.Bei diesen Anwendungen wird in der Anwendungstabelle des Dialogfensters Anwendung auswählen kein
Auswahlkästchen angezeigt. Dies trifft u. a. für WebAdmin, Teredo, SixXs (für IPv6-
Verkehr) und Portal (für Benutzerportal-Verkehr) zu. Wenn Sie dynamische Filter verwenden, wird die Regulierung dieser Anwendungen ebenfalls automatisch verhindert.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Nehmen Sie optional die folgenden erweiterten Einstellungen vor:
UTM 9 Administratorhandbuch
177
6.3 Dienstqualität (QoS)
6 Schnittstellen & Routing
TOS/DSCP (nur beim Kennzeichnertyp Verkehrskennzeichner): In bestimmten Fällen kann es sinnvoll sein, Datenverkehr, der von QoS bearbeitet werden soll, nicht nur über
Quelle, Ziel und Dienst zu unterscheiden, sondern auch über die TOS- oder DSCP-
Flags im IP-Header.
l
Aus: Mit dieser Standardoption wird sämtlicher Datenverkehr, der mit Quelle,
Dienst und Ziel übereinstimmt, der oben eingestellt wurde, mit QoS bearbeitet.
l
TOS-Bits: TOS-Bits: Wählen Sie diese Option aus, wenn der mit QoS bearbeiteten Datenverkehr auf IP-Pakete mit bestimmten TOS-Bits (Type of
Service) beschränkt werden soll. Sie können zwischen den folgenden
Einstellungen wählen:TOS-Bits: l
Normaler Dienst l
Kosten minimieren l
Zuverlässigkeit maximieren l
Durchsatz maximieren l
Verzögerung minimieren l
DSCP-Bits: DSCP-Bits: Wählen Sie diese Option aus, wenn der mit QoS bearbeiteten Datenverkehr auf IP-Pakete mit bestimmten DSCP-Bits
(Differentiated Services Code Point) beschränkt werden soll.Sie können entweder einen einzigen DSCP-Wert festlegen (eine Ganzzahl im Bereich 0 bis
63) oder einen vordefinierten Wert aus der Liste DSCP-Klassen (z. B. BE default
dscp (000000)) auswählen.
Datenmenge gesendet/empfangen: Aktivieren Sie dieses Auswahlkästchen, wenn der Verkehrskennzeichner die Übereinstimmung aufgrund der Anzahl der von der
Verbindung bisher übertragenen Bytes vornehmen soll. Mit dieser Funktion können Sie z. B. die Bandbreite von großen HTTP-Uploads einschränken, ohne den normalen
HTTP-Verkehr zu beeinträchtigen.
l
Gesendet/empfangen: Wählen Sie aus der Auswahlliste Mehr als aus, um den
Verkehrskennzeichner nur für Verbindungen zu definieren, die eine bestimmte
Verkehrsmenge überschreiten.Wählen Sie Weniger als aus, um ihn für
Verbindungen mit bisher weniger Verkehr zu definieren.
l
kByte: Geben Sie den Schwellenwert für die Verkehrsmenge ein.
4.
Klicken Sie auf Speichern.
Der neue Kennzeichner wird in der Liste Verkehrskennzeichner angezeigt.
178
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.3 Dienstqualität (QoS)
Wenn Sie viele Verkehrskennzeichner definiert haben, können Sie mehrere Kennzeichner zu einer Verkehrskennzeichnergruppe zusammenfügen, um die Konfiguration bequemer zu gestalten.
Dieser Verkehrskennzeichner oder diese Verkehrskennzeichnergruppe kann nun für jeden
Bandbreiten-Pool verwendet werden.Diese Pools können auf der Registerkarte Bandbreiten-
Pools definiert werden.
Da s Dia logfe nste r zur Auswa hl von Anwe ndunge n ode r
Ka te gor ie n
Beim Erstellen von Application-Control-Regeln müssen Sie Anwendungen oder
Anwendungskategorien aus dem Dialogfenster Wählen Sie eine oder mehrere
Anwendungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle im unteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die auswählbar sind oder zu einer definierten Kategorie gehören. Standardmäßig werden alle
Anwendungen angezeigt.
Im oberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann: l
Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst alle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt; d. h. alle verfügbaren Anwendungen werden unten in der Tabelle gelistet. Möchten Sie die angezeigten Anwendungen auf bestimmte Kategorien beschränken, klicken Sie in die
Liste mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus.
l
Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf die
Produktivität klassifiziert, d. h., wie stark sie die Produktivität beeinflussen. Beispiel:
Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung der Anwendung trägt somit zur Produktivität bei. Im Gegensatz dazu ist das Onlinespiel
Farmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNS besitzt die Bewertung 3 – er wirkt sich neutral auf die Produktivität aus.
l
Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezüglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je höher die Bewertung, desto höher das
Risiko.
Tipp – Jede Anwendung verfügt über ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie können die Tabelle mithilfe des
Filterfelds in der Kopfzeile durchsuchen.
UTM 9 Administratorhandbuch
179
6.3 Dienstqualität (QoS)
6 Schnittstellen & Routing
Abhängig von Ihrer Auswahl im Dialogfenster Neuen Verkehrskennzeichner erstellen gehen
Sie folgendermaßen vor: l
Kontrolle durch dynamischen Filter: Klicken Sie auf Apply, um die ausgewählten
Anwendungen für die Regel zu übernehmen.
l
Anwendungsbasierte Kontrolle: Wählen Sie die zu kontrollierenden Anwendungen in der
Tabelle aus, indem Sie auf die Auswahlkästchen klicken, die vor den Anwendungen angezeigt werden.Klicken Sie auf Apply, um die ausgewählten Anwendungen für die
Regel zu übernehmen.
Nachdem Sie auf Apply geklickt haben, wird das Dialogfenster geschlossen und Sie können die
Einstellungen der Verkehrskennzeichnerregel weiter bearbeiten.
6.3.3 Bandbreiten-Pools
Auf der Registerkarte Dienstqualität > Bandbreiten-Pools werden die Pools für das
Bandbreiten-Management definiert und verwaltet.
Um einen Bandbreiten-Pool anzulegen, gehen Sie folgendermaßen vor:
1.
Wählen Sie auf der Registerkarte Bandbreiten-Pools eine Schnittstelle aus.
Wählen Sie aus der Auswahlliste diejenige Schnittstelle aus, für die Sie einen
Bandbreiten-Pool definieren möchten.
2.
Klicken Sie auf die Schaltfläche Neuer Bandbreiten-Pool.
Das Dialogfenster Neuen Bandbreiten-Pool erstellen wird geöffnet.
3.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den Bandbreiten-Pool ein.
Position: Die Positionsnummer legt die Priorität des Bandbreiten-Pools fest. Niedrigere
Nummern haben eine höhere Priorität. Bandbreiten-Pools werden in aufsteigender
Reihenfolge abgeglichen. Sobald ein Bandbreiten-Pool zutrifft, werden Bandbreiten-
Pools mit einer höheren Nummer nicht mehr abgeglichen. Platzieren Sie spezifischere
Pools oben in der Liste, um sicherzustellen, dass ungenauere Pools zuletzt abgeglichen werden.Beispiel: Sie haben einen Bandbreiten-Pool für Internet-Datenverkehr (HTTP) im Allgemeinen und einen weiteren Pool für den Internet-Datenverkehr zu einem bestimmten Webserver definiert. Dann sollte der Bandbreiten-Pool mit dem spezifischen
Webserver vorrangig positioniert, d. h. auf Position 1 gesetzt werden.Beachten Sie allerdings, dass die Prioritäten keine Wirkung haben, wenn die darin enthaltenen
180
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.3 Dienstqualität (QoS)
Verkehrskennzeichner verschiedenen Schnittstellen zugeordnet sind, auf denen QoS aktiv ist.
4.
Bandbreite: Tragen Sie die Uplink-Bandbreite (in Kbit) ein, die für diesen Bandbreiten-
Pool reserviert werden soll.Wenn Sie z. B. 1 Mbit/s für eine bestimmte Art von
Datenverkehr reservieren möchten, geben Sie 1024 ein.
Hinweis – Es können für einen Bandbreiten-Pool lediglich bis zu 90 % der zur
Verfügung stehenden Gesamtbandbreite reserviert werden. Das Gateway reserviert grundsätzlich 10 % für den vom Bandbreiten-Management unberücksichtigten
Datenverkehr. Um bei dem Beispiel von oben zu bleiben: Wenn der Uplink 5 Mbit/s beträgt, und Sie möchten VoIP soviel Bandbreite wie möglich zuweisen, können Sie für den VoIP-Datenverkehr eine Bandbreite von maximal 4608 Kbit/s reservieren.
Obere Bandbreitengrenze angeben: Der Wert, den Sie oben im Feld Bandbreite angegeben haben, stellt die zugesicherte Bandbreite dar, die für einen speziellen
Verkehrstyp reserviert ist. Ein Bandbreiten-Pool beansprucht jedoch immer mehr
Bandbreite für seinen Verkehr als verfügbar ist. Wenn Sie für einen bestimmten
Verkehrstyp verhindern wollen, dass er mehr als eine bestimmte Menge Ihrer
Bandbreite verbraucht, wählen Sie diese Option aus, um die Bandbreitennutzung dieses
Pools auf eine Obergrenze zu beschränken.
Verkehrskennzeichner: Wählen Sie den Verkehrskennzeichner für diesen
Bandbreiten-Pool aus.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
5.
Klicken Sie auf Speichern.
Der neue Bandbreiten-Pool wird in der Liste Bandbreiten-Pools angezeigt.
6.3.4 Erweitert
Kla ssifizie r ung na ch Ve r ka pse lung be ibe ha lte n
Markieren Sie dieses Auswahlkästchen, wenn Sie gewährleisten möchten, dass ein Paket nach der Verkapselung weiterhin dem Verkehrskennzeichner des ursprünglichen Dienstes zugewiesen wird, wenn es keinen anderen übereinstimmenden Verkehrskennzeichner gibt.
Die Zuweisung eines gekapselten IP-Pakets zu einem Verkehrskennzeichner erfolgt wie folgt:
UTM 9 Administratorhandbuch
181
6.4 Uplink-Überwachung
6 Schnittstellen & Routing
1.
Das ursprüngliche IP-Paket wird in der vorgegebenen Reihenfolge mit den vorhandenen Verkehrskennzeichnern abgeglichen. Das Paket wird dem ersten
übereinstimmenden Verkehrskennzeichner zugewiesen (z. B. Internal -> HTTP -> Any).
2.
Das IP-Paket wird gekapselt und der Dienst geändert (z. B. in IPsec).
3.
Das gekapselte IP-Paket wird in der vorgegebenen Reihenfolge mit den vorhandenen
Verkehrskennzeichnern abgeglichen. Das Paket wird dem ersten übereinstimmenden
Verkehrskennzeichner zugewiesen (z. B. Internal -> IPsec -> Any).
4.
Wenn kein Verkehrskennzeichner übereinstimmt, ist die Zuweisung von der Option
Klassifizierung nach Verkapselung beibehalten abhängig: l
Ist die Option ausgewählt, wird das gekapselte Paket dem Verkehrskennzeichner aus Schritt 1 zugewiesen.
l
Ist die Option nicht ausgewählt, wird das gekapselte Paket keinem
Verkehrskennzeichner zugewiesen und kann daher nicht Bestandteil eines
Bandbreiten-Pools sein.
Explicit-C onge stion-Notifica tion-Unte r stützung
ECN (Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermöglicht End-to-End-Benachrichtigungen über Netzwerküberlastungen, ohne dass Pakete verworfen werden. ECN funktioniert nur, wenn beide Endpunkte einer Verbindung erfolgreich
über die Verwendung verhandeln.Durch Markieren dieses Auswahlkästchen sendet die UTM
Information, dass sie bereit ist, ECN zu verwenden. Stimmt der andere Endpunkt zu, werden
ECN-Informationen ausgetauscht. Beachten Sie, dass auch das zugrunde liegende Netzwerk und die beteiligten Router ECN unterstützen müssen.
6.4 Uplink-Überwachung
Das Menü Schnittstellen & Routing > Uplink-Überwachung gibt Ihnen die Möglichkeit, Ihre
Uplink-Verbindung (Internet-Verbindung) zu überwachen und bestimmte Aktionen vorzugeben, die im Fall, dass sich der Verbindungsstatus ändert, automatisch ausgeführt werden.
Beispielsweise kann automatisch ein Ersatz-VPN-Tunnel aktiviert werden, der eine andere
Verbindung benutzt. Oder es wird eine Alias-IP-Adresse deaktiviert, so dass ein
Überwachungsdienst aktiviert wird.
182
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.4 Uplink-Überwachung
6.4.1 Allgemein
Auf der Registerkarte Uplink-Überwachung > Allgemein können Sie die Uplink-Überwachung ein- oder ausschalten.
Um die Uplink-Überwachung einzuschalten, klicken Sie entweder auf die Schaltfläche Enable oder die Statusampel.
Die Statusampel wird grün.Der Uplink-Status wird entweder ONLINE angezeigt, wenn die
Uplink-Verbindung hergestellt ist, oder OFFLINE, wenn die Uplink-Verbindung unterbrochen ist.Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
6.4.2 Aktionen
Auf der Registerkarte Schnittstellen & Routing > Uplink-Überwachung > Aktionen können Sie
Aktionen definieren, die im Fall, dass sich der Uplink-Status ändert, automatisch durchgeführt werden. Beispielsweise möchten Sie vielleicht zusätzliche Adressen deaktivieren, wenn die
Uplink-Verbindung unterbrochen ist.
Um eine neue Aktion anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Aktionen auf Neue Aktion.
Das Dialogfeld Neue Aktion anlegen für unterbrochenen Uplink wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Aktion ein.
Typ: Wählen Sie den Verbindungstyp, für den Sie eine Aktion definieren wollen.
l
IPsec-Tunnel: Wählen Sie diese Option aus der Auswahlliste, wenn Sie eine
Aktion für einen IPsec-Tunnel definieren wollen.
l
Zusätzliche Adressen: Wählen Sie diese Option aus der Auswahlliste, wenn Sie eine Aktion für eine zusätzliche Adresse definieren wollen.
IPsec-Tunnel: (Nur verfügbar wenn IPsec-Tunnel als Typ festgelegt wurde.) Wenn mindestens ein IPsec-Tunnel definiert ist, können Sie hier einen von ihnen auswählen.Weitere Informationen über IPsec-Tunnel finden Sie in Kapitel Fernzugriff >
UTM 9 Administratorhandbuch
183
6.4 Uplink-Überwachung
6 Schnittstellen & Routing
Zus. Adresse: (Nur verfügbar wenn Zusätzliche Adresse als Typ festgelegt wurde.)
Wenn mindestens eine zusätzliche Adresse definiert ist, können Sie hier eine von ihnen auswählen.Weitere Informationen über zusätzliche Adressen finden Sie in Kapitel
Schnittstellen & Routing > Schnittstellen >
.
Aktion: Sie können hier entweder Enable oder Disable wählen, was bedeutet, dass im
Fall einer Uplink-Unterbrechung der oben gewählte IPsec-Tunnel oder die zusätzliche
Adresse aktiviert oder deaktiviert wird.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die Aktion wird gespeichert und im Fall, dass die Uplink-Verbindung unterbrochen wird, ausgeführt.
Um eine Aktion zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
6.4.3 Erweitert
Auf der Registerkarte Uplink-Überwachung > Erweitert können Sie die automatische
Überwachung der Uplink-Verbindung deaktivieren und stattdessen einen oder mehrere Hosts angeben, die für die Überwachung verwendet werden sollen. Diese Hosts werden dann in gewissen Abständen über Ping angesprochen, und wenn keiner von ihnen erreichbar ist, gilt die Uplink-Verbindung als unterbrochen.Anschließend werden die Aktionen ausgeführt, die in der Registerkarte Aktionen definiert sind.
Um Ihre eigenen Hosts für die Überwachung zu verwenden, gehen Sie folgendermaßen vor:
1.
Wählen Sie das Auswahlkästchen Automatische Überwachung ab.
Das Objektfeld Überwachte Hosts kann nun bearbeitet werden.
2.
Fügen Sie einen oder mehrere Hosts zum Feld Überwachte Hosts hinzu.
Sie können den/die Hosts entweder aus der Objektleiste auswählen oder neue Hosts anlegen.
3.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Ihre Einstellungen werden gespeichert.Die definierten Hosts werden nun für die
Überwachung verwendet.
184
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.5 IPv6
6.5 IPv6
Ab Version 8 unterstützt Sophos UTM IPv6, den Nachfolger von IPv4.
Die folgenden Funktionen von Administratorhandbuch unterstützen IPv6 ganz oder teilweise.
l
Zugang zum WebAdmin und zum Benutzerportal l
SSH l
NTP l
SNMP l
SLAAC- (Stateless Address Autoconfiguration) und DHCPv6-Client-Unterstützung für alle dynamischen Schnittstellen l
DNS l
DHCP-Server l
BGP l
OSPF l
IPS l
Firewall l
NAT l
ICMP l
Webfilter l
Web Application Firewall l
SMTP l
IPsec (nur Site-to-Site) l
Syslog-Server
6.5.1 Allgemein
Auf der Registerkarte IPv6 > Allgemein können Sie die IPv6-Unterstützung für Sophos UTM aktivieren.Außerdem werden hier IPv6-Statusinformationen angezeigt, wenn IPv6 aktiviert ist.
UTM 9 Administratorhandbuch
185
6.5 IPv6
6 Schnittstellen & Routing
Die IPv6-Unterstützung ist standardmäßig ausgeschaltet. Um IPv6 zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie IPv6 auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün.Wenn IPv6 bisher noch nicht aktiviert oder konfiguriert wurde, wird im Abschnitt Konnektivität der Ausdruck None angegeben.
Sobald IPv6 aktiviert ist, werden Sie im WebAdmin viele Netzwerkdefinitionen und Definitionen von anderen Objekten vorfinden, die sich explizit auf IPv6 beziehen. Im Allgemeinen können Sie diese genauso verwenden, wie Sie es von den IPv4-Objekten gewöhnt sind.
Hinweis – Wenn IPv6 aktiviert ist, tragen die Symbole von Netzwerkobjekten eine zusätzliche
Markierung, die Ihnen anzeigt, ob es sich bei dem jeweiligen Objekt um ein IPv6- oder ein
IPv4-Objekt handelt oder um beides.
6.5.2 Präfix-Bekanntmachungen
Auf der Registerkarte IPv6 > Präfix-Bekanntmachungen können Sie Ihre Sophos UTM so konfigurieren, dass sie Clients ein IPv6-Adresspräfix zuweist, welches diesen dann ermöglicht, sich selbst eine IPv6-Adresse auszuwählen.Die Präfix-Bekanntmachung (prefix advertisement) oder Router-Bekanntmachung (router advertisement) ist eine IPv6-Funktion, bei der sich Router (in diesem Fall die Administratorhandbuch) in gewisser Weise wie ein
DHCP-Server unter IPv4 verhalten. Die Router weisen den Clients IPs jedoch nicht direkt zu.Stattdessen weisen sich die Clients in einem IPv6-Netzwerk eine sogenannte link-lokale
Adresse für die erste Kommunikation mit dem Router zu. Der Router teilt dem Client dann das
Präfix für dessen Netzwerksegment mit. Daraufhin generiert sich der Client eine IP-Adresse, die aus dem Präfix und seiner MAC-Adresse besteht.
Um ein neues Präfix anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Präfix-Bekanntmachungen auf Neues Präfix.
Das Dialogfenster Neues Präfix anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Wählen Sie eine Schnittstelle aus, die mit einer IPv6-Adresse und einer
64-Bit-Netzmaske konfiguriert ist.
DNS-Server 1/2 (optional): Die IPv6-Adressen der DNS-Server.
186
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.5 IPv6
Domäne (optional): Tragen Sie den Domänennamen ein, der an die Clients übermittelt werden soll (z. B. intranet.beispiel.de).
Gültige Lebensdauer: Der Zeitraum, für den das Präfix gültig sein soll. Der
Standardwert ist 30 Tage.
Bevorzugte Lebensdauer: Der Zeitraum, nach dem ein anderes Präfix, dessen bevorzugte Lebensdauer noch nicht vorüber ist, vom Client gewählt werden soll. Der
Standardwert ist 7 Tage.
Andere Konfig (optional): Diese Option ist standardmäßig ausgewählt. Sie stellt sicher, dass ein angegebener DNS-Server und ein Domänenname zusammen mit dem angegebenen Präfix über DHCPv6 bekannt gegeben werden.Dies ist nützlich, da es zurzeit zu wenig Clients gibt, die DNS-Informationen von den Präfix-Bekanntmachungen
( RFC 5006 / RFC 6106 ) abrufen können. Beachten Sie, dass diese DHCPv6-
Konfiguration versteckt verläuft und daher über das DHCP-Konfigurationsmenü weder sichtbar noch editierbar ist. Diese Option ist die Voraussetzung dafür, dass IPv6 unter
Windows Vista/7 funktioniert.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Präfix-Konfiguration wird in der Liste Präfix-Bekanntmachungen angezeigt.
6.5.3 6to4
Auf der Registerkarte IPv6 > 6to4 können Sie Sophos UTM so konfigurieren, dass IPv6-
Adressen automatisch über ein vorhandenes IPv4-Netzwerk getunnelt werden.Bei 6to4 hat jede IPv4-Adresse ein /48-Präfix aus dem IPv6-Netzwerk, auf das sie abgebildet wird.Die
daraus resultierende IPv6-Adresse besteht aus dem Präfix 2002 und der IPv4-Adresse in hexadezimaler Schreibweise.
Hinweis – Sie können entweder 6to4 oder Tunnel-Broker aktiviert haben.
Um das Tunneln von IP-Adressen für eine bestimmte Schnittstelle zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie 6to4 auf der Registerkarte 6to4.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
UTM 9 Administratorhandbuch
187
6.5 IPv6
6 Schnittstellen & Routing
Die Statusampel wird gelb und die Abschnitte 6to4 sowie Erweitert können nun bearbeitet werden.
2.
Wählen Sie eine Schnittstelle aus.
Wählen Sie eine Schnittstelle aus der Auswahlliste Schnittstelle, die eine öffentliche IPv6-
Adresse besitzt.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.Der Schnittstellenstatus wird auf der
Registerkarte Allgemein angezeigt.
Er we ite r t
Sie können die Server-Adresse ändern, um einen anderen 6to4-Relay-Server zu verwenden.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
6.5.4 Tunnel-Broker
Auf der Registerkarte IPv6 > Tunnel-Broker können Sie die Verwendung eines Tunnel-Broker aktivieren. Die Tunnelvermittlung (tunnel brokerage) ist ein Dienst, der von einigen ISPs angeboten wird, und es ermöglicht, über IPv6-Adressen auf das Internet zuzugreifen.
Hinweis – Sie können entweder 6to4 oder Tunnel-Broker aktiviert haben.
Sophos UTMunterstützt die folgenden Tunnel-Broker (Vermittlungsdienste): l
Teredo (nur Anonymous) l
Freenet6 (nach GoGo6 ) (Anonymous oder mit Benutzerkonto) l
SixXS (Benutzerkonto erforderlich)
Um einen Tunnel-Broker zu verwenden, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die Tunnelvermittlung auf der Registerkarte Tunnel-Broker.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und die Abschnitte Tunnel-Broker sowie Erweitert können nun bearbeitet werden. Der Tunnel-Broker ist sofort aktiv und verwendet Teredo mit anonymer Authentifizierung.Der Verbindungsstatus wird auf der Registerkarte
Allgemein angezeigt.
188
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.6 Statisches Routing
Tunne l-Br oke r
Sie können die Standardeinstellungen für den Tunnel-Broker ändern.
Authentifizierung: Wählen Sie eine Authentifizierungsmethode aus der Auswahlliste.
l
Anonymous: Bei dieser Methode benötigen Sie kein Benutzerkonto bei dem entsprechenden Broker. Die zugewiesene IP-Adresse ist jedoch nur temporär.
l
User: Sie müssen sich bei dem entsprechenden Broker anmelden, um ein
Benutzerkonto zu bekommen.
Broker: Wählen Sie einen anderen Broker aus der Auswahlliste aus.
Benutzername (nur bei User verfügbar): Geben Sie Ihren Benutzernamen für den entsprechenden Broker an.
Kennwort (nur bei User verfügbar): Geben Sie Ihr Kennwort für den Benutzernamen an.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Er we ite r t
Hier können Sie eine andere Server-Adresse für den gewählten Tunnel-Broker angeben.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
6.6 Statisches Routing
Jeder an ein Netzwerk angeschlossener Computer verwendet eine Routing-Tabelle, mit deren
Hilfe er feststellt, welchen Weg ein ausgehendes Datenpaket nehmen muss, um sein Ziel zu erreichen. Die Routing-Tabelle enthält z. B. Informationen darüber, ob sich eine Zieladresse im lokalen Netzwerk befindet oder ob das Datenpaket über einen Router weitergeleitet werden muss. Falls ein Router beteiligt ist, enthält die Tabelle die Information, welcher Router für welches Netzwerk benutzt werden muss.
Zwei Routenarten können zur Routing-Tabelle von Sophos UTM hinzugefügt werden: statische Routen und Richtlinienrouten. Bei statischen Routen werden die Routingziele lediglich von der Zieladresse der Datenpakete bestimmt. Bei Richtlinienrouten ist es möglich, das
Routing anhand der Quellschnittstelle, der Absenderadresse, dem Dienst oder der Zieladresse zu bestimmen.
UTM 9 Administratorhandbuch
189
6.6 Statisches Routing
6 Schnittstellen & Routing
Hinweis – Sie brauchen für Netzwerke, die direkt an die Schnittstellen des Gateways angeschlossen sind, sowie für Standardrouten keine Routing-Einträge anzulegen.Diese
Routing-Einträge werden vom System automatisch erstellt.
6.6.1 Statische Routen
Für die direkt angeschlossenen Netzwerke trägt das System die entsprechenden Routing-
Einträge selbst ein. Weitere Einträge müssen manuell vorgenommen werden, z. B. wenn im lokalen Netzwerk ein weiterer Router existiert, über den ein bestimmtes Netzwerk erreicht werden soll. Routen für Netzwerke, die nicht direkt angeschlossen sind, aber über einen Befehl oder eine Konfigurationsdatei in die Routing-Tabelle eingetragen werden, bezeichnet man als statische Routen.
Um eine statische Route hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Statische Routen auf Neue statische Route.
Das Dialogfenster Neue statische Route erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Routentyp: Die folgenden Routentypen sind verfügbar: l
Schnittstellen-Route: Datenpakete werden an eine bestimmte Schnittstelle geschickt. Dieser Typ kann in zwei Fällen nützlich sein:Für Routing-Einträge zu dynamischen Schnittstellen (z. B. PPP), da in diesem Fall die IP-Adresse des
Gateways nicht bekannt ist, oder für eine Standard-Route mit einem Gateway außerhalb der direkt angeschlossenen Netzwerke.
l
Gateway-Route: Die Datenpakete werden an einen bestimmten Host (Gateway) geschickt.
l
Blackhole-Route: Die Datenpakete werden ohne Rückmeldung an den
Absender verworfen.In Verbindung mit OSPF oder anderen dynamischen adaptiven Routing-Protokollen können dadurch unter anderem „Routing Loops“
(Schleifen) oder „Route Flapping“ (schnelles Wechseln von Routen) verhindert werden.
Netzwerk: Wählen Sie die Zielnetzwerke der Datenpakete, die das Gateway abfangen muss.
Schnittstelle: Wählen Sie die Schnittstelle, durch die die Datenpakete das Gateway verlassen (nur verfügbar, wenn Sie Schnittstellen-Route als Routentyp gewählt haben).
190
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.6 Statisches Routing
Gateway: Wählen Sie das Gateway/den Router aus, an den das Gateway die
Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Gateway-Route als Routentyp gewählt haben).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgende erweiterte Einstellung vornehmen:
Metrik: Geben Sie einen Metrikwert ein. Dieser kann eine Ganzzahl zwischen 0 und
4294967295 sein. Der Standardwert beträgt 5. Dieser Metrikwert wird verwendet, um
Routen, die zum selben Ziel führen, zu unterscheiden und zu priorisieren. Ein niedriger
Metrikwert wird einem hohen Metrikwert vorgezogen. IPsec-Routen besitzen automatisch den Metrikwert 0.
4.
Klicken Sie auf Speichern.
Die neue Route erscheint in der Liste Statische Routen.
5.
Aktivieren Sie die Route.
Aktivieren Sie die Route durch einen Klick auf die Statusampel.
Um eine Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
6.6.2 Richtlinienrouten
Normalerweise entscheidet ein Router darüber, wohin ein bestimmtes Paket geschickt werden muss, indem er die Zieladresse im Paket selbst ausliest und den entsprechenden Eintrag in einer Routing-Tabelle nachschaut. Manchmal jedoch ist es notwendig ein Paket basierend auf anderen Kriterien weiterzuleiten. Das richtlinienbasierte Routing ermöglicht die Weiterleitung bzw. das Routen von Datenpaketen nach eigenen Sicherheitsrichtlinien.
Um eine Richtlinienroute hinzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Richtlinienrouten auf Neue Richtlinienroute.
Das Dialogfenster Neue Richtlinienroute erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Position: Die Positionsnummer legt die Priorität der Richtlinienroute fest. Niedrigere
Nummern haben eine höhere Priorität. Routen werden in aufsteigender Reihenfolge abgeglichen. Sobald eine Route zutrifft, werden Routen mit einer höheren Nummer nicht mehr abgeglichen.
Routentyp: Die folgenden Routentypen sind verfügbar:
UTM 9 Administratorhandbuch
191
6.6 Statisches Routing
6 Schnittstellen & Routing
l
Schnittstellen-Route: Datenpakete werden an eine bestimmte Schnittstelle geschickt. Dieser Typ kann in zwei Fällen nützlich sein:Für Routing-Einträge zu dynamischen Schnittstellen (z. B. PPP), da in diesem Fall die IP-Adresse des
Gateways nicht bekannt ist, oder für eine Standard-Route mit einem Gateway außerhalb der direkt angeschlossenen Netzwerke.
l
Gateway-Route: Die Datenpakete werden an einen bestimmten Host (Gateway) geschickt.
Quellschnittstelle: Die Schnittstelle, auf der das zu routende Datenpaket ankommt.Bei
Auswahl von Any werden alle Schnittstellen geprüft.
Quellnetzwerk: Das Quellnetzwerk des zu routenden Datenpakets.Bei Auswahl von
Any werden alle Netzwerke geprüft.
Dienst: Datenpakete dieses Diensts werden auf passende Routing-Regeln geprüft. Die
Auswahlliste enthält sowohl die vordefinierten als auch Ihre selbst definierten Dienste.
Mit Hilfe dieser Dienste lässt sich präzise definieren, welche Art von Datenverkehr verarbeitet werden soll.Die Einstellung Any entspricht in diesem Fall allen Kombinationen aus Protokollen und Quell- bzw. Zielports.
Zielnetzwerk: Das Zielnetzwerk des zu routenden Datenpakets.Bei Auswahl von Any werden alle Netzwerke geprüft.
Zielschnittstelle: Die Schnittstelle, an die die Datenpakete gesendet werden (nur verfügbar, wenn Sie als Routentyp Schnittstellen-Route gewählt haben).
Gateway: Wählen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Gateway-Route als Routentyp gewählt haben).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Route erscheint in der Liste Richtlinienrouten.
4.
Aktivieren Sie die Route.
Aktivieren Sie die Route durch einen Klick auf die Statusampel.
Um eine Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
192
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.7 Dynamisches Routing (OSPF)
6.7 Dynamisches Routing (OSPF)
Das Protokoll Open Shortest Path First (OSPF) ist ein dynamisches Link-State-Routing-
Protokoll, das hauptsächlich innerhalb von großen autonomen Systemnetzwerken genutzt wird.Sophos UTMunterstützt OSPF Version 2. Im Gegensatz zu anderen Protokollen nutzt
OSPF die Kosten für die Pfade als Routing-Metrik. Die Kosten für die Übermittlung von
Datenpaketen über eine Schnittstelle mit eingeschaltetem OSPF wird aus der verfügbaren
Bandbreite berechnet. Dabei sind die Kosten umgekehrt proportional zu der verfügbaren
Bandbreite der Schnittstelle – eine größere Bandbreite hat somit geringere Kosten zur Folge.
Die Kosten und die entstehende Zeitverzögerung sind z. B. bei einer seriellen Schnittstelle mit
56 Kbit/s höher als bei einer Ethernet-Schnittstelle mit 10 Mbit/s.
Die OSPF-Spezifikation enthält keine Angaben darüber, wie die Kosten für ein angeschlossenes Netzwerk berechnet werden – dies wird dem Anbieter überlassen. Daher können Sie eine eigene Berechnungsformel für die Kosten definieren. Wenn das OSPF-
Netzwerk jedoch an ein anderes Netzwerk angrenzt, bei dem bereits eine Formel definiert wurde, muss diese hier ebenfalls als Basis für die Kostenberechnung verwendet werden.
Die Kosten werden standardmäßig bandbreitenbasiert berechnet.Cisco beispielsweise berechnet die Kosten folgendermaßen: 10
8 dividiert durch die Schnittstellen-Bandbreite in Bits pro Sekunde.Laut dieser Formel betragen die Kosten, um eine 10-Mbit/s-Ethernet-
Schnittstelle zu benutzen, 10
8
/1.0000.000 = 10 und 10
8
/1.544.000 = 64, um eine 1,544-Mbit/s-
Schnittstelle (T1) zu benutzen (ungerade Ergebnisse werden auf eine Ganzzahl abgerundet).
6.7.1 Allgemein
Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Allgemein werden die Grundeinstellungen für OSPF vorgenommen.Bevor Sie die OSPF-Funktion aktivieren können, müssen Sie mindestens einen OSPF-Bereich konfigurieren (auf der
Registerkarte Bereich).
Achtung – Die Einstellungen für die OSPF-Funktion von Sophos UTM sollten nur von einem technisch erfahrenen Administrator durchgeführt werden, der mit dem Protokoll OSPF vertraut ist. Die Konfigurationsbeschreibungen in diesem Kapitel umfassen nicht genügend
Aspekte von OSPF, um ein vollständiges Verständnis des OSPF-Protokolls zu erreichen.
UTM 9 Administratorhandbuch
193
6.7 Dynamisches Routing (OSPF)
6 Schnittstellen & Routing
Verwenden Sie diese Funktion deshalb mit Vorsicht, da eine fehlerhafte Konfiguration das
Netzwerk betriebsunfähig machen kann.
Um OSPF zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Konfigurieren Sie auf der Registerkarte Bereich mindestens einen OSPF-
Bereich.
2.
Aktivieren Sie OSPF auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Router kann nun bearbeitet werden.
3.
Geben Sie die Router-ID ein.
Geben Sie eine eindeutige ID ein, über die sich Sophos UTM gegenüber den anderen
OSPF-Routern identifiziert.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um OSPF zu deaktivieren, klicken Sie auf die Statusampel oder auf Deaktivieren.
6.7.2 Bereich
Ein OSPF-Netzwerk ist in mehrere Bereiche unterteilt. Dies sind logische Gruppierungen von
Routern, deren Informationen für das restliche Netzwerk zusammengefasst werden können.
Die einzelnen Bereiche werden durch eine 32-Bit-ID in der Punkt-Dezimalschreibweise festgelegt – ähnlich der Schreibweise bei IP-Adressen.
Es gibt insgesamt sechs OSPF-Bereichstypen: l
Backbone: Der Bereich mit der ID 0 (oder 0.0.0.0) ist für das Backbone-Netzwerk des OSPF-Netzwerks reserviert, welches das Kernnetz eines OSPF-Netzwerks bildet – alle anderen Bereiche sind damit verbunden.
l
Normal: Ein normaler oder regulärer Bereich erhält eine eindeutige ID im Bereich 1
(oder 0.0.0.1) bis 4.294.967.295 (oder 255.255.255.255).In normalen Bereichen werden externe Routen bidirektional über den Area Border Router (ABR) (dt.
Grenzrouter) geflutet. Beachten Sie, dass externe Routen als Routen definiert werden, die im OSPF von einem anderen Routing-Protokoll verteilt werden.
194
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.7 Dynamisches Routing (OSPF) l
Stub: Ein Stub-Bereich hat üblicherweise keine direkte Verbindung zu einem externen
Netzwerk.Das Zuführen externer Routen in einen Stub-Bereich ist nicht erforderlich, da sämtlicher Datenverkehr in externe Netzwerke durch einen Area Border Router (ABR) geleitet werden muss. Daher ersetzt der Stub-Bereich eine vorgegebene Route durch externe Routen, um Daten an externe Netzwerke zu senden.
l
Stub No-Summary: Der Bereich Stub No-Summary (auch Totally Stubby Area) ist mit einem Stub-Bereich vergleichbar, allerdings werden keine sogenannten Summary
Routes erlaubt. Das bedeutet, dass die Flutung von Summary-Link-State-Advertisments
(LSAs) des Typs 3 in dem Bereich damit eingeschränkt wird.
l
NSSA: Dieser Bereich (Not-So-Stubby-Area/NSSA) ist eine Art Stub-Bereich, in dem allerdings auch externe Verbindungen unterstützt werden. Beachten Sie dabei, dass keine virtuellen Links unterstützt werden.
l
NSSA No-Summary: Dieser Bereich (NSSA No-Summary) ist mit NSSA vergleichbar, allerdings werden keine sogenannten Summary Routes erlaubt. Das bedeutet, dass die
Flutung von Summary-Link-State-Advertisments (LSAs) des Typs 3 in dem Bereich damit eingeschränkt wird.
Um einen OSPF-Bereich anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Bereich auf Neuer OSPF-Bereich.
Das Dialogfenster Neuen OSPF-Bereich erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den Bereich ein.
Bereich-ID: Tragen Sie die ID für den Bereich in der Punkt-Dezimalschreibweise ein (z.
B. 0.0.0.1 für einen normalen Bereich oder 0.0.0.0 für den Backbone-Bereich).
Bereichstyp: Wählen Sie einen Bereichstyp (siehe obige Beschreibung) aus, um die
Charakteristika des Netzwerks festzulegen, dem dieser Bereich zugewiesen wird.
Auth.-Methode: Wählen Sie für alle Pakete, die über die Schnittstelle den OSPF-
Bereich erreichen, die Authentifizierungsmethode aus. Die folgenden
Authentifizierungsmethoden sind verfügbar: l
MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm 5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
l
Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird als Klartext durch das Netzwerk geschickt.
l
Aus: Diese Option deaktiviert die Authentifizierung.
UTM 9 Administratorhandbuch
195
6.7 Dynamisches Routing (OSPF)
6 Schnittstellen & Routing
Verbinden über Schnittstelle: Wählen Sie eine OSPF-Schnittstelle aus.Beachten
Sie, dass OSPF-Schnittstellen, die Sie hier spezifizieren, zuvor auf der Registerkarte
Schnittstellen erstellt wurden.
Virtuelle Links verbinden: Alle Bereiche in einem autonomen OSPF-System (AS) müssen physikalisch mit dem Backbone-Bereich (Bereich 0) verbunden sein. In manchen Fällen, wenn eine physikalische Verbindung nicht möglich ist, können Sie einen virtuellen Link verwenden, um den Backbone-Bereich mit einem Nicht-Backbone-
Bereich zu verbinden.Geben Sie im Feld Virtuelle Links verbinden die Router-ID, die dem virtuellen Link-Nachbarn zugeordnet ist, in der Punkt-Dezimalschreibweise ein (z.
B. 10.0.0.8).
Kosten: Die Kosten für das Senden und Empfangen von Datenpaketen in diesem
Bereich. Gültige Werte für Kosten liegen im Bereich 1 bis 65535.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Bereichsdefinition wird auf der Registerkarte Bereich angezeigt.
Um einen OSPF-Bereich zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Live-Protokoll öffnen: Im OSPF-Live-Protokoll werden die Aktivitäten auf der OSPF-
Schnittstelle protokolliert. Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen
Fenster zu öffnen.
6.7.3 Schnittstellen
Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Schnittstellen können Sie Schnittstellendefinitionen erstellen, die innerhalb eines OSPF-Bereichs genutzt werden sollen. Jede Definition enthält verschiedene Parameter, die spezifisch für OSPF-
Schnittstellen sind.
Um eine OSPF-Schnittstellendefinition anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue OSPF-Schnittstelle.
Das Dialogfenster Neue OSPF-Schnittstelle erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Schnittstelle ein.
196
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.7 Dynamisches Routing (OSPF)
Schnittstelle: Wählen Sie die Schnittstelle aus, die der OSPF-Schnittstellendefinition zugeordnet werden soll.
Auth.-Methode: Wählen Sie die Authentifizierungsmethode aus, die für alle OSPF-
Pakete verwendet werden soll, die über die Schnittstelle gesendet und empfangen werden. Die folgenden Authentifizierungsmethoden sind verfügbar: l
MD5: Diese Option aktiviert die MD5-Authentifizierung. MD5 (Message-Digest
Algorithm 5) ist eine weit verbreitete kryptografische Hash-Funktion, die einen
128-Bit-Hashwert benutzt.
l
Klartext: Diese Option aktiviert die Klartext-Authentifizierung. Das Kennwort wird als Klartext durch das Netzwerk geschickt.
l
Aus: Diese Option deaktiviert die Authentifizierung.
Prüfsumme: Wählen Sie die Prüfsumme (MD, von engl. message digest), um die MD5-
Authentifizierung für diese OSPF-Schnittstelle festzulegen.Beachten Sie, dass Sie eine
Prüfsumme zunächst auf der Registerkarte Prüfsummen anlegen müssen, bevor Sie sie hier auswählen können.
Kosten: Die Kosten für die Übermittlung von Datenpaketen über diese Schnittstelle.
Gültige Werte für Kosten liegen im Bereich 1 bis 65535.
Erweiterte Optionen (optional): Durch die Auswahl der Option Erweiterte Optionen werden weitere Konfigurationsoptionen angezeigt: l
Grußpaketintervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos
UTM wartet, bevor es Grußpakete über diese Schnittstelle sendet. Als
Standardwert sind zehn Sekunden voreingestellt.
l
Wiederübertragungsintervall: Legen Sie das Zeitintervall (in Sekunden) fest, nach dem ein LSA (engl. link state advertisement) für die Schnittstelle nochmals
übertragen wird, wenn keine Bestätigung eingegangen ist. Es ist ein Zeitintervall von fünf Sekunden voreingestellt.
l
Totes Intervall: Legen Sie das Zeitintervall fest (in Sekunden), das Sophos UTM auf Grußpakete wartet, die über die Schnittstelle eintreffen. Als Standardwert sind
40 Sekunden voreingestellt.Per Konvention muss der Wert des toten Intervalls grundsätzlich vier mal größer sein soll als der Wert des Grußpaketintervalls.
l
Priorität: Legen Sie die Router-Priorität fest, bei der es sich um eine 8-Bit-
Nummer zwischen 1 und 255 handelt, die hauptsächlich dafür genutzt wird, um in
UTM 9 Administratorhandbuch
197
6.7 Dynamisches Routing (OSPF)
6 Schnittstellen & Routing
einem Netzwerk den designierten Router (DR, engl. Designated Router) zu bestimmen. Als Standardwert ist 1 voreingestellt.
l
Übertragungsverzögerung: Legen Sie das geschätzte Zeitintervall (in
Sekunden) fest, das benötigt wird, um ein Link-State-Update-Paket (Linkstatus-
Aktualisierung) über die Schnittstelle zu senden. Gültige Werte liegen im Bereich 1 bis 65535; als Standardwert ist 1 voreingestellt.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die OSPF-Schnittstellendefinition wird auf der Registerkarte Schnittstellen angezeigt.
Um eine OSPF-Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Live-Protokoll öffnen: Im OSPF-Live-Protokoll werden die Aktivitäten auf der OSPF-
Schnittstelle protokolliert. Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen
Fenster zu öffnen.
6.7.4 Prüfsummen
Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Prüfsummen werden sogenannte Prüfsummenschlüssel generiert.Prüfsummenschlüssel sind erforderlich, um die MD5-Authentifizierung für OSPF zu aktivieren. Die MD5-Authentifizierung generiert eine 128-Bit-Prüfsumme aus Datenpaket und Kennwort. Die Prüfsumme wird mit dem
Datenpaket und einer Schlüssel-ID verschickt, welche dem Kennwort zugeordnet ist.
Hinweis – Auf allen empfangenden Routern muss derselbe Prüfsummenschlüssel konfiguriert sein.
Um einen Prüfsummenschlüssel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Prüfsummen auf Neuer
Prüfsummenschlüssel.
Das Dialogfenster Neuen Prüfsummenschlüssel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
ID: Tragen Sie die Schlüssel-Identifikationsnummer für diesen Prüfsummenschlüssel ein. Ein gültiger Wert liegt im Bereich zwischen 1 und 255.
198
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.7 Dynamisches Routing (OSPF)
MD5-Schlüssel: Tragen Sie das Kennwort ein. Es kann bis zu 16 alphanumerische
Zeichen enthalten.
3.
Klicken Sie auf Speichern.
Der neue Schlüssel wird in der Liste Prüfsummen angezeigt.
Um einen Prüfsummenschlüssel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
6.7.5 Fehlersuche
Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Fehlersuche werden detaillierte Informationen zu relevanten OSPF-Parametern in separaten Browser-
Fenstern dargestellt. Die folgenden Informationen sind verfügbar: l
IP des OSPF-Nachbarn anzeigen: Es werden schnittstellenbezogene Informationen zu den OSPF-Nachbarn angezeigt.
l
IP der OSPF-Routen anzeigen: Es wird der aktuelle Stand der Routing-Tabelle angezeigt.
l
IP der OSPF-Schnittstelle anzeigen: Es werden OSPF-bezogene
Schnittstelleninformationen angezeigt.
l
IP der OSPF-Datenbank anzeigen: Es werden zu einem bestimmten Router OSPFdatenbankbezogene Informationen anzeigt.
l
IP der OSPF-Grenzrouter anzeigen: Es werden die internen Einträge aus der OSPF-
Routing-Tabelle zum Area Border Router (ABR) und zum Autonomous System
Boundary Router (ASBR) angezeigt.
6.7.6 Erweitert
Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Erweitert befinden sich die erweiterten Einstellungen für OSPF. Die Funktionen beziehen sich dabei auf die Einspeisung (Neuverteilung) von Routing-Informationen aus einer Nicht-OSPF-Domäne in die OSPF-Domäne.
Hinweis – Richtlinienrouten können nicht neu verteilt werden.
UTM 9 Administratorhandbuch
199
6.8 Border Gateway Protocol
6 Schnittstellen & Routing
Verbundene neu verteilen: Um die Routen von direkt verbundenen Netzwerken neu zu verteilen, wählen Sie diese Option aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Statische neu verteilen: Um statische Routen und IPsec-Routen neu zu verteilen, wählen
Sie diese Option aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt.
Hinweis – Für IPsec-Tunnel muss striktes Routing deaktiviert sein, um eine Neuverteilung zu ermöglichen (siehe Kapitel
).
Standardroute bekanntgeben: Um eine vorgegebene Route zur OSPF-Domäne neu zu verteilen, wählen Sie diese Option aus.
Hinweis – Eine vorgegebene Route wird in der OSPF-Domäne angezeigt, ungeachtet dessen, ob sie eine Route zu 0.0.0.0/0 enthält.
Linkerkennung: Wählen Sie diese Option aus, wenn Routen auf Schnittstellen nur dann bekannt gegeben werden sollen, wenn ein Link mit der Schnittstelle erkannt wird.
6.8 Border Gateway Protocol
Das Border Gateway Protocol (BGP) ist ein Routing-Protokoll, das hauptsächlich von
Internetanbietern (ISPs) verwendet wird, um die Kommunikation zwischen mehreren autonomen Systemen (Autonomous System, AS) zu ermöglichen, das heißt zwischen mehreren ISPs. Dadurch bildet BGP das Rückgrat des Internets.Ein autonomes System besteht aus mehreren miteinander verbundenen IP-Netzwerken, die von einem oder mehreren ISPs kontrolliert werden und über ein internes Routing-Protokoll (z. B. IGP) miteinander verbunden sind. BGP wird als Pfad-Vektor-Protokoll bezeichnet und fällt seine
Routing-Entscheidungen, im Gegensatz zu IGP, anhand von Pfad, Netzwerkrichtlinien und/oder Regelwerken. Aus diesem Grund könnte man es eher als Erreichbarkeitsprotokoll bezeichnen denn als Routing-Protokoll.
Jeder ISP (oder andere Netzwerkanbieter) muss im Besitz einer offiziell registrierten AS-
Nummer (Autonomous System Number, ASN) sein, um sich selbst im Netzwerk ausweisen zu können. Obwohl ein ISP intern mehrere autonome Systeme unterstützen mag, ist für das
Internet nur das Routing-Protokoll relevant. AS-Nummern aus dem Bereich 64512–65534 sind privat und können nur intern verwendet werden.
BGP verwendet TCP als Transportprotokoll, auf Port 179.
200
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.8 Border Gateway Protocol
Wenn BGP zwischen Routern eines einzigen AS verwendet wird, spricht man von internem
BGP (interior BGP, iBGP); wenn es hingegen zwischen Routern von verschiedenen AS verwendet wird, spricht man von externem BGP (exterior BGP, eBGP).
Eine Stärke von eBGP ist seine Fähigkeit, Routing-Schleifen zu verhindern, das heißt, dass ein
IP-Paket ein AS niemals zweimal passiert. Dies wird folgendermaßen erreicht: Ein eBGP-
Router pflegt eine komplette Liste aller AS, die ein IP-Paket passieren muss, um ein bestimmtes
Netzwerksegment zu erreichen. Wenn der Router sendet, teilt er diese Information mit seinen eBGP-Nachbarroutern (neighbors), welche daraufhin ihre Routingliste aktualisieren, falls nötig. Wenn ein eBGP-Router feststellt, dass er bereits auf einer solchen UPDATE-Liste eingetragen ist, fügt er sich nicht noch einmal hinzu.
6.8.1 Allgemein
Auf der Seite Border Gateway Protocol > Allgemein können Sie BGP für die UTM aktivieren und deaktivieren.
1.
Um BGP aktivieren zu können, legen Sie auf der Seite Neighbor mindestens einen Neighbor an.
2.
Klicken Sie auf der Seite Allgemein auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt BGP-System kann nun bearbeitet werden.
3.
Nehmen Sie die folgenden Einstellungen vor:
AS-Nummer: Geben Sie die AS-Nummer (Autonomous System Number, ASN) Ihres
Systems ein.
Router-ID: Geben Sie eine IPv4-Adresse als Router-ID ein, die den Neighbors während der Sitzungsinitialisierung übermittelt wird.
Netzwerke: Fügen Sie die Netzwerke hinzu, die den Neighbors vom System bekannt gegeben werden sollen.
4.
Klicken Sie auf Übernehmen.
Die Statusampel wird grün und BGP wird aktiviert.Schon bald werden im Bereich
Verbindung Statusinformationen angezeigt.
6.8.2 Systeme
Auf der Seite Border Gateway Protocol > Erweitert können Sie eine Umgebung mit mehreren autonomen Systemen einrichten.
UTM 9 Administratorhandbuch
201
6.8 Border Gateway Protocol
6 Schnittstellen & Routing
Hinweis – Diese Seite ist nur zugänglich, wenn Sie die Verwendung von mehreren AS auf der Seite Erweitert aktivieren.
Um ein neues BGP-System anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite Systeme auf Neues BGP-System.
Das Dialogfenster Neues BGP-System anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für das System ein.
ASN: Geben Sie die AS-Nummer (Autonomous System Number, ASN) Ihres Systems ein.
Router-ID: Geben Sie eine IPv4-Adresse als Router-ID ein, die den Nachbarn
(neighbors) während der Sitzungsinitialisierung übermittelt wird.
Neighbor: Markieren Sie die Auswahlkästchen derjenigen Nachbarn, die zum AS dieses Systems gehören. Beachten Sie, dass Sie die Nachbarn zuvor auf der Seite
Neighbor anlegen müssen.
Netzwerke: Fügen Sie die Netzwerke hinzu, die vom System bekannt gegeben werden sollen.
Routen installieren: Diese Option ist standardmäßig aktiviert und sollte nur deaktiviert werden, wenn Sie wollen, dass ein BGP-Router die Routen kennt, aber nicht aktiv am
BGP-Routing-Prozess teilnimmt. Wenn es mehrere AS-Systeme gibt, auf denen diese
Option aktiviert ist, müssen Filterlisten angelegt werden, um sicherzustellen, dass es keine doppelten Netzwerke gibt. Andernfalls ist das Routing-Verhalten für identische
Netzwerke unbestimmt.
3.
Klicken Sie auf Speichern.
Das System wird in der Liste Systeme angezeigt.
6.8.3 Neighbor
Auf der Seite Border Gateway Protocol > Neighbor können Sie einen oder mehrere BGP-
Nachbarrouter anlegen. Ein Nachbarrouter (neighbor oder peer router) stellt die Verbindung zwischen mehreren autonomen Systemen (AS) oder innerhalb eines einzigen AS her.
Während der ersten Kommunikation tauschen zwei Nachbarn ihre BGP-Routing-Tabellen miteinander aus. Danach senden sie sich gegenseitig Aktualisierungen bei Änderungen in der
202
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.8 Border Gateway Protocol
Routing-Tabelle zu. Pakete zur Aufrechterhaltung der Verbindung (keepalive packets) werden versendet, um sicherzustellen, dass die Verbindung nach wie vor besteht. Sollten Fehler auftreten, werden Benachrichtigungen (notifications) versendet.
Richtlinien-Routing in BGP unterscheidet zwischen Richtlinien für eingehenden und ausgehenden Verkehr. Dies ist der Grund dafür, dass Routemaps und Filterlisten getrennt auf eingehenden und ausgehenden Verkehr angewendet werden können.
Sie müssen mindestens einen Nachbarrouter anlegen, bevor Sie BGP auf der Seite Allgemein aktivieren können.
Um einen neuen BGP-Nachbarn anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite Neighbor auf Neuer BGP-Neighbor.
Das Dialogfenster Neue BGP-Neighbor anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie den Namen des BGP-Nachbarrouters ein.
Host: Fügen Sie die Hostdefinition des Nachbarn hinzu.Die festgelegte IP-Adresse muss von der UTM erreichbar sein.
Entfernte ASN: Geben Sie die AS-Nummer (ASN) des Nachbarn ein.
Authentifizierung: Falls der Nachbar Authentifizierung erfordert, wählen Sie TCP-
MD5-Signatur aus der Auswahlliste aus und geben Sie das Kennwort ein. Dieses muss mit dem Kennwort übereinstimmen, das auf dem Nachbarn festgelegt wurde.
3.
Nehmen Sie die folgenden erweiterten Einstellungen, falls erforderlich.
Eingehende/Ausgehende Route: Falls Sie eine Routemap angelegt haben, können
Sie diese hier auswählen.Mit Ein oder Aus legen Sie fest, ob Sie die Routemap auf einoder ausgehende Meldungen anwenden möchten.
Eingehender/Ausgehender Filter: Falls Sie eine Filterliste angelegt haben, können
Sie diese hier auswählen.Mit Ein oder Aus legen Sie fest, ob Sie den Filter auf ein- oder ausgehende Meldungen anwenden möchten.
Next-Hop-Self: Wenn ein Router in einem iBGP-Netzwerk ein externes eBGP-
Netzwerk bekannt gibt, wissen iBGP-Router, die über keine eigene direkte externe
Verbindung verfügen, nicht, wie sie Pakete zu diesem Netzwerk routen sollen. Durch
Auswählen dieser Option jedoch macht der eBGP-Router sich selbst als Gateway zum externen Netzwerk bekannt.
UTM 9 Administratorhandbuch
203
6.8 Border Gateway Protocol
6 Schnittstellen & Routing
Soft-Reconfiguration: Standardmäßig aktiviert. Diese Option ermöglicht das
Speichern von Updates, die vom Nachbar gesendet wurden.
Default-Originate: Sendet die Standardroute 0.0.0.0 an den Nachbarn. Der Nachbar verwendet diese Route nur, falls er ein Netzwerk erreichen muss, das nicht Teil seiner
Routing-Tabelle ist.
Gewichtung: Cisco-spezifische Option. Legt ein generisches Gewicht für alle Routen fest, die durch diesen Nachbarn gelernt wurden. Sie können einen Wert zwischen 0 und
65535 eingeben. Die Route mit dem höchsten Gewicht wird genommen, um ein bestimmtes Netzwerk zu erreichen. Das hier angegebene Gewicht überlagert ein
Routemap-Gewicht.
4.
Klicken Sie auf Speichern.
Der Nachbar wird in der Liste Neighbor angezeigt.
6.8.4 Routemap
In BGP ist Routemap ein Befehl, um Bedingungen für die Verteilung von Routen festzulegen und Richtlinien-Routing zu ermöglichen.Auf der Seite Border Gateway Protocol > Routemap können Sie Routemaps für bestimmte Netzwerke erstellen und Metriken, Gewichtungen bzw.
Präferenzwerte einstellen.
Der Best-Path-Algorithmus, der festlegt, welche Route genommen wird, funktioniert folgendermaßen:
1.
Gewicht (weight) wird überprüft.*
2.
Lokale Präferenz (local preference) wird überprüft.*
3.
Lokale Route wird überprüft.
4.
AS-Pfadlänge wird überprüft.
5.
Ursprung (origin) wird überprüft.
6.
Metrik wird überprüft.*
Dies ist nur eine Kurzbeschreibung. Da die Berechnung des Best Path sehr komplex ist, ziehen
Sie für detaillierte Informationen bitte die einschlägige Dokumentation zu Rate, welche im
Internet zur Verfügung steht.
Die Elemente, die mit einem Asterisk (*) markiert sind, können direkt konfiguriert werden.
Um eine BGP-Routemap anzulegen, gehen Sie folgendermaßen vor:
204
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.8 Border Gateway Protocol
1.
Klicken Sie auf der Seite Routemap auf Neue BGP-Routemap.
Das Dialogfenster Neue BGP-Routemap anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Routemap ein.
Abgleich über: Wählen Sie aus, ob die Routemap die IP-Adresse eines bestimmten
Routers oder ein ganzes AS vergleichen soll.
l
IP-Adresse: Im Feld Netzwerke können Sie Hosts oder Netzwerke hinzufügen oder auswählen, auf die der Filter angewendet werden soll.
l
AS-Nummer: Setzen Sie im Feld AS-Regex BGP-reguläre Ausdrücke ein, um
AS-Nummer zu definieren, auf die der Filter angewendet werden soll.Beispiel: _
100_ stimmt mit jeder Route durch AS100 überein.
Netzwerke: Fügen Sie Netzwerke und/oder Hosts hinzu, auf welche die Routemap angewendet werden soll.
Metrik: Standardmäßig lernt ein Router Routing-Metriken dynamisch. Sie können jedoch Ihren eigenen Metrikwert festlegen, der eine Ganzzahl zwischen 0 und
4294967295 sein kann. Ein niedriger Metrikwert wird einem hohen Metrikwert vorgezogen.
Gewichtung: Die Gewichtung wird verwendet, um den besten Pfad auszuwählen. Es wird für einen bestimmten Router festgelegt und nicht verbreitet. Wenn es mehrere
Routen zu demselben Ziel gibt, werden Routen mit einem höheren Gewicht bevorzugt.
Das Gewicht basiert auf dem zuerst zutreffenden AS-Pfad und kann eine Ganzzahl zwischen 0 und 4294967295 sein.
Hinweis – Falls einem Nachbarn eine Gewichtung zugewiesen wurde, überlagert diese Gewichtung die Routemap-Gewichtung, wenn die Route mit dem angegebenen
Netzwerk übereinstimmt.
Präferenz: Sie können einen Präferenzwert für den AS-Pfad festlegen, welcher nur an alle Router im lokalen AS gesendet wird. Die Präferenz (oder lokale Präferenz) teilt den
Routern in einem AS mit, welcher Pfad bevorzugt gewählt werden soll, um ein bestimmtes Netzwerk außerhalb des AS zu erreichen. Sie kann eine Ganzzahl zwischen
0 und 4294967295 sein und der Standardwert ist 100.
AS-Präfix: Das AS-Präfix wird eingesetzt, wenn aus irgendwelchen Gründen die
Präferenz-Einstellungen nicht ausreichen, um eine bestimmte Route zu vermeiden, zum
UTM 9 Administratorhandbuch
205
6.8 Border Gateway Protocol
6 Schnittstellen & Routing
Beispiel eine Ersatzroute, die nur in dem Fall verwendet werden soll, wenn die
Hauptroute nicht verfügbar ist.Damit können Sie das AS-Pfadattribut erweitern, indem
Sie Ihre eigene AS-Nummer wiederholen, z. B. 65002 65002 65002. Dies beeinflusst die Auswahl der BGP-Route, da der kürzeste AS-Pfad bevorzugt wird.Beachten Sie, dass Routemaps mit eingestelltem AS-Präfix im Feld Ausgehende Route eines
Nachbarn ausgewählt werden müssen, damit sie wie vorgesehen funktionieren.
3.
Klicken Sie auf Speichern.
Die Routemap wird in der Liste Routemap angezeigt.
Sie können die Routemap jetzt in einer Neighbor-Definition verwenden.
6.8.5 Filterliste
Auf der Seite Border Gateway Protocol > Filterliste können Sie Filterlisten anlegen, die dazu verwendet werden, den Verkehr zwischen Netzwerken anhand der IP-Adresse oder AS-
Nummer zu regulieren.
Um eine Filterliste anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite Filterliste auf Neue BGP-Filterliste.
Das Dialogfenster Neue BGP-Filterliste anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die Filterliste ein.
Filtern nach: Wählen Sie aus, ob der Filter die IP-Adresse eines bestimmten Routers oder ein ganzes AS vergleichen soll.
l
IP-Adresse: Im Feld Netzwerke können Sie Hosts oder Netzwerke hinzufügen oder auswählen, auf die der Filter angewendet werden soll.
l
AS-Nummer: Setzen Sie im Feld AS-Regex BGP-reguläre Ausdrücke ein, um
AS-Nummer zu definieren, auf die der Filter angewendet werden soll.Beispiel: _
100_ stimmt mit jeder Route durch AS100 überein.
Netzwerke: Fügen Sie Netzwerke und/oder Hosts hinzu, denen Informationen über bestimmte Netzwerke verweigert oder genehmigt werden sollen.
Aktion: Wählen Sie aus der Auswahlliste eine Aktion, die ausgeführt werden soll, wenn der Filter zutrifft. Sie können Datenverkehr entweder verweigern oder erlauben.
l
Verwerfen: Wenn Sie über das Feld Eingehender Filter auf der Seite Neighbor einem bestimmten Nachbarn ein Netzwerk verweigern, ignoriert die UTM
206
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.8 Border Gateway Protocol
Meldungen für dieses Netzwerk.Wenn Sie das gleiche über das Feld
Ausgehender Filter durchführen, sendet die UTM für dieses Netzwerk keine
Meldungen an den Nachbarn.
l
Zulassen: Wenn Sie über das Feld Eingehender Filter auf der Seite Neighbor für einen bestimmten Nachbarn ein Netzwerk zulassen, empfängt die UTM nur
Meldungen für dieses Netzwerk.Wenn Sie das gleiche über das Feld
Ausgehender Filter durchführen, sendet die UTM nur für dieses Netzwerk
Meldungen an den Nachbarn, jedoch für kein anderes Netzwerk, das Sie auf den
Seiten Allgemein oder Systeme definiert haben.
3.
Klicken Sie auf Speichern.
Die Filterliste wird in der Liste Filterliste angezeigt.
Sie können die Filterliste jetzt in einer Neighbor-Definition verwenden.
6.8.6 Erweitert
Auf der Seite Border Gateway Protocol > Erweitert können Sie einige zusätzliche Einstellungen für BGP vornehmen und haben Zugriff auf Fenster mit BGP-Informationen zur Fehlersuche.
Me hr e r e a utonome Syste m zula sse n
Mehrere AS zulassen: Markieren Sie dieses Auswahlkästchen, falls Sie mehrere AS konfigurieren wollen.Dadurch wird die Seite Systeme aktiviert, auf der Sie anschließend mehrere AS hinzufügen können, und nicht der Bereich BGP-System auf der Seite
Allgemein.Auf der Seite Allgemein werden Informationen für alle AS angezeigt.
Str ikte I P-Adr e sse n-Übe r e instimmung
Strikte IP-Adressen-Übereinstimmung: Markieren Sie für eine strikte IP-Adressen-
Übereinstimmung dieses Auswahlkästchen. Beispiel: 10.0.0.0/8 stimmt nur mit 10.0.0.0/8
überein, aber nicht mit 10.0.1.0/24.
Multi-Pfa d-Routing
Normalerweise wird nur eine Route verwendet, selbst wenn es mehrere Routen mit denselben
Kosten gibt. Bei Auswahl dieser Option können bis zu acht gleichwertige Routen gleichzeitig verwendet werden. Dies ermöglicht eine Lastverteilung auf mehrere Schnittstellen.
UTM 9 Administratorhandbuch
207
6.9 Multicast Routing (PIM-SM)
6 Schnittstellen & Routing
BGP-Fe hle r suche
Dieser Abschnitt bietet Zugriff auf drei Fenster mit Informationen für die Fehlersuche. Klicken
Sie auf eine Schaltfläche, um ein Fenster zu öffnen. Der Name einer Schaltfläche entspricht dem BGP-Befehl, den Sie normalerweise auf der Kommandozeile eingeben würden. Das
Fenster wird dann das Ergebnis dieses Befehls in Form einer Kommandozeilenausgabe anzeigen.
Show IP BGP Neighbor: Zeigt Informationen zu den Neighbors der UTM an.Vergewissern
Sie sich, dass der Linkstatus jedes Neighbors Hergestellt lautet.
Show IP BGP Unicast: Zeigt die aktuelle BGP-Routing-Tabelle mit den bevorzugten Pfaden an. Dies ist besonders nützlich, um einen Überblick über Ihre Metrik (metric), Gewicht (weight) und Präferenz (preference) und deren Auswirkungen zu erhalten.
Show IP BGP Summary: Zeigt den Status aller BGP-Verbindungen an.Diese Informationen werden auch im Bereich BGP-Zusammenfassung auf der Seite Allgemein angezeigt.
6.9 Multicast Routing (PIM-SM)
Das Menü Schnittstellen & Routing > Multicast Routing (PIM-SM) ermöglicht die Konfiguration von Protocol Independent Multicast Sparse Mode (PIM-SM) zur Benutzung in Ihrem Netzwerk.
PIM ist ein Protokoll, um Multicast-Pakete in Netzwerken dynamisch zu routen.Multicast ist eine
Methode, Pakete, die von mehr als einem Client empfangen werden sollen, effizient auszuliefern, indem so wenig Verkehr wie möglich verursacht wird. Normalerweise werden
Pakete für mehr als einen Client einfach kopiert und jedem Client individuell zugestellt. Dabei steigt die benötigte Bandbreite mit der Anzahl der Benutzer. Dadurch benötigen Server, die viele Clients haben, die die gleichen Pakete zur gleichen Zeit erfragen, sehr viel Bandbreite, so z. B. Server für Streaming-Inhalte.
Multicast hingegen spart Bandbreite, indem es Pakete nur einmal über jeden Netzwerkknoten sendet. Um das zu erreichen, beteiligt Multicast entsprechend konfigurierte Router an der
Entscheidung, wann Kopien erstellt werden müssen auf dem Weg vom Server (Absender) zum
Client (Empfänger). Die Router benutzen PIM-SM, um die aktiven Multicast-Empfänger im
Auge zu behalten, und benutzen diese Information, um das Routen zu konfigurieren.
Ein grobes Schema der PIM-SM-Kommunikation sieht wie folgt aus: Ein Sender beginnt damit, seine Multicast-Daten zu übermitteln. Der Multicast-Router für den Sender registriert sich über
PIM-SM am RP-Router, welcher wiederum eine Teilnahmemeldung (join message) an den
208
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.9 Multicast Routing (PIM-SM)
Router des Senders schickt. Multicast-Pakete fließen nun vom Sender zum RP-Router. Ein
Empfänger registriert sich über einen IGMP-Broadcast für diese Multicast-Gruppe bei seinem lokalen PIM-SM-Router. Dieser Router sendet daraufhin eine Teilnahmemeldung für den
Empfänger in Richtung RP-Router, welcher im Gegenzug den Multicast-Verkehr an den
Empfänger weiterleitet.
Multicast besitzt seinen eigenen IP-Adressbereich: 224.0.0.0/4.
6.9.1 Allgemein
Auf der Registerkarte Multicast Routing (PIM-SM) > Allgemein können Sie PIM aktivieren und deaktivieren.Der Abschnitt Routing-Daemon-Einstellungen zeigt den Status der Schnittstellen und beteiligten Router an.
Bevor Sie PIM aktivieren können, müssen Sie zunächst auf der Registerkarte Schnittstellen mindestens zwei Schnittstellen definieren, die als PIM-Schnittstellen dienen sollen, und auf der
Registerkarte RP-Router einen Router.
Um PIM-SM zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie PIM-SM auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Routing-Daemon-Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Aktive PIM-SM-Schnittstellen: Wählen Sie mindestens zwei Schnittstellen für die
Benutzung von PIM-SM aus.Schnittstellen können auf der Registerkarte Schnittstellen konfiguriert werden.
Aktive PIM-SM-RP-Router: Wählen Sie mindestens einen RP-Router für die
Benutzung von PIM-SM aus.RP-Router können auf der Registerkarte RP-Router definiert werden.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.PIM-SM-Kommunikation in Ihrem Netzwerk ist nun aktiviert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.Um PIM-SM zu deaktivieren, klicken Sie auf die Statusampel oder auf die
Schaltfläche Disable.
UTM 9 Administratorhandbuch
209
6.9 Multicast Routing (PIM-SM)
6 Schnittstellen & Routing
Live -Pr otokoll
Klicken Sie auf Live-Protokoll öffnen, um das PIM-Live-Protokoll in einem neuen Fenster zu
öffnen.
6.9.2 Schnittstellen
Auf der Registerkarte Multicast Routing (PIM-SM) > Schnittstellen können Sie festlegen, über welche Schnittstellen von Sophos UTM Multicast-Kommunikation stattfinden soll.
Um eine neue PIM-SM-Schnittstelle anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Schnittstellen auf Neue PIM-SM-
Schnittstelle.
Das Dialogfeld Neue PIM-SM-Schnittstelle anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für die PIM-SM-Schnittstelle ein.
Schnittstelle: Wählen Sie eine Schnittstelle aus, die PIM- und IGMP-Netzwerkverkehr annehmen soll.
DR-Priorität (optional): Geben Sie eine Zahl ein, die die designierte Router-Priorität
(DR) für diese Schnittstelle festlegt. Der Router mit der höchsten Zahl nimmt IGMP-
Anfragen an, wenn mehr als ein PIM-SM-Router im selben Netzwerksegment präsent ist.Zahlen von 0 bis 2
32 sind erlaubt.Wenn Sie keine Priorität angeben, wird der Wert 0 gesetzt.
IGMP: Wählen Sie die Version des Internet-Group-Management-Protokolls (Internet
Group Management Protocol), die unterstützt werden soll. IGMP wird von Empfängern benutzt, um einer Multicast-Gruppe beizutreten.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue PIM-SM-Schnittstelle wird zur Schnittstellenliste hinzugefügt.
Um eine PIM-SM-Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
210
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.9 Multicast Routing (PIM-SM)
6.9.3 RP-Router
Um Multicast in Ihrem Netzwerk verwenden zu können, müssen Sie einen oder mehrere
Rendezvous-Point-Router (RP-Router) konfigurieren. Ein RP-Router nimmt Registrierungen sowohl von Multicast-Empfängern als auch -Sendern an.Ein RP-Router ist ein regulärer PIM-
SM-Router, der dazu auserkoren wurde, außerdem als RP-Router für bestimmte Multicast-
Gruppen zu agieren. Alle PIM-SM-Router müssen darin übereinstimmen, welcher Router der
RP-Router ist.
Um einen RP-Router anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte RP-Router auf Neuer Rendezvous-Point-
Router.
Das Dialogfeld Neuen RP-Router anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den RP-Router ein.
Host: Legen Sie einen Host an (oder wählen Sie einen aus), der als Rendezvous-Point-
Router agieren soll.
Priorität: Geben Sie eine Zahl an, die die Priorität des RP-Routers festlegt.
Teilnahmemeldungen werden zu dem RP-Router mit der niedrigsten Priorität gesendet.Zahlen von 0 bis 255 sind erlaubt.Wenn Sie keine Priorität angeben, wird der
Wert 0 gesetzt.
Multicast-Gruppenpräfixe: Geben Sie die Multicast-Gruppe ein, für die der RP-
Router verantwortlich ist.Sie können Gruppenpräfixe wie 224.1.1.0/24 festlegen, falls der RP für mehr als eine Multicast-Gruppe verantwortlich ist.Die Multicast-Gruppe oder das Gruppenpräfix muss sich innerhalb des Multicast-Adressbereichs befinden, der
224.0.0.0/4 ist.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der neue RP-Router wird in der Routerliste angezeigt.
Um einen RP-Router zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
211
6.9 Multicast Routing (PIM-SM)
6 Schnittstellen & Routing
6.9.4 Routen
Sie müssen zwischen Sender(n) und Empfängern eine durchgängige Kommunikationsroute einrichten. Wenn Empfänger, Sender und/oder RP-Router sich nicht im selben
Netzwerksegment befinden, werden Sie eine Route anlegen müssen, um die Kommunikation zwischen ihnen zu gewährleisten.
Um eine PIM-SM-Route anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Routen auf Neue PIM-SM-Route.
Das Dialogfeld Neue PIM-SM-Route anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Routentyp: Die folgenden Routentypen sind verfügbar: l
Schnittstellen-Route: Datenpakete werden an eine bestimmte Schnittstelle geschickt. Dieser Typ kann in zwei Fällen nützlich sein:Für Routing-Einträge zu dynamischen Schnittstellen (z. B. PPP), da in diesem Fall die IP-Adresse des
Gateways nicht bekannt ist, oder für eine Standard-Route mit einem Gateway außerhalb der direkt angeschlossenen Netzwerke.
l
Gateway-Route: Die Datenpakete werden an einen bestimmten Host (Gateway) geschickt.
Netzwerk: Wählen Sie den Zieladressbereich aus, wohin der PIM-Verkehr geroutet werden soll.
Gateway: Wählen Sie das Gateway/den Router aus, an das oder den das Gateway die
Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Gateway-Route als Routentyp gewählt haben).
Schnittstelle: Wählen Sie die Schnittstelle aus, zu der das Gateway die Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Schnittstellenroute als Routentyp ausgewählt haben).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue PIM-SM-Route wird zur Routenliste hinzugefügt.
Um eine PIM-SM-Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
212
UTM 9 Administratorhandbuch
6 Schnittstellen & Routing
6.9 Multicast Routing (PIM-SM)
6.9.5 Erweitert
Auf der Registerkarte Schnittstellen & Routing > Multicast Routing (PIM-SM) > Erweitert können Sie erweiterte Einstellungen für PIM konfigurieren.
Shor te st-Pa th-Tr e e -Einste llunge n
In einigen Netzwerken ist die PIM-Kommunikationsroute zwischen Sender, RP und Empfänger nicht der kürzestmögliche Netzwerkpfad.Die Option Wechsel zu Shortest-Path-Tree
ermöglichen erlaubt es, eine bestehende Kommunikation zwischen Sender und Empfänger auf den kürzestmöglichen verfügbaren Pfad zu verlegen, wenn ein gewisser Schwellenwert erreicht ist, wobei der RP dann als Vermittler ausgelassen wird.
Automa tische Fir e wa ll-Einste llunge n
Wenn Sie diese Option auswählen, wird das System automatisch alle notwendigen
Firewallregeln anlegen, die benötigt werden, um Multicast-Verkehr für die angegebenen
Multicast-Gruppen weiterzuleiten.
Fe hle r suche -Einste llunge n
Wählen Sie die Option Fehlersuche-Modus aktivieren, um zusätzliche Informationen für die
Fehlersuche im PIM-SM Routing-Daemon-Protokoll anzuzeigen.
UTM 9 Administratorhandbuch
213
7 Netzwerkdienste
In diesem Kapitel wird die Konfiguration verschiedener Netzwerkdienste von Sophos UTM für
Ihr Netzwerk beschrieben.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
7.1 DNS
Die Registerkarten des Menüs Netzwerkdienste > DNS enthalten eine Reihe von
Konfigurationsmöglichkeiten, die sich auf den Dienst Domain Name System (DNS) beziehen.
Die Hauptaufgabe von DNS ist die Übersetzung von Domänennamen (Hostnamen) in die zugehörigen IP-Adressen.
7.1.1 Allgemein
Auf der Registerkarte Netzwerkdienste > DNS > Allgemein kann den angeschlossenen
Netzwerken erlaubt werden, das Gateway für die rekursive DNS-Auflösung zu nutzen.
Üblicherweise wird dies nur den internen Netzwerken (LAN) gestattet.
Hinweis – Wenn Sie bereits einen internen DNS-Server nutzen, z. B. in Verbindung mit
Active Directory, sollten Sie dieses Feld leer lassen.
DNS-Spe iche r le e r e n
Der DNS-Proxy benutzt einen Zwischenspeicher (Cache) für seine Einträge. Jeder Eintrag hat ein Ablaufdatum (TTL, time-to-live), an dem er gelöscht wird. Die TTL beträgt normalerweise einen Tag. Sie können den Zwischenspeicher jedoch manuell leeren, wenn Sie z. B. wollen, dass jüngste Änderungen in DNS-Einträgen sofort berücksichtigt werden, ohne darauf warten zu müssen, dass die TTL abläuft.Um den Zwischenspeicher zu leeren, klicken Sie auf DNS-
Speicher jetzt leeren.
7.1 DNS
7 Netzwerkdienste
7.1.2 Weiterleitung
Auf der Registerkarte Netzwerkdienste > DNS > Weiterleitung können Sie sogenannte DNS-
Weiterleitung spezifizieren.Ein DNS-Forwarder ist ein Domain-Name-System-Server (DNS), der DNS-Anfragen für externe DNS-Namen an DNS-Server außerhalb des Netzwerks weiterleitet.Fügen Sie Ihrer Konfiguration wenn möglich eine DNS-Weiterleitung hinzu. Dies sollte ein lokaler Host oder idealerweise ein Server sein, der von Ihrem Internetanbieter (ISP) betrieben wird. Dieser wird dann als übergeordneter Zwischenspeicher (engl. parent cache) verwendet und Ihre DNS-Anfragen deutlich beschleunigen.Wenn Sie keinen Namensserver für die Weiterleitung angeben, werden stattdessen die Root-DNS-Server gefragt, die zunächst einmal Zoneninformationen einholen und deshalb eine längere Beantwortungszeit benötigen.
Um einen DNS-Forwarder anzulegen, gehen Sie folgendermaßen vor:
1.
Wählen Sie einen DNS-Forwarder aus.
Wählen Sie einen DNS-Forwarder aus oder fügen Sie einen hinzu.
Vom ISP zugewiesene Forwarders verwenden (optional): Wählen Sie die
Option Vom ISP zugewiesene Forwarders verwenden, um DNS-Anfragen an
DNS-Server Ihres ISP weiterzuleiten. Wenn diese Option ausgewählt ist, werden alle Forwarders, die automatisch von Ihrem ISP zugewiesen werden, in der Zeile unter dem Feld aufgelistet.
2.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
7.1.3 Anfragerouten
Angenommen, Sie betreiben Ihren eigenen internen DNS-Server, dann kann dieser Server dazu verwendet werden, als alternativer Server DNS-Anfragen für Domänen aufzulösen, die
Sie nicht von DNS-Forwarders auflösen lassen wollen.Auf der Registerkarte Netzwerkdienste
> DNS > Anfragerouten können Sie Routen zu eigenen DNS-Servern definieren.
Um eine DNS-Anfrageroute anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Anfragerouten auf Neue DNS-Anfrageroute.
Das Dialogfenster Neue DNS-Anfrageroute erstellen wird geöffnet.
216
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.1 DNS
2.
Nehmen Sie die folgenden Einstellungen vor:
Domäne: Tragen Sie die Domäne ein, für die ein alternativer DNS-Server genutzt werden soll.
Zielserver: Wählen Sie einen oder mehrere DNS-Server für die Auflösung der oben angegebenen Domäne.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Route wird in der Liste DNS-Anfragerouten angezeigt und ist sofort aktiv.
Um eine DNS-Anfrageroute zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
7.1.4 Statische Einträge
Wenn Sie keinen eigenen DNS-Server einrichten wollen, aber eine statische DNS-Zuordnung für einige Hosts benötigen, können Sie diese Zuordnung hier angeben. Beachten Sie, dass diese Lösung sich nur für eine begrenzte Anzahl von Einträgen eignet und in keiner Weise als
Ersatz für einen richtigen DNS-Server dienen kann.
Um einen statischen Eintrag anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Statische Einträge auf Neue statische DNS-
Zuordnung.
Das Dialogfenster Neue statische DNS-Zuordnung wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Hostname: Tragen Sie den vollständigen Domänennamen (FQDN, fully qualified domain name) des Hosts ein, für den die statische DNS-Zuordnung gelten soll.
IPv4-Adresse: Tragen Sie die IPv4-Adresse des Hosts ein.
IPv6-Adresse: Tragen Sie die IPv6-Adresse des Hosts ein.
Reverse-DNS: Markieren Sie dieses Auswahlfeld, um die Zuordnung der IP-Adresse eines Hosts zu seinem Namen zu ermöglichen. Beachten Sie, obwohl mehrere Namen auf die gleiche IP-Adresse verweisen können, dass eine IP-Adresse immer nur auf einen
Namen verweisen kann.
UTM 9 Administratorhandbuch
217
7.1 DNS
7 Netzwerkdienste
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Zuordnung wird in der Liste Statische Einträge angezeigt.
Um einen statischen DNS-Eintrag zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
7.1.5 DynDNS
Dynamic DNS, oder kurz DynDNS, ist ein Domänennamensdienst, der es ermöglicht, statische
Internetdomänennamen einem Computers mit variabler IP-Adresse zuzuordnen.Sie können sich für DynDNS auf der Website des jeweiligen DynDNS-Anbieters anmelden, um eine DNS-
Alias anzufordern, die automatisch aktualisiert wird, wenn sich Ihre Uplink-IP-Adresse ändert.
Wenn Sie sich bei diesem Dienst registriert haben, erhalten Sie einen Hostnamen, einen
Benutzernamen und ein Kennwort, welche für die Konfiguration benötigt werden.
Um DynDNS zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte DynDNS auf Neue DynDNS.
Das Dialogfenster Neue DynDNS erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Typ: Die folgenden DynDNS-Dienste sind verfügbar: l
DNS Park: Offizielle Website: www.dnspark.com
l
DtDNS: Offizielle Website: www.dtdns.com
l
DynDNS: Standardmäßiger DNS-Dienst des Dienstanbieter Dynamic Network
Services Inc. (Dyn).Offizielle Website: www.dyndns.com
l
DynDNS-custom: Benutzerdefinierter DNS-Dienst des Dienstanbieter Dynamic
Network Services Inc.(Dyn) ( www.dyndns.com
). Dieser Dienst ist hauptsächlich für Benutzer, die ihre Domäne selbst besitzen oder selbst registriert haben.
l
easyDNS: Offizielle Website: www.easydns.com
l
FreeDNS: Offizielle Website: freedns.afraid.org
l
Namecheap: Offizielle Website: www.namecheap.com
l
zoneedit: Offizielle Website: www.zoneedit.com
218
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.1 DNS
Hinweis – Im Feld Server wird die URL angezeigt, an welche die UTM die IP-
Änderungen sendet.
Zuweisen (nicht beim Typ FreeDNS): Legen Sie die IP-Adresse fest, der der DynDNS-
Name zugeordnet wird.Wählen Sie IP der lokalen Schnittstelle, wenn die betreffende
Schnittstelle eine öffentliche IP-Adresse hat. Üblicherweise werden Sie diese Option für
Ihre DSL-Internetverbindung verwenden.Bei der Option Erste öffentliche IP auf der
Standardroute müssen keine Schnittstellen spezifiziert werden.Die UTM sendet stattdessen eine WWW-Anfrage zu einem öffentlichen DynDNS-Server, der im
Gegenzug mit der öffentlichen IP-Adresse antwortet, die Sie gerade verwenden.Dies ist hilfreich, wenn die UTM über keine öffentliche IP-Adresse verfügt, sondern sich in einem privaten Netzwerk befindet und sich über einen maskierenden Router mit dem Internet verbindet.
Hinweis – FreeDNS verwendet immer die erste öffentliche IP-Adresse auf der
Standardroute.
Schnittstelle (nicht bei Typ FreeDNS, nur bei IP der lokalen Schnittstelle): Wählen Sie die Schnittstelle, für die Sie den DynDNS-Dienst verwenden möchten. Wahrscheinlich wird es sich dabei um Ihre externe Schnittstelle handeln, die mit dem Internet verbunden ist.
Hostname: Tragen Sie die Domäne ein, die Sie von Ihrem DynDNS-Anbieter erhalten haben (z. B. beispiel.dyndns.org). Sie müssen sich für den Hostnamen an keine spezielle Syntax einhalten. Das, was Sie hier eingeben müssen, hängt ausschließlich davon ab, was Ihr DynDNS-Dienstanbieter erfordert. Überdies können Sie optional
Ihren DynDNS-Hostnamen auch als den Haupthostnamen für Ihr Gateway verwenden.
Aliasse (optional): In dieses Dialogfenster können zusätzliche Hostnamen eingetragen werden, die auf dieselbe IP-Adresse verweisen wie der Haupthostname oben (z. B.
mail.beispiel.de, beispiel.de
).
MX (optional, nur beim Typ DNS Park, DynDNS oder easyDNS): Mail-Exchange-Server werden dazu benutzt, E-Mails an bestimmte Server umzuleiten, auf welche der
Hostname nicht verweist. MX-Einträge ermöglichen, dass E-Mails an eine bestimmte
Domäne zu einem bestimmten Host (Server) geleitet werden.Beispiel: Wenn im
Eingabefeld als Mail-Exchange-Server mail.beispiel.de eingetragen ist, dann wird
UTM 9 Administratorhandbuch
219
7.1 DNS
7 Netzwerkdienste
eine E-Mail mit der Adresse [email protected] an den Host mail.beispiel.de
gesendet.
MX-Priorität (optional, nur beim Typ DNS Park): Geben Sie eine positive Ganzzahl ein, die angibt, ob der angegebene Mail-Server bei der Zustellung der E-Mail gegenüber der
Domäne bevorzugt werden sollte. Server mit niedrigeren Zahlen erhalten den Vorzug gegenüber Servern mit höheren Zahlen. Normalerweise können Sie dieses Feld leer lassen, da DNS Park den Standardwert 5 verwendet, der für fast jeden Fall geeignet ist.Technische Details zu den Mail-Exchanger-Prioritäten finden Sie unter RFC 5321 .
Backup-MX (optional, nur beim Typ DynDNS oder easyDNS: Wählen Sie diese Option nur aus, wenn der Hostname im Feld Hostname als Hauptmailserver dienen soll.Dann
wird der Hostname im Feld MX nur als Backup-Mailserver eingesetzt.
Platzhalter (optional, nur beim Typ DynDNS oder easyDNS: Wählen Sie diese Option, wenn die Subdomänen auf die gleiche IP-Adresse wie Ihre registrierte Domäne verweisen sollen.Bei Verwendung dieser Option wird Ihrer Domäne ein Stern (*) angefügt, der als Platzhalter dient (z. B. *.beispiel.dyndns.org). Das stellt sicher, dass z. B. www.beispiel.dyndns.org auf dieselbe Adresse verweist wie beispiel.dyndns.org
.
Benutzername: Tragen Sie den Benutzernamen ein, den Sie vom DynDNS-Anbieter erhalten haben.
Kennwort: Tragen Sie das Kennwort ein, das Sie vom DynDNS-Anbieter erhalten haben.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das neue DynDNS wird in der Liste DynDNS angezeigt. Der Dienst ist noch ausgeschaltet (Statusampel zeigt Rot).
4.
Aktivieren Sie DynDNS.
Aktivieren Sie den DynDNS-Dienst durch einen Klick auf die Statusampel.
Der Dienst ist nun eingeschaltet (Statusampel zeigt Grün).
Um ein DynDNS zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
220
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.2 DHCP
Sie können mehrere DynDNS-Einträge gleichzeitig haben.Wenn alle Einstellungen für zwei
Hostnamen identisch sind, empfiehlt es sich, die Option Aliasse zu verwenden, anstatt zwei
Einzeleinträge anzulegen.
7.2 DHCP
Das Dynamic Host Configuration Protocol (DHCP) (dynamisches Hostkonfigurationsprotokoll) verteilt automatisch Adressen aus einem festgelegten IP-Adressbereich an angeschlossene
Clients. Dies spart bei größeren Netzwerken viel Konfigurationsaufwand und beugt
Adressenkonflikten vor.Das DHCP verteilt IP-Adressen, Standard-Gateway-Informationen und DNS-Konfigurationsdaten an seine Clients.
Zusätzlich zur vereinfachten Konfiguration von Clientrechnern und der einfachen Bewegung von mobilen Computern zwischen verschiedenen Netzwerken, lassen sich in einem DHCP-
Netzwerk Fehler einfacher lokalisieren und beheben, da die Konfiguration der IP-Adressen primär von den Einstellungen des DHCP-Servers abhängen. Außerdem lassen sich
Adressbereiche effektiver nutzen, vor allem wenn nicht alle Rechner gleichzeitig im Netzwerk aktiv sind. Die IP-Adressen können so je nach Bedarf vergeben und wiederverwendet werden.
7.2.1 Server
Auf der Registerkarte Netzwerkdienste > DHCP > Server können Sie einen DHCP-Server konfigurieren.Sophos UTMstellt den DHCP-Dienst für das angeschlossene Netzwerk sowie für weitere Netzwerke bereit. Der DHCP-Server kann dazu verwendet werden, Ihren Clients grundlegende Netzwerkparameter zuzuweisen. Sie können den DHCP-Dienst auf verschiedenen Schnittstellen laufen lassen, wobei jede Schnittstelle und jedes bereitzustellende
Netzwerk individuell konfiguriert werden kann.
Hinweis – Auf der Registerkarte Optionen können Sie zusätzliche oder andere DHCP-
Optionen an die Clients senden.Eine DHCP-Option, die auf der Registerkarte Optionen definiert ist, überschreibt eine Einstellung auf der Registerkarte Server, wenn sie nicht allgemein gilt. Wenn Sie DHCP-Optionen nur für ausgewählte Hosts definieren, können Sie ihnen einen DNS-Server oder eine Lease-Zeit zuweisen, die von der Definition für den
DHCP-Server abweichen kann.
Um einen DHCP-Server zu konfigurieren, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
221
7.2 DHCP
7 Netzwerkdienste
1.
Klicken Sie auf der Registerkarte Server auf Neuer DHCP-Server.
Das Dialogfenster Neuen DHCP-Server erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Wählen Sie die Schnittstelle aus, von der aus den Clients die IP-Adressen zugewiesen werden. Es kann nur eine bereits konfigurierte Schnittstelle ausgewählt werden.
Adresstyp: Diese Option ist nur verfügbar, wenn IPv6 global aktiviert ist. Wählen Sie die
IP-Version des DHCP-Servers.
Bereichsbeginn/-ende: Der IP-Adressbereich, der als Kontingent für diese
Schnittstelle verwendet wird. Ein möglicher Adressbereich für diese Schnittstelle ist bereits voreingestellt. Wenn sich die Clients im gleichen Netzwerk befinden, muss sich der Bereich im Netzwerk befinden, der mit der Schnittstelle verbunden ist. Wenn sich die
Clients in einem anderen Netzwerk befinden, muss sich der Bereich innerhalb des
Netzwerks befinden, aus dem die Relay-DHCP-Anfragen weitergeleitet werden.
DNS-Server 1/2: Die IP-Adressen der DNS-Server.
Standardgateway (nur bei IPv4): Die IP-Adresse des Standardgateways.
Hinweis – Sowohl für WLAN-Access-Points als auch für RED-Appliances muss sich das Standardgateway im selben Subnetz befinden wie die Schnittstelle, an die diese
Geräte angeschlossen sind.
Domäne (optional): Tragen Sie den Domänennamen ein, der an die Clients übermittelt werden soll (z. B. intranet.beispiel.de).
Lease-Zeit (nur bei IPv4): Der DHCP-Client versucht, den Lease automatisch zu erneuern. Wenn der Lease während der Lease-Zeit nicht erneuert wird, läuft der Lease der IP-Adresse ab. Hier können Sie diesen Zeitraum in Sekunden festlegen. Der
Standard ist 86.400 Sekunden (ein Tag). Das Minimum beträgt 600 Sekunden (10
Minuten) und das Maximum beträgt 2.592.000 Sekunden (ein Monat).
Gültige Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease automatisch zu erneuern. Wenn der Lease während seiner gültigen Lebensdauer nicht erneuert wird, wird der Lease-Status der IP-Adresse ungültig, die Adresse wird von der
Schnittstelle entfernt und kann anderweitig zugewiesen werden. Sie können ein Intervall
222
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.2 DHCP zwischen fünf Minuten und unendlich auswählen. Die gültige Lebensdauer muss jedoch mindestens der bevorzugten Lebensdauer entsprechen.
Bevorzugte Lebensdauer (nur bei IPv6): Der DHCP-Client versucht, den Lease automatisch zu erneuern. Wenn der Lease während seiner gültigen Lebensdauer nicht erneuert wird, wird der Lease-Status der IP-Adresse überholt, d. h. er ist zwar noch gültig, wird jedoch nicht für neue Verbindungen verwendet. Sie können ein Intervall zwischen fünf Minuten und unendlich auswählen.
3.
Nehmen Sie optional die folgenden erweiterten Einstellungen vor:
WINS-Knotentyp (nur bei IPv4): Windows Internet Naming Service (WINS, dt.
Windows Internet Namensdienst) ist Microsofts Implementierung des NetBIOS Name
Server (NBNS) für Windows Betriebssysteme. Dabei handelt es sich um einen
Namensserver und -dienst für NetBIOS-Computernamen. Ein WINS-Server verhält sich wie eine Datenbank, die Hostnamen mit IP-Adressen vergleicht. Dadurch ermöglicht er
Computern, die NetBIOS verwenden, das TCP/IP-Protokoll zu nutzen. Die folgenden
WINS-Knotentypen sind verfügbar: l
Nicht festlegen: Der WINS-Knotentyp ist nicht festgelegt und wird vom Client selbst bestimmt.
l
B-Knoten (kein WINS): B-Knotensysteme verwenden ausschließlich
Broadcast.
l
P-Knoten (nur WINS): P-Knotensysteme verwenden nur Punkt-zu-Punkt-
Namensanfragen für einen Windows-Namensserver (WINS).
l
M-Knoten (Broadcast, dann WINS): Bei M-Knotensystemen erfolgt zuerst ein
Broadcast, dann wird der Namensserver angefragt.
l
H-Knoten (WINS, dann Broadcast): Bei H-Knotensystemen wird zuerst der
Namensserver angefragt, dann erfolgt ein Broadcast.
WINS-Server: Je nach gewähltem WINS-Knotentyp erscheint dieses Textfeld. Geben
Sie hier die IP-Adresse des WINS-Servers ein.
Nur Clients mit statischer Zuordnung (optional): Wählen Sie diese Option aus, damit der DHCP-Server IP-Adressen nur an Clients vergibt, die einen Eintrag auf der
Registerkarte
haben.
HTTP-Proxy-Autokonfiguration aktivieren: Wählen Sie diese Option, wenn Sie eine
PAC-Datei für die automatische Proxy-Konfiguration von Browsern bereitstellen
UTM 9 Administratorhandbuch
223
7.2 DHCP
7 Netzwerkdienste
wollen.Weitere Informationen finden Sie im Kapitel Web Protection > Webfilter >
, Abschnitt Automatische Proxy-Konfiguration.
Hinweis – Die automatische HTTP-Proxy-Konfiguration wird derzeit bei IPv6 nicht von
Microsoft Windows unterstützt.
Clients über DHCP-Relay-Agent: Bei Auswahl dieser Option weist der DHCP-Server
Clients, die sich nicht im Netzwerk der verbundenen Schnittstelle befinden, IP-Adressen zu. In diesem Fall muss sich der oben definierte Adressbereich im Netzwerk befinden, aus dem Relay-DHCP-Anfragen weitergeleitet werden, und nicht im Netzwerk der verbundenen Schnittstelle.
Netzmaske: Wählen Sie die Netzmaske des Netzwerks, aus dem die Relay-
DHCP-Anfragen weitergeleitet werden.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
4.
Klicken Sie auf Speichern.
Die neue DHCP-Serverdefinition wird in der DHCP-Server-Liste angezeigt und ist sofort aktiv.
Um eine DHCP-Serverdefinition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
7.2.2 Relay
Auf der Registerkarte Netzwerkdienste > DHCP > Relay können Sie ein DHCP-Relay konfigurieren.Der DHCP-Dienst wird von einem separaten DHCP-Server bereitgestellt und die UTM fungiert als Relay.Das DHCP-Relay kann zur Weiterleitung von DHCP-Anfragen und
-Antworten über verschiedene Netzwerksegmente hinweg verwendet werden. Bevor die
Einstellungen für das DHCP-Relay durchgeführt werden können, muss der separate DHCP-
Server konfiguriert sein.
Um ein DHCP-Relay zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie auf der Registerkarte Relay die Option DHCP-Relay.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt DHCP-Relaykonfiguration kann nun bearbeitet werden.
224
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.2 DHCP
2.
Wählen Sie den DHCP-Server aus.
3.
Wählen Sie eine Schnittstelle aus.
DHCP-Anfragen, die über diese Schnittstelle ankommen, werden an den gewählten
DHCP-Server weitergeleitet.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
7.2.3 Statische Zuordnungen
Auf der Registerkarte Netzwerkdienste > DHCP > Statische Zuordnungen können Sie statische Zuordnungen zwischen Clients und IP-Adressen für einige oder alle Clients erstellen.
Dazu benötigen Sie einen konfigurierten DHCP-Server und, je nach der IP-Version des
DHCP-Servers, die MAC-Adresse der Netzwerkkarte des Clients (bei IPv4) oder den
DHCP Unique Identifier (DUID) des Clients (bei IPv6).
Hinweis – Um IP-Adresskonflikten zwischen regulär zugeordneten Adressen aus dem
DHCP-Pool und statisch zugeordneten Adressen vorzubeugen, stellen Sie sicher, dass die statisch zugeordnete Adresse nicht aus dem DHCP-Pool stammt.Zum Beispiel könnte die statische Zuordnung von 192.168.0.200 darin resultieren, dass zwei Systeme dieselbe IP-
Adresse erhalten, wenn der DHCP-Pool 192.168.0.100 – 192.168.0.210 umfasst.
Um eine statische Client/IP-Zuordnung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Statische Zuordnungen auf Neue DHCP-
Zuordnung.
Das Dialogfenster Neue Zuordnung erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
DHCP-Server: Geben Sie den DHCP-Server ein, der für die statische Zuordnung verwendet werden soll.
MAC-Adresse (nur bei IPv4 DHCP-Server): Geben Sie die MAC-Adresse der Client-
Netzwerkkarte ein.Die MAC-Adressen werden gewöhnlich in sechs Gruppen von je zwei durch Doppelpunkt getrennte Hexadezimalziffern besteht (z. B. 00:04:76:16:EA:62).
UTM 9 Administratorhandbuch
225
7.2 DHCP
7 Netzwerkdienste
DUID-Adresse (nur bei IPv6 DHCP-Server): Geben Sie die DUID des Clients ein.Bei
Windows-Betriebssystemen finden Sie sie beispielsweise im Windows Registry:
HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Bitte beachten Sie, dass Sie zwei Hexadezimalzahlen jeweils durch einen Doppelpunkt trennen müssen, z. B. 00:01:00:01:13:30:65:56:00:50:56:b2:07:51).
IPv4/IPv6-Adresse: Tragen Sie die IP-Adresse für den Client ein. Die IP-Adresse muss im Netzwerkbereich der internen Netzwerkkarte liegen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Zuordnung wird in der Liste Statische Zuordnungen angezeigt.
Um eine statische Zuordnung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
7.2.4 Optionen
Auf der Registerkarte Netzwerkdienste > DHCP > Optionen können Sie DHCP-Optionen konfigurieren. DHCP-Optionen sind zusätzliche Konfigurationsparameter, die DHCP-Clients von einem DHCP-Server zur Verfügung gestellt werden.
Beispiel: Um einigen VoIP-Telefonen die erforderlichen Informationen von Ihren DHCP-
Servern bereitzustellen, müssen Sie auf dieser Seite drei zusätzliche DHCP-Optionen erstellen und aktivieren: l
filename: Name der Boot-Datei.
l
next-server: Name des TFTP-Servers, der die Boot-Datei bereitstellt.
l
4 (time-servers): IP-Adresse des Zeitservers.
DHCP-Optionen können unterschiedliche Geltungsbereiche aufweisen: Sie können beispielsweise nur ausgewählten Hosts, nur von ausgewählten Servern oder sogar global bereitgestellt werden. Daher ist es möglich, für denselben Host unterschiedliche Parameter zu definieren.Einige DHCP-Optionen sind bereits auf der Registerkarte DHCP > Server festgelegt, z. B. DNS-Server (Option 6). Im Falle von widersprüchlichen Parameterwerten werden die Parameter dem Client gemäß folgender Prioritäten bereitgestellt:
226
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.2 DHCP
1.
DHCP-Option mit Geltungsbereich Host
2.
DHCP-Option mit Geltungsbereich MAC-Präfix
3.
DHCP-Option mit Geltungsbereich Anbieter-ID
4.
DHCP-Option mit Geltungsbereich Server
5.
DHCP-Serverparameter (Registerkarte DHCP > Server)
6.
DHCP-Option mit Geltungsbereich Allgemein
Hinweis – Mit der DHCP-Anfrage übermittelt ein DHCP-Client die Informationen darüber, welche DHCP-Optionen er verarbeiten kann. Daher stellt der DHCP-Server nur die DHCP-
Optionen bereit, die der Client versteht, unabhängig davon, welche Optionen hier definiert sind.
Um eine DHCP-Option anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf Neue DHCP-Option.
Das Dialogfenster Neue DHCP-Option erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Adresstyp (nur, wenn IPv6 aktiviert ist): Wählen Sie die IP-Version, für die Sie die
DHCP-Option erstellen.
Code: Wählen Sie den Code für die DHCP-Option, die Sie erstellen möchten.
Hinweis – Mit dem Eintrag filename können Sie eine Datei angeben, die in den DHCP-
Client geladen und dort ausgeführt werden soll.Mit next-server definieren Sie den
Boot-Server.Die nummerierten DHCP-Optionscodes werden unter anderem in
RFC 2132 definiert.
Name: Geben Sie einen aussagekräftigen Namen für diese Option ein.Nur verfügbar, wenn Sie einen Code mit dem Kommentar (unknown) ausgewählt haben.
Typ: Nur verfügbar, wenn Sie einen Code mit dem Kommentar (unknown) ausgewählt haben. Wählen Sie den Datentyp der Option aus.Sie können zwischen den Datentypen
IP-Adresse, Text und Hex wählen. Geben Sie je nach ausgewähltem Datentyp die passenden Daten in das entsprechende Feld unten ein:
UTM 9 Administratorhandbuch
227
7.2 DHCP
7 Netzwerkdienste
Adresse: Wählen Sie den Host oder die Netzwerkgruppe mit der/den IP-Adresse
(n), die mit dieser DHCP-Option an den DHCP-Client übermittelt werden soll(en).
Text: Geben Sie den Text ein, der mit dieser DHCP-Option an den DHCP-Client
übermittelt werden soll.Mit dem Code Dateiname können Sie den Dateinamen hier eingeben.
Hex: Geben Sie den Hexadezimalwert ein, der mit dieser DHCP-Option an den
DHCP-Client übermittelt werden soll.Bitte beachten Sie, dass Sie zwei
Hexadezimalzahlen jeweils durch einen Doppelpunkt trennen müssen, z. B.
00:04:76:16:EA:62
).
Bereich: Legen Sie fest, unter welchen Bedingungen die DHCP-Option gesendet werden soll.
l
Allgemein: Die DHCP-Option wird von allen definierten DHCP-Servern an alle
DHCP-Clients gesendet.
l
Server: Wählen Sie im Feld Server die DHCP-Server, die die DHCP-Option senden sollen.In diesem Feld werden alle DHCP-Server angezeigt, die auf der
Registerkarte DHCP-Server definiert sind.
l
Host: Wählen Sie im Feld Host die Hosts aus, denen die DHCP-Option bereitgestellt werden soll. Im Feld werden alle Hosts angezeigt, die auf der
Registerkarte Statische Zuordnungen konfiguriert sind.
l
MAC-Präfix: Geben Sie ein MAC-Präfix ein. Die DHCP-Option wird allen DHCP-
Clients mit passender MAC-Adresse bereitgestellt.
l
Anbieter-ID: Geben Sie eine Anbieter-ID oder das Präfix einer Anbieter-ID ein.
Die DHCP-Option wird allen DHCP-Clients, auf die diese Zeichenfolge zutrifft, bereitgestellt.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue DHCP-Option wird in der Liste DHCP-Optionen angezeigt und ist sofort aktiv.
Um eine DHCP-Option zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
228
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.2 DHCP
7.2.5 IPv4-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, sondern borgt (engl. lease) sich diese vom DHCP-Server. Dieser erteilt dem Client die
Berechtigung, die IP-Adresse für einen gewissen Zeitraum zu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste > DHCP > IPv4-Lease-Tabelle zeigt die aktuellen IP-Adresszuweisungen des DHCP-Servers, einschließlich Informationen über den Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.
Sta tische Zuor dnung hinzufüge n
Sie können einen vorhandenen Lease als Vorlage für eine neue statische MAC/IP-Zuordnung verwenden, indem Sie auf die Schaltfläche Neue Zuordnung in der Spalte Statische
Zuordnung hinzufügen klicken. Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Zuordnung.
Das Dialogfenster Neue Zuordnung wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
MAC-Adresse (optional): Ändern Sie die MAC-Adresse nur, wenn Sie die statische
Zuordnung einem anderen Host als dem gewählten zuweisen wollen.
IPv4-Adresse: Ändern Sie die IP-Adresse auf eine Adresse außerhalb des DHCP-
Pool-Bereichs.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
DNS-Zuordnung erstellen (optional): Wählen Sie die Option, um automatisch eine statische DNS-Zuordnung für den Host zu erstellen (siehe Netzwerkdienste > DNS >
).Wenn Sie einen Hostnamen eingeben, wird die Zuordnung ihn verwenden.
Netzwerkhostobjekt anlegen (optional): Wählen Sie diese Option, um automatisch ein Hostobjekt anzulegen (siehe Definitionen & Benutzer >
Sie einen Hostnamen angeben, wird er der Name des Objekts.
Hostname (optional): Der Übersichtlichkeit halber sollten Sie einen Namen für den Host angeben. Andernfalls wird das Objekt als [unknown] aufgeführt.
3.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
UTM 9 Administratorhandbuch
229
7.2 DHCP
7 Netzwerkdienste
Hinweis – Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie die IP-
Adresse ändern, sodass sie nicht mehr im DHCP-Pool-Bereich liegt. Wenn Sie die IP-
Adresse ändern, wird sich die IP-Adresse des Clients jedoch nicht sofort ändern, sondern erst, wenn er das nächste Mal versucht, seinen Lease zu erneuern.
7.2.6 IPv6-Lease-Tabelle
Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, sondern borgt (engl. lease) sich diese vom DHCP-Server. Dieser erteilt dem Client die
Berechtigung, die IP-Adresse für einen gewissen Zeitraum zu verwenden.
Die Lease-Tabelle auf der Registerkarte Netzwerkdienste > DHCP > IPv6-Lease-Tabelle zeigt die aktuellen IP-Adresszuweisungen des DHCP-Servers, einschließlich Informationen über den Beginn der Zuweisung und die Ablaufzeit der IP-Adresse.
Hinweis – Leases, die über Präfix-Bekanntmachungen vergeben wurden, werden in der
Tabelle nicht aufgeführt.
Sta tische Zuor dnung hinzufüge n
Sie können einen vorhandenen Lease als Vorlage für eine neue statische MAC/IP-Zuordnung verwenden, indem Sie auf die Schaltfläche Neue Zuordnung in der Spalte Statische
Zuordnung hinzufügen klicken. Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Zuordnung.
Das Dialogfenster Neue Zuordnung wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
DUID-Adresse (optional): Ändern Sie die DUID-Adresse nur, wenn Sie die statische
Zuordnung einem anderen Host als dem gewählten zuweisen wollen.
IPv6-Adresse: Ändern Sie die IP-Adresse auf eine Adresse außerhalb des DHCP-
Pool-Bereichs.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
DNS-Zuordnung erstellen (optional): Wählen Sie die Option, um automatisch eine statische DNS-Zuordnung für den Host zu erstellen (siehe Netzwerkdienste > DNS >
230
UTM 9 Administratorhandbuch
7 Netzwerkdienste
7.3 NTP
).Wenn Sie einen Hostnamen eingeben, wird die Zuordnung ihn verwenden.
Netzwerkhostdefinition anlegen (optional): Markieren Sie das Auswahlkästchen, um automatisch eine Netzwerkdefinition für das Hostobjekt anzulegen (siehe Definitionen &
Benutzer >
).Wenn Sie einen Hostnamen angeben, wird er der
Name des Objekts.
Hostname (optional): Der Übersichtlichkeit halber sollten Sie einen Namen für den Host angeben. Andernfalls wird das Objekt als [unknown] aufgeführt.
3.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Hinweis – Wenn ein Lease in eine statische Zuordnung umgewandelt wird, sollten Sie die IP-
Adresse ändern, sodass sie nicht mehr im DHCP-Pool-Bereich liegt. Wenn Sie die IP-
Adresse ändern, wird sich die IP-Adresse des Clients jedoch nicht sofort ändern, sondern erst, wenn er das nächste Mal versucht, seinen Lease zu erneuern.
7.3 NTP
Im Menü Netzwerkdienste > NTP wird der NTP-Server für die angeschlossenen Netzwerke konfiguriert.Das Network Time Protocol (NTP) ist ein Protokoll, das Uhren von Computer-
Systemen über IP-Netzwerke synchronisiert.Anstatt nur die Zeit von Sophos UTM zu synchronisieren – diese Funktion wird auf der Registerkarte Verwaltung > Systemeinstellungen
> Zeit und Datum eingestellt – können Sie bestimmten Netzwerken explizit erlauben, diesen
Synchronisierungsdienst ebenfalls zu verwenden.
Um die Benutzung von NTP-Zeitsynchronisierung zu ermöglichen, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den NTP-Server.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
2.
Wählen Sie Zugelassene Netzwerke aus.
Wählen Sie die Netzwerke aus, die Zugriff auf den NTP-Server haben sollen.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
UTM 9 Administratorhandbuch
231
8 Network Protection
In diesem Kapitel wird beschrieben, wie Sie die grundlegenden Network-Protection-
Funktionen von Sophos UTM konfigurieren.Die Seite Network-Protection-Statistik im
WebAdmin zeigt einen Überblick über Ereignisse im Angriffschutzsystem sowie über verworfene Datenpakete für Quell- und Zielhosts.Jeder der Abschnitte enthält einen Details-
Link.Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des
WebAdmin weiter, wo Sie weitere statistische Informationen finden können.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
8.1 Firewall
Im Menü Network Protection > Firewall können Sie Firewallregeln für das Gateway definieren.
Allgemein gesagt ist die Firewall der zentrale Teil des Gateways und dient in einem Netzwerk dazu, Verbindungen zu verhindern, die von der Sicherheitsrichtlinie verboten sind.Die
Standardrichtlinie von Sophos UTM besagt, dass der gesamte Netzwerkverkehr blockiert und protokolliert wird. Ausnahmen stellen automatisch generierte Regelwerke dar, die von anderen
Softwarekomponenten des Gateways benötigt werden, um funktionieren zu können.Diese
automatisch generierten Regeln werden jedoch auf der Registerkarte Firewall > Regeln nicht angezeigt.Diese Sicherheitsrichtlinie erfordert, dass Sie explizite Regeln für Netzwerkverkehr anlegen, der das Gateway passieren darf.
8.1.1 Regeln
Auf der Registerkarte Network Protection > Firewall > Regeln wird das Firewallregelwerk verwaltet. Alle neu definierten Firewallregeln sind direkt nach der Erstellung standardmäßig
8.1 Firewall
8 Network Protection
deaktiviert.Aktivierte Firewallregeln werden der Reihe nach angewandt, bis die erste Regel zutrifft. Die Reihenfolge der Abarbeitung richtet sich dabei nach der Positionsnummer, d. h.
wenn Sie die Reihenfolge der Regeln ändern, ändern Sie gleichzeitig die Reihenfolge der
Abarbeitung.
Warnung – Sobald eine Firewallregel zutrifft, werden die nachfolgenden Regeln nicht mehr beachtet. Die Reihenfolge ist daher sehr wichtig.Setzen Sie nie eine Regel mit den Einträgen
Any (Quelle) – Any (Dienst) – Any (Ziel) – Zulassen (Aktion) an den Beginn Ihres Regelwerks, da diese Regel alle Pakete in beide Richtungen durch das Gateway lassen würde, ohne nachfolgende Regeln zu beachten.
Um eine Firewallregel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Regeln auf Neue Regel.
Das Dialogfenster Neue Regel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Gruppe: Die Option Gruppe ist nützlich, da Firewallregeln zur besseren Übersichtlichkeit des Firewallregelwerks zu logischen Gruppen zusammengefasst werden können. Die
Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen
Einfluss auf die Abarbeitung der Regel im Regelwerk.
Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.
Quellen: Fügen Sie Netzwerkdefinitionen der Quelle hinzu, die angeben, von welchem
Host/welchen Hosts oder Netzwerken die Pakete stammen.
Dienste:Fügen Sie Dienstdefinitionen zur Beschreibung der Protokolle hinzu und bei
TCP oder UDP die Quell- und Zielports der Pakete.
Ziele: Fügen Sie die Netzwerkdefinition des Ziels hinzu, die Zielhost(s) oder
Zielnetzwerk(e) der Pakete angibt.
Hinweis – Wenn Sie mehr als eine Quelle, einen Dienst oder ein Ziel auswählen, gilt die Regel für alle möglichen Quelle-Dienst-Ziel-Kombinationen. Eine Regel mit zwei
234
UTM 9 Administratorhandbuch
8 Network Protection
8.1 Firewall
Quellen, zwei Diensten und zwei Zielen entspricht beispielsweise acht individuellen
Regeln: von jeder Quelle an jedes Ziel über beide Dienste.
Aktion: Die Aktion, die angibt, wie mit Datenverkehr verfahren wird, auf den die Regel zutrifft. Die folgenden Aktionen können ausgewählt werden: l
Zulassen: Die Verbindung wird zugelassen und Datenverkehr wird weitergeleitet.
l
Verwerfen: Alle Pakete, die diese Bedingung erfüllen, werden ohne
Rückmeldung an den Absender verworfen (engl. drop silently).
l
Ablehnen: Verbindungsanfragen, die diese Bedingung erfüllen, werden abgewiesen.Der Absender erhält eine entsprechende ICMP-Nachricht.
Zeitraum: Standardmäßig ist keine Zeitraumdefinition ausgewählt. Das bedeutet, dass die Regel immer gültig ist. Wenn Sie eine Zeitraumdefinition auswählen, wird die Regel nur innerhalb der Zeitspanne gültig, die durch diese Zeitraumdefinition festgelegt ist.Weitere Informationen finden Sie unter
.
Verkehr protokollieren: Wenn Sie diese Option wählen, wird die Protokollierung aktiviert und Pakete, die auf Regeln zutreffen, werden im Firewallprotokoll mitgeschrieben.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Regeln angezeigt.
4.
Aktivieren Sie die Regel.
Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Live-Protokoll öffnen: Über diese Schaltfläche wird ein Pop-up-Fenster mit einem Echtzeit-
Protokoll der gefilterten Pakete geöffnet. Das sich regelmäßig aktualisierende Fenster zeigt die aktuelle Netzwerkaktivität. Die Hintergrundfarbe gibt an, welche Aktion angewendet wurde.
l
Rot: Das Paket wurde verworfen (drop).
l
Gelb: Das Paket wurde abgelehnt (reject).
UTM 9 Administratorhandbuch
235
8.1 Firewall
8 Network Protection
l
Grün: Das Paket wurde zugelassen (allow).
l
Grau: Die Aktion konnte nicht bestimmt werden.
Das Live-Protokoll enthält auch Informationen darüber, welche Firewallregel dafür gesorgt hat, dass ein Paket abgelehnt wurde.Solche Informationen sind wichtig für die Fehlersuche im
Regelwerk.
Mit der Suchfunktion können Sie das Firewallprotokoll nach spezifischen Einträgen durchsuchen.Die Suchfunktion erlaubt es sogar, Ausdrücke auszuschließen, indem Sie ein
Minus vor den Ausdruck schreiben, z. B. -WebAdmin, wodurch alle Zeilen ausgeblendet werden, die diesen Ausdruck enthalten.
Durch die Funktion Autoscroll rücken die Zeilen auf, wenn neue hinzukommen, wodurch im
Fenster immer die jüngste Regelverletzung sichtbar wird, wodurch manuelles Blättern entfällt.
Untenstehend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall: l
Verworfene Broadcasts: Alle Broadcasts werden standardmäßig verworfen. Diese
Aktion wird auch nicht protokolliert (weitere Informationen hierzu unter
ist für NetBIOS-Netzwerke (z. B. Microsoft-Windows-Betriebssysteme) mit vielen
Computern hilfreich, da die Broadcasts das Firewallprotokoll schnell volllaufen lassen.Um eine Regel für das Verwerfen von Broadcasts manuell zu definieren, gruppieren Sie die Definitionen der Broadcast-Adressen aller angeschlossenen
Netzwerke zusammen und fügen Sie eine Definition „globaler_broadcast“ von
255.255.255.255/255.255.255.255
hinzu. Fügen Sie dann eine Regel hinzu, die allen Verkehr dieser Adressen verwirft, und platzieren Sie die Regel ganz oben in Ihrer
Firewall-Konfiguration. In Netzwerken mit viel Broadcast hat das auch positive
Auswirkungen auf die Systemleistung.
l
IDENT-Verkehr ablehnen: Wenn Sie den IDENT-Reverse-Proxy nicht nutzen möchten, können Sie Datenpakete an den Port 113 (IDENT) des internen Netzwerks ablehnen. Dies kann bei Diensten, die IDENT verwenden (z. B. FTP, SMTP und IRC), längere Zeitüberschreitungen verhindern.
Hinweis – Bei der Nutzung von Maskierung (engl. masquerading) werden die IDENT-
Anfragen für die maskierten Netzwerke auf den Maskierungsschnittstellen ankommen.
l
NAT verändert die Adressen der Datenpakete und hat somit Auswirkungen auf die
Firewall-Funktionalität.
l
DNAT wird vor der Firewall ausgeführt. Die Firewall bearbeitet daher die bereits umgeschriebenen Datenpakete. Das müssen Sie bedenken, wenn Sie Regeln für
DNAT-bezogene Dienste anlegen.
236
UTM 9 Administratorhandbuch
8 Network Protection
8.1 Firewall l
SNAT und Maskierung werden nach der Firewall ausgeführt. Die Firewall bearbeitet daher noch die Datenpakete mit der originalen Quelladresse.
Mit den Funktionen im Kopfbereich der Tabelle können Firewallregeln nach bestimmten
Kriterien gefiltert und so übersichtlich dargestellt werden. Wenn Sie Gruppen angelegt haben, können Sie eine Gruppe über die Auswahlliste wählen und sehen so alle Regeln, die zu dieser
Gruppe gehören. Mit dem Suchfeld können Sie nach Stichworten oder auch nur Wortteilen suchen, zu denen die Regeln angezeigt werden sollen.Die Suche umfasst Quelle, Ziel, Dienst,
Gruppenname und Kommentar einer Regel.
8.1.2 Country-Blocking
Auf der Registerkarte Network Protection > Firewall > Country-Blocking können Sie
Datenverkehr aus bestimmten Ländern bzw. Datenverkehr, der für bestimmte Länder bestimmt ist, blockieren. Sie können entweder einzelne Länder oder ganze Kontinente blockieren.Das Blockieren erfolgt auf Basis der GeoIP-Informationen in der IP-Adresse des
Hosts.
Hinweis – Country-Blocking wird augenblicklich nicht für IP-Version 6 unterstützt.
Um Country-Blocking zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Country-Blocking.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Länder kann nun bearbeitet werden.
2.
Wählen Sie eine Gegend, die blockiert werden soll.
Wählen Sie eine oder mehrere Gegenden, deren ein- und ausgehender Datenverkehr vollständig blockiert werden soll. Länder wählen Sie aus, indem Sie das
Auswahlkästchen davor markieren; ganze Kontinente wählen Sie aus, indem Sie das
Auswahlkästchen in der Kopfzeile eines Kontinent-Abschnitts markieren.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.Datenverkehr aus oder zu einer gewählten
Gegend wird nun blockiert.
Tipp – Sie können einen Kontinent-Abschnitt zuklappen, indem Sie das Fenster-Symbol in der rechten oberen Ecke der Kopfzeile anklicken.Klicken Sie das Fenster-Symbol erneut an, um den Kontinent-Abschnitt wieder aufzuklappen.
UTM 9 Administratorhandbuch
237
8.1 Firewall
8 Network Protection
8.1.3 ICMP
Auf der Registerkarte Network Protection > Firewall > ICMP können Sie die Einstellungen für das Internet Control Message Protocol (ICMP) konfigurieren. ICMP dient dazu verbindungsrelevante Statusinformationen zwischen Hosts auszutauschen. Darüber hinaus ist es wichtig, um die Erreichbarkeit des Netzwerks zu testen und zur Fehlerbehebung bei
Netzwerkproblemen.
Das Erlauben von allem ICMP-Verkehr auf dieser Registerkarte hebt eventuelle ICMP-
Einstellungen in der Firewall auf.Wenn Sie ICMP-Verkehr nur für bestimmte Hosts oder
Netzwerke erlauben wollen, sollten Sie besser die Registerkarte Firewall > Regeln verwenden.
Allge me ine I C MP-Einste llunge n
Die folgenden allgemeinen ICMP-Optionen sind möglich: l
ICMP auf Gateway zulassen: Das Gateway antwortet auf alle ICMP-Pakete.
l
ICMP über Gateway zulassen: Bei Auswahl dieser Option werden ICMP-Pakete über das Gateway weitergeleitet, wenn die Pakete aus einem internen Netzwerk stammen, also einem Netzwerk ohne Standard-Gateway.
l
ICMP-Umleitungen protokollieren: Die ICMP-Umleitungen (engl. redirects) werden von Routern gegenseitig verschickt, um eine bessere Route zu einem Paketziel zu finden. Router ändern daraufhin ihre Routing-Tabellen und leiten das Paket auf der vermeintlich besseren Route zum gleichen Ziel weiter. Wenn Sie diese Option wählen, werden alle ICMP-Umleitungen im Firewallprotokoll protokolliert.
Ping-Einste llunge n
Das Programm Ping ist ein Computer-Netzwerkwerkzeug mit dem man testen kann, ob ein bestimmter Host über ein IP-Netzwerk erreichbar ist.Ping funktioniert so, dass es ICMP-Echo-
Anfrage-Pakete an den Zielhost schickt und auf Antworten in Form von ICMP-Echo-Antwort-
Paketen lauscht. Aus Zeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer des
Paketumlaufs und die Paketverlustrate zwischen den Hosts.
Die folgenden Ping-Optionen sind möglich: l
Gateway ist ping-sichtbar: Das Gateway antwortet auf ICMP-Echo-Antwort-Pakete.
Diese Funktion ist standardmäßig eingeschaltet.
238
UTM 9 Administratorhandbuch
8 Network Protection
8.1 Firewall l
Vom Gateway pingen: Der Ping-Befehl kann auf dem Gateway verwendet werden.
Diese Funktion ist standardmäßig eingeschaltet.
l
Gateway leitet Pings weiter: Das Gateway leitet ICMP-Echo-Anfrage- und Echo-
Antwort-Pakete weiter, die aus einem internen Netzwerk stammen, also einem
Netzwerk ohne Standard-Gateway.
Tr a ce r oute -Einste llunge n
Das Programm Traceroute ist ein Computer-Netzwerkwerkzeug zur Bestimmung der Route, die von Paketen in einem IP-Netzwerk genommen werden. Es listet die IP-Adressen der
Router auf, über die das versendete Paket transportiert wurde. Sollte der Pfad der
Datenpakete kurzfristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt. Nach einer bestimmten Zahl an Fehlversuchen wird die Überprüfung abgebrochen.
Der Abbruch einer Überprüfung kann viele Gründe haben, der wahrscheinlichste ist jedoch, dass eine Firewall im Netzwerkpfad Traceroute-Pakete blockiert.
Die folgenden Traceroute-Optionen sind möglich: l
Gateway ist traceroute-sichtbar: Das Gateway antwortet auf Traceroute-Pakete.
l
Gateway leitet Traceroute weiter: Das Gateway leitet Traceroute-Pakete weiter, die aus einem internen Netzwerk stammen, also einem Netzwerk ohne Standard-Gateway.
Hinweis – Darüber hinaus werden auch die UDP-Ports für UNIX-Traceroute-
Anwendungen geöffnet.
8.1.4 Erweitert
Auf der Registerkarte Network Protection > Firewall > Erweitert können Sie erweiterte
Einstellungen für die Firewall und die NAT-Regeln vornehmen.
He lfe r für Ve r bindungsve r folgung
Sogenannte „Helfer für die Verbindungsverfolgung“ aktivieren Protokolle, die mehrere
Netzwerkverbindungen nutzen, um auf Firewall- oder NAT-Regeln zugreifen zu können.Alle
Verbindungen, die per Firewall abgewickelt werden, werden durch das Kernelmodul
Conntrack mitverfolgt: ein Prozess, der besser als Connection Tracking (dt.
Verbindungsverfolgung) bekannt ist.Einige Protokolle, wie FTP und IRC, benötigen mehrere offene Ports und erfordern deshalb spezielle Verbindungsverfolgungshelfer, damit sie korrekt funktionieren. Diese Helfer sind spezielle Kernelmodule, die dabei helfen, zusätzliche
UTM 9 Administratorhandbuch
239
8.1 Firewall
8 Network Protection
Verbindungen zu identifizieren, indem sie diese als zur Eingangsverbindung zugehörig markieren. Das tun sie, indem sie die zugehörigen Adressen aus dem Datenstrom auslesen.
Damit z. B. eine FTP-Verbindung korrekt funktioniert, muss ein FTP-Conntrack-Helfer ausgewählt werden. Der Grund hierfür liegt in den Eigenheiten des FTP-Protokolls, welches zunächst eine einzelne Verbindung, die FTP-Kontrollverbindung, aufbaut. Sobald Befehle über diese Verbindung laufen, werden andere Ports geöffnet, um den Rest der Daten zu transportieren, die zu dem jeweiligen Befehl gehören (z. B. Downloads oder Uploads). Das
Problem hierbei ist, dass das Gateway nichts von den Extraports weiß, weil sie dynamisch ausgehandelt wurden. Aus diesem Grund kann das Gateway auch nicht wissen, dass es dem
Server erlauben soll, sich mit dem Client über diese spezifischen Ports (aktive FTP-
Verbindungen) zu verbinden, oder dass es Clients aus dem Internet erlauben soll, sich mit dem
FTP-Server zu verbinden (passive FTP-Verbindungen).
Hier wird der FTP-Conntrack-Helfer aktiv. Dieser spezielle Helfer wird zur
Verbindungsverfolgung hinzugefügt und durchsucht dann die Kontrollverbindung
(normalerweise auf Port 21) nach spezifischen Informationen. Wenn er auf korrekte
Informationen stößt, fügt er diese spezifischen Informationen zu einer Liste erwarteter
Verbindungen hinzu, sodass sie als zugehörig zur Kontrollverbindung gelten.Das wiederum ermöglicht es dem Gateway, sowohl die FTP-Eingangsverbindung als auch die zugehörigen
Verbindungen richtig zu verfolgen.
Verbindungsverfolgungshelfer stehen für die folgenden Protokolle zur Verfügung: l
FTP l
IRC (für DCC) l pptp l
TFTP
Hinweis – Das Helfer-Modul PPTP wird benötigt, wenn Sie PPTP-VPN-Dienste auf dem
Gateway anbieten wollen. PPTP-Verbindungen können sonst nicht aufgebaut werden.Der
Grund hierfür ist, dass das Protokoll PPTP zuerst eine Verbindung auf TCP-Port 1723 aufbaut, bevor es zur Verbindung mit dem Protokoll Generic Routing Encapsulation (GRE) wechselt, das ein eigenständiges IP-Protokoll ist. Wenn das Helfer-Modul PPTP nicht geladen ist, werden alle GRE-Pakete vom Gateway blockiert. Falls Sie aber das Helfer-Modul
PPTP nicht laden möchten, können Sie Firewallregeln manuell hinzufügen, sodass GRE-
Pakete für ein- und ausgehenden Datenverkehr zulässig sind.
240
UTM 9 Administratorhandbuch
8 Network Protection
8.1 Firewall
Pr otokollha ndha bung
TCP-Fensterskalierung ermöglichen: Das TCP Receive Window (RWin) gibt vor (in
Bytes), welche Datenmenge ein System während einer Verbindung puffern kann. Der
Absender kann nur diese Datenmenge versenden, danach muss er auf eine Bestätigung und eine Fensteraktualisierung des Empfängers warten. Für eine effizientere Nutzung von
Netzwerken mit hoher Bandbreite kann allerdings eine größere Fenstergröße verwendet werden. Allerdings kontrolliert das TCP-Fenstergrößenfeld den Datenfluss und ist auf zwei
Byte beschränkt bzw. eine Fenstergröße von 65535 Byte. Da das Größenfeld nicht erweitert werden kann, wird ein Skalierungsfaktor verwendet. TCP window scaling (TCP-
Fensterskalierung) ist eine Kerneloption des TCP/IP-Stacks und kann dazu verwendet werden, die maximale Fenstergröße von 65535 Byte auf ein Gigabyte zu erweitern. Die
Fensterskalierung ist standardmäßig aktiviert. Da einige Netzwerkgeräte wie Router,
Lastverteiler, Gateways usw. die Fensterskalierung immer noch nicht durchgehend unterstützen, kann es notwendig sein, sie auszuschalten.
Strikte TCP-Sitzungsverwaltung verwenden: Standardmäßig kann das System vorhandene TCP-Verbindungen aufsammeln, die in der Verbindungsverfolgungstabelle aufgrund eines Neustarts nicht verwaltet werden.Interaktive Sitzungen, wie z. B. SSH und
Telnet werden daher nicht unterbrochen, wenn eine Schnittstelle vorübergehend nicht erreichbar ist. Sobald diese Option aktiviert ist, wird immer ein neuer 3-Wege-Handshake notwendig sein, um solche Sitzungen zu reaktivieren. Es wird empfohlen, diese Option ausgeschaltet zu lassen.
Paketlänge validieren: Wenn diese Option aktiviert ist, prüft die Firewall die Datenpakete auf die minimale Länge, wenn das Protokoll ICMP, TCP oder UDP verwendet wird. Wenn die
Datenpakete kürzer als die Minimalwerte sind, werden sie blockiert und es wird ein Eintrag im
Firewallprotokoll angelegt.
Täuschungsschutz: Die Option Täuschungsschutz (engl. spoof protection) ist standardmäßig ausgeschaltet. Sie können zwischen den folgenden Einstellungen wählen: l
Normal: Das Gateway verwirft und protokolliert alle Datenpakete, die als
Absenderadresse (source IP) entweder die gleiche IP-Adresse enthalten wie die
Schnittstelle, oder Datenpakete, die auf einer Schnittstelle ankommen, welche eine
Quell-IP-Adresse eines Netzwerks besitzt, die einem Netzwerk auf einer anderen
Schnittstelle zugeordnet ist.
l
Strikt: Mit dieser Einstellung werden darüber hinaus alle Datenpakete verworfen und protokolliert, die zwar die richtige Zieladresse (destination IP) für eine bestimmte
UTM 9 Administratorhandbuch
241
8.2 NAT
8 Network Protection
Schnittstelle im Netzwerk enthalten, allerdings über eine Schnittstelle, der sie nicht zugeordnet sind, im Netzwerk eintreffen. Beispielsweise werden Pakete verworfen, die von einem externen Netzwerk an eine IP-Adresse der internen Schnittstelle geschickt wurden, die aber nur dafür vorgesehen ist, Pakete aus dem internen Netzwerk entgegenzunehmen.
Pr otokollie r ungsoptione n
FTP-Datenverbindungen protokollieren: Die UTM protokolliert alle Datenübertragungen
(FTP-Datei- und Verzeichnisauflistungen). Die Protokolleinträge werden mit dem Ausdruck
„FTP data“ versehen.
Eindeutige DNS-Anfragen protokollieren: Die UTM protokolliert alle ausgehenden
Anfragen an DNS-Server sowie deren Ergebnis. Die Protokolleinträge werden mit dem
Ausdruck „DNS request“ versehen.
Verworfene Broadcasts protokollieren: Standardmäßig verwirft die Firewall alle
Broadcasts, die darüber hinaus auch nicht protokolliert werden.Wenn Sie die Broadcasts jedoch im Firewall-Protokoll benötigen, z. B. für Prüfungszwecke, wählen Sie die Option aus.
8.2 NAT
Im Menü Network Protection > NAT werden die NAT-Regeln des Gateways definiert und verwaltet.Network Address Translation (NAT) ist ein Verfahren, mit dem die Quell- und/oder
Zieladressen von IP-Paketen umgeschrieben werden, wenn sie einen Router oder ein
Gateway passieren. Die meisten Systeme benutzen NAT, damit mehrere Hosts in einem privaten Netzwerk den Internetzugang über eine einzige öffentliche IP-Adresse nutzen können. Wenn ein Client ein IP-Paket an den Router schickt, wandelt NAT die
Absenderadresse in eine andere, öffentliche IP-Adresse um, bevor es das Paket ins Internet weiterleitet. Kommt eine Antwort auf dieses Paket zurück, wandelt NAT die öffentliche Adresse wieder in die ursprüngliche IP-Adresse um und leitet das Paket an den Client weiter.Abhängig von den vorhandenen Systemressourcen ist NAT in der Lage, beliebig große interne
Netzwerke zu verwalten.
8.2.1 Maskierung
Maskierung (engl. masquerading) ist eine Sonderform der Quellnetzwerkadressumsetzung
(engl. Source Network Address Translation, SNAT), bei der viele private IP-Adressen
(typischerweise Ihr LAN mit privatem Adressraum) auf eine einzige öffentliche IP-Adresse
242
UTM 9 Administratorhandbuch
8 Network Protection
8.2 NAT
(typischerweise Ihre externe Schnittstelle zum Internet) umgeschrieben werden, d. h. Sie verbergen interne IP-Adressen und Netzwerkinformationen nach außen. SNAT ist allgemeiner, da es ermöglicht, mehrere Quelladressen mehreren Zieladressen zuzuordnen.
Hinweis – Die Quelladresse wird nur umgesetzt, wenn das Paket das Gateway über die angegebene Schnittstelle verlässt. Des Weiteren ist die Quelladresse immer die aktuelle IP-
Adresse dieser Schnittstelle, d. h. diese Adresse kann dynamisch sein.
Um eine Maskierungsregel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Maskierung auf Neue Maskierungsregel.
Das Dialogfenster Neue Maskierungsregel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Netzwerk: Wählen Sie das zu maskierende (interne) Netzwerk aus.
Schnittstelle: Wählen Sie die (externe) Netzwerkkarte aus, die mit dem Internet verbunden ist.
Benutze Adresse: Wenn der Schnittstelle, die Sie gewählt haben, mehr als eine IP-
Adresse zugewiesen ist (siehe Schnittstellen & Routing > Schnittstellen >
), können Sie hier bestimmen, welche IP-Adresse für die Maskierung verwendet werden soll.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Maskierungsregel wird in der Liste Maskierung angezeigt.
4.
Aktivieren Sie die Maskierungsregel.
Aktivieren Sie die Maskierungsregel durch einen Klick auf die Statusampel.
Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Hinweis – Damit von den Clients aus dem internen Netzwerk eine Verbindung zum Internet aufgebaut werden kann, müssen Sie für die Firewall entsprechende Regeln anlegen.
IPsec-Pakete sind von Maskierungsregeln niemals betroffen. Um die Quelladresse von IPsec-
Paketen umzusetzen, legen Sie eine Regel für SNAT oder Volles NAT an.
UTM 9 Administratorhandbuch
243
8.2 NAT
8 Network Protection
8.2.2 NAT
DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT
(Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle
Fälle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung initiiert hat. Das Gegenstück hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt.
DNAT ist besonders nützlich, wenn ein internes Netzwerk private IP-Adressen verwendet und der Administrator einige Dienste von außen zugänglich machen will.
Das lässt sich am besten anhand eines Beispiels verdeutlichen:Ein Webserver mit der IP-
Adresse 192.168.0.20, Port 80, der in einem privaten Netzwerk mit dem Adressraum
192.168.0.0/255.255.255.0
steht, soll für Clients aus dem Internet erreichbar sein.Da der
Adressraum 192.168. privat ist, können Internet-basierte Clients Pakete nicht direkt an den
Webserver schicken.Sie können aber mit der externen (öffentlichen) Adresse der UTM kommunizieren.DNAT kann in diesem Fall Pakete an Port 80 der Firewall annehmen und diese zum internen Webserver weiterleiten.
Hinweis - PPTP-VPN-Zugang ist nicht kompatibel mit DNAT.
Im Gegensatz zur Maskierung, bei der die Zuordnung zur Adresse der primären
Netzwerkschnittstelle erfolgt, ordnet SNAT die Quelladresse der Adresse zu, die in der SNAT-
Regel angegeben ist.
1:1-NAT ist ein Spezialfall von DNAT oder SNAT. In diesem Fall werden sämtliche Adressen eines Netzwerks 1:1 in die Adressen eines anderen Netzwerks mit der gleichen Netzmaske
übersetzt. Die erste Adresse des ursprünglichen Netzwerks wird also in die erste Adresse des anderen Netzwerks übersetzt, die zweite in die zweite usw. Eine 1:1-NAT-Regel kann entweder auf die Quell- oder die Zieladresse angewendet werden.
Hinweis – Der Port 443 (HTTPS) wird standardmäßig für das Benutzerportal genutzt.Wenn
Sie den Port 443 auf einen internen Server umleiten möchten, müssen Sie den TCP-Port für das Benutzerportal auf einen anderen Wert setzen (z. B. 1443). Das können Sie unter
Verwaltung > Benutzerportal > Erweitert tun.
Da DNAT vor dem Firewalling angewendet wird, müssen Sie sicherstellen, dass entsprechende Firewallregeln gesetzt sind.Weitergehende Informationen finden Sie unter
Network Protection > Firewall > Regeln.
244
UTM 9 Administratorhandbuch
8 Network Protection
8.2 NAT
Um eine NAT-Regel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte NAT auf Neue NAT-Regel.
Das Dialogfenster Neue NAT-Regel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Gruppe: Sie können verschiedene NAT-Regeln zu Gruppen zusammenfassen.
Dadurch erhöhen Sie die Übersichtlichkeit der NAT-Regeln. Eine Gruppe kann aus einer beliebigen Zeichenfolge bestehen.
Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.
Regeltyp: Wählen Sie den NAT-Modus aus. Abhängig vom gewählten Modus werden verschiedene Optionen angezeigt: Die folgenden Modi sind möglich: l
SNAT (Quelle): Ordnet die Quelladresse definierter IP-Pakete einer neuen
Quelladresse zu. Dieser Dienst kann ebenfalls geändert werden.
l
DNAT (Ziel): Ordnet die Zieladresse definierter IP-Pakete einer neuen
Zieladresse zu. Dieser Dienst kann ebenfalls geändert werden.
l
1:1-NAT (gesamte Netzwerke): Ordnet IP-Adressen eines Netzwerks 1:1 einem anderen Netzwerk zu. Die Regel gilt entweder für die Quell- oder die
Zieladresse der definierten IP-Pakete.
l
Volles NAT (Quelle und Ziel): Ordnet sowohl die Quell- als auch die
Zieladresse definierter IP-Pakete einer neuen Quell- und einer neuen Zieladresse zu. Der Quelldienst und der Zieldienst können ebenfalls geändert werden.
l
Kein NAT: Bei dieser Option handelt es sich um eine Ausnahmeregel.Beispiel:
Wenn für ein bestimmtes Netzwerk eine NAT-Regel existiert, können Sie eine
Kein NAT-Regel für bestimmte Hosts innerhalb dieses Netzwerks festlegen.
Diese Hosts werden dann vom NAT ausgenommen.
Bedingung für Übereinstimmung: Wählen Sie Quell- und Zielnetzwerk, Quell- und
Zielhost sowie den Dienst, für die Sie Adressen übersetzen möchten.
l
Datenverkehrsquelle: Die ursprüngliche Quelladresse der Pakete. Dabei kann es sich entweder um einen einzelnen Host oder ein gesamtes Netzwerk handeln.
l
Datenverkehrsdienst: Der ursprüngliche Diensttyp des Pakets, der aus Quellund Zielports der Pakete sowie einem Protokoll besteht.
UTM 9 Administratorhandbuch
245
8.2 NAT
8 Network Protection
246
Hinweis – Ein Datenverkehrsdienst kann nur umgesetzt werden, wenn auch die entsprechenden Adressen umgesetzt werden. Des Weiteren kann ein
Dienst nur in einen Dienst mit dem gleichen Protokoll umgesetzt werden.
l
Datenverkehrsziel: Die ursprüngliche Zieladresse der Pakete.Dabei kann es sich entweder um einen einzelnen Host oder ein gesamtes Netzwerk handeln.
Aktion: Wählen Sie den Quell- bzw. Ziel- bzw. Diensttyp, in den Sie die ursprünglichen
IP-Paketdaten übersetzen möchten.Die angezeigten Parameter hängen vom ausgewählten Regeltyp ab.
l
Quelle ändern in (nur in den Modi SNAT oder Volles NAT): Wählen Sie den
Quellhost, also die neue Quelladresse der Pakete.
l
Ziel ändern in (nur in den Modi DNAT oder Volles NAT): Wählen Sie den
Zielhost, also die neue Zieladresse der Pakete.
l
Dienst ändern in (nur in den Modi DNAT, SNAT oder Volles NAT): Wählen Sie den neuen Dienst für die Pakete.Je nach ausgewähltem Regeltyp kann es sich hierbei um den Quell- bzw. Zieldienst handeln.
l
1:1-NAT-Modus (nur im Modus 1:1-NAT): Wählen Sie einen der folgenden
Modi: l
Ziel zuordnen: Ändert die Zieladresse.
l
Quelle zuordnen: Ändert die Quelladresse.
Hinweis – Sie müssen im Feld Datenverkehrsquelle ein ganzes Netzwerk eingeben, wenn Sie die Quelle zuordnen möchten, oder im Feld
Datenverkehrsziel, wenn Sie das Ziel zuordnen möchten.
l
Ziel (nur im Modus 1:1-NAT): Wählen Sie das Netzwerk, in das Sie die ursprüngliche IP-Adresse übersetzen möchten. Bitte beachten Sie, dass die
Netzmaske des ursprünglichen Netzwerks mit der Netzmaske des übersetzten
Netzwerks übereinstimmen muss.
Automatische Firewallregel (optional): Wählen Sie diese Option, um Firewallregeln automatisch zu generieren, sodass der entsprechende Datenverkehr die Firewall passieren kann.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
UTM 9 Administratorhandbuch
8 Network Protection
8.3 Angriffschutz
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Regel gilt für IPsec-Pakete (nur in den Modi SNAT oder Volles NAT): Wählen Sie diese Option, wenn die Regel für Datenverkehr gelten soll, der von IPsec verarbeitet wird. Diese Option ist standardmäßig nicht ausgewählt, wodurch verhindert wird, dass
IPsec-Verkehr von SNAT ausgeschlossen wird.
Initpakete protokollieren (optional): Wählen Sie diese Option, um
Initialisierungspakete einer Kommunikation ins Firewall-Protokoll zu schreiben. Wann immer eine NAT-Regel verwendet wird, werden Sie eine Meldung im Firewallprotokoll mit folgendem Inhalt finden: „Connection using NAT“ (dt. Verbindung benutzt NAT).
Diese Option funktioniert sowohl für zustandbehaftete (stateful) als auch zustandlose
(stateless) Protokolle.
4.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste NAT angezeigt.
5.
Aktivieren Sie die NAT-Regel.
Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
8.3 Angriffschutz
Im Menü Network Protection > Angriffschutz werden die IPS-Regeln des Gateway definiert und verwaltet.Das Angriffschutzsystem (IPS, engl. Intrusion Prevention) erkennt Angriffsversuche anhand eines signaturbasierten IPS-Regelwerks. Das System analysiert den gesamten
Datenverkehr und blockiert Attacken automatisch, bevor diese das lokale Netzwerk erreichen.Das bereits vorhandene Regelwerk und die Angriffsignaturen werden durch die
Pattern-Updates-Funktion aktualisiert.Neue IPS-Angriffsignaturen werden automatisch als
IPS-Regeln in das IPS-Regelwerk importiert.
8.3.1 Allgemein
Auf der Registerkarte Network Protection > Angriffschutz > Allgemein können Sie das
Angriffschutzsystem (Intrusion Prevention System, (IPS) von Sophos UTM aktivieren.
Um IPS zu aktivieren, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
247
8.3 Angriffschutz
8 Network Protection
1.
Aktivieren Sie das Angriffschutzsystem.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Allgemeine IPS-Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Lokale Netzwerke: Wählen Sie die Netzwerke aus, die vom Angriffschutzsystem
überwacht werden sollen. Falls kein Netzwerk ausgewählt ist, wird IPS automatisch wieder ausgeschaltet und kein Netzwerkverkehr überwacht.
Richtlinie: Wählen Sie die Sicherheitsrichtlinie aus, die von IPS verwendet werden soll, wenn eine IPS-Regel eine Angriffsignatur erkennt.
l
Unbemerkt verwerfen: Die Datenpakete werden ohne weitere Maßnahmen verworfen.
l
Verbindung beenden: An beide Verbindungspartner wird ein Paket geschickt, das die Verbindung beendet (RST bei TCP-Verbindungen und ICMP Port
Unreachable für UDP-Verbindungen).
Hinweis – Standardmäßig ist Unbemerkt verwerfen ausgewählt. Diese Einstellung sollte in der Regel nicht verändert werden, vor allem da aus Paketen zur
Verbindungsbeendigung mutmaßliche Angreifer auch Informationen über das
Gateway ziehen können.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Live -Pr otokoll
Das Angriffschutz-Live-Protokoll dient zur Überwachung der gewählten IPS-Regeln.Klicken
Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.
8.3.2 Angriffsmuster
Die Registerkarte Network Protection > Angriffschutz > Angriffsmuster enthält das IPS-
Regelwerk, gruppiert nach üblichen Angriffsmustern. Die IPS-Angriffsmuster sind in folgende
Gruppen unterteilt:
248
UTM 9 Administratorhandbuch
8 Network Protection
8.3 Angriffschutz l
Operating System Specific Attacks: Angriffe auf Betriebssystem-spezifische
Schwächen.
l
Attacks Against Servers: Angriffe auf alle Arten von Servern (z. B. Webserver,
Mailserver).
l
Attacks Against Client Software: Angriffe auf Client-Software (z. B. Webbrowser,
Multimedia-Player).
l
Protocol Anomaly: Die Angriffsmuster sind auf Netzwerkanomalien ausgerichtet.
l
Malware: Software, die darauf ausgelegt ist, in ein Computersystem einzudringen und ihm zu schaden, ohne dass der Besitzer davon Kenntnis hat, z. B. Trojaner, DoS-
Kommunikationswerkzeuge usw.
Um die Leistungsfähigkeit zu erhöhen, sollten Sie IPS-Angriffsmuster deaktivieren, die sich auf
Dienste oder Software beziehen, welche nicht in Ihrem lokalen Netzwerk vorkommen.Wenn
sich in Ihrem lokalen Netzwerk z. B. kein Webserver im Einsatz befindet, können Sie die
Auswahl HTTP Servers aufheben.
Für jede Gruppe sind die folgenden Einstellungen verfügbar:
Aktion: Jede Regel einer Gruppe besitzt eine ihr zugewiesene Aktion. Sie können zwischen den folgenden Aktionen wählen: l
Verwerfen: Standardeinstellung. Wenn ein vermeintlicher Angriff festgestellt wird, werden die betroffenen Datenpakete verworfen.
l
Warnung: Im Gegensatz zu Verwerfen wird das kritische Datenpaket durch das
Gateway gelassen, aber es wird eine Warnmeldung in das IPS-Protokoll geschrieben.
Hinweis – Um die Einstellungen für individuell erstellte IPS-Regeln zu ändern, verwenden
Sie auf der Registerkarte Angriffschutz > Erweitert das Feld Geänderte Regeln.Eine
detaillierte Liste mit allen IPS-Regeln, die in Sophos UTM9 verwendet werden, finden Sie auf der UTM-Website .
Extra-Warnungen: Wenn Sie diese Option wählen, werden jeder IPS-Regel zusätzliche
Regeln hinzugefügt, die die IPS-Erkennungsrate erhöhen. Beachten Sie dabei, dass diese zusätzlichen Regeln allgemeiner gefasst und vager sind als die expliziten IPS-Angriffsignaturen und dadurch sicherlich häufiger Alarme auslösen.Aus diesem Grund ist die voreingestellte
Aktion Warnung, welche nicht konfiguriert werden kann.
Benachrichtigen: Wenn Sie diese Option wählen, wird für jedes IPS-Ereignis, das zu dieser
Gruppe gehört, eine Meldung an den Administrator geschickt.Beachten Sie, dass die Nachricht
UTM 9 Administratorhandbuch
249
8.3 Angriffschutz
8 Network Protection
nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion im Menü Management >
Benachrichtigungen > Benachrichtigungen eingeschaltet und entsprechend konfiguriert haben. Darüber hinaus hängt es ebenfalls von den Einstellungen dort ab, ob es sich bei der
Benachrichtigung um eine E-Mail oder SNMP-Trap handelt.Dabei kann es bis zu fünf Minuten dauern, bevor die Änderungen an den Benachrichtigungseinstellungen wirksam werden.
8.3.3 Anti-DoS/Flooding
Auf der Registerkarte Anti-DoS/Flooding können Sie die Konfiguration für den Schutz vor
Denial-of-Service-Angriffen (DoS, dt. etwa Dienstverweigerung) und Distributed-Denial-of-
Service-Angriffen (DDoS, dt. etwa Verteilte Dienstverweigerung) vornehmen.
Allgemein gesagt, zielen DoS- und DDos-Angriffe darauf ab, ein Computersystem für legitime
Zugriffe unerreichbar zu machen. Im einfachsten Fall überflutet der Angreifer den Server mit sinnlosen Paketen, um diesen zu überlasten.Da für diese Angriffe eine große Bandbreite erforderlich ist, verlegen sich immer mehr Angreifer auf sogenannte SYN-Flood-Attacken, die nicht darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers zu blockieren.Zu diesem Zweck werden sogenannte SYN-Pakete mit einer oftmals gefälschten
Quelladresse an den TCP-Port des Dienstes geschickt. Auf diese Weise wird der Server veranlasst, die Verbindung zur Hälfte zu öffnen, indem er TCP/SYN-ACK-Pakete an die gefälschte Adresse zurücksendet und auf ein Antwort-TCP/ACK-Paket des Absenders wartet.
Da die Absenderadresse gefälscht ist, wird dieses aber niemals kommen. Diese halboffenen
Verbindungen sättigen die Anzahl der verfügbaren Verbindungen, die der Server eingehen kann, und hindern ihn daran, auf legitime Anfragen zu reagieren.
Solche Angriffe können abgewehrt werden, indem die Menge der SYN- (TCP), UDP- und
ICMP-Pakete, die in das Netzwerk geschickt werden, über eine bestimmte Zeit begrenzt werden.
TC P-SY N-Flood-Schutz
Um den TCP-SYN-Flood-Schutz zu aktivieren, gehen Sie folgendermaßen vor:
1.
Wählen Sie auf der Registerkarte Anti-DoS/Flooding die Option Verwende
TCP-SYN-Flood-Schutz.
2.
Nehmen Sie die folgenden Einstellungen vor:
Modus: Die folgenden Modi sind möglich:
250
UTM 9 Administratorhandbuch
8 Network Protection
8.3 Angriffschutz l
Quell- und Zieladressen: In diesem Modus werden TCP-SYN-Pakete zurückgewiesen, die sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adresse betreffen. Zuerst werden die SYN-Pakete nach der Quelladresse gefiltert. Wenn dann noch zu viele Anfragen vorhanden sind, werden zusätzlich die SYN-Pakete nach der Zieladresse gefiltert. Dieser Modus ist voreingestellt.
l
Nur Zieladresse: In diesem Modus werden die TCP-SYN-Pakete nur abhängig von der Ziel-IP-Adresse zurückgewiesen.
l
Nur Quelladresse: In diesem Modus werden die TCP-SYN-Pakete nur abhängig von der Quell-IP-Adresse zurückgewiesen.
Protokollierung: Mit dieser Option können Sie den Protokollumfang einstellen. Die folgenden Protokollierungsstufen sind verfügbar: l
Aus: Wählen Sie diese Option, wenn keine Protokolle erstellt werden sollen.
l
Begrenzt: Wählen Sie diese Option, um pro Sekunde maximal fünf Pakete zu protokollieren. Dieser Modus ist voreingestellt.
l
Alles: Wählen Sie diese Option, um alle SYN-Verbindungsversuche (TCP) zu protokollieren. Beachten Sie, dass TCP-SYN-Flood-Angriffe schnell zu einer sehr umfangreichen Protokollierung führen können.
Quellpaketrate (Pakete/Sekunde): Geben Sie in das Eingabefeld die maximale
Anzahl der Datenpakete pro Sekunde ein, die für Quell-IP-Adressen erlaubt sind.
Zielpaketrate (Pakete/Sekunde): Geben Sie in das Eingabefeld die maximale Anzahl der Datenpakete pro Sekunde ein, die für Ziel-IP-Adressen erlaubt sind.
Hinweis – Es ist wichtig, dass Sie in die Eingabefelder angemessene Werte eintragen.
Wenn Sie die Werte zu hoch definieren, kann es passieren, dass der Webserver den
Dienst versagt, weil er eine derart große Menge an TCP-SYN-Paketen nicht bewältigen kann. Wenn Sie andererseits die Rate zu gering definieren, kann es passieren, dass das Gateway unvorhersehbar reagiert und reguläre Anfragen blockiert. Es hängt hauptsächlich von Ihrer Hardware ab, welche Einstellungen für Sie sinnvoll sind. Ersetzen Sie daher die Standardeinstellungen durch für Ihr System geeignete Werte.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
UTM 9 Administratorhandbuch
251
8.3 Angriffschutz
8 Network Protection
UDP-Flood-Schutz
Der UDP-Flood-Schutz erkennt und blockiert UDP-Paketfluten.
Die Konfiguration des UDP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-
Schutzes.
I C MP-Flood-Schutz
Der ICMP-Flood-Schutz erkennt und blockiert ICMP-Paketfluten.
Die Konfiguration des ICMP-Flood-Schutzes ist identisch zu der des TCP-SYN-Flood-
Schutzes.
8.3.4 Anti-Portscan
Auf der Registerkarte Network Protection > Angriffschutz > Anti-Portscan werden die Optionen für die Portscan-Erkennung konfiguriert.
Portscans werden meist von Hackern durchgeführt, um in gesicherten Netzwerken nach erreichbaren Diensten zu suchen: Um in ein System einzudringen bzw. eine Denial-of-Service-
Attacke (DoS) zu starten, benötigen Angreifer Informationen zu den Netzwerkdiensten. Wenn solche Informationen vorliegen, sind Angreifer möglicherweise in der Lage, gezielt die
Sicherheitslücken dieser Dienste auszunutzen.Netzwerkdienste, die die Internet-Protokolle
TCP und UDP verwenden, sind über bestimmte Ports erreichbar und diese Port-Zuordnung ist im Allgemeinen bekannt, z. B. ist der Dienst SMTP in der Regel dem TCP-Port 25 zugeordnet.
Die von Diensten verwendeten Ports werden als „offen“ bezeichnet, da es möglich ist, eine
Verbindung zu ihnen aufzubauen, wohingegen unbenutzte Ports als „geschlossen“ bezeichnet werden, da Versuche, eine Verbindung zu ihnen aufzubauen, scheitern. Damit Angreifer herausfinden können, welche Ports offen sind, verwenden sie ein spezielles Software-
Werkzeug, den Portscanner. Dieses Programm versucht mit mehreren Ports auf dem Zielhost eine Verbindung aufzubauen. Falls dies gelingt, zeigt es die entsprechenden Ports als offen an und die Angreifer haben die nötigen Informationen, welche Netzwerkdienste auf dem Zielhost verfügbar sind.
Da den Internetprotokollen TCP und UDP je 65535 Ports zur Verfügung stehen, werden die
Ports in sehr kurzen Zeitabständen gescannt. Wenn nun von derselben Quell-IP-Adresse mehrere Versuche registriert werden, mit immer anderen Ports Ihres Systems Verbindung aufzunehmen bzw. Informationen an diese zu senden, dann handelt es sich mit ziemlicher
Sicherheit um einen Portscan. Wenn ein vermeintlicher Angreifer Hosts oder Dienste in Ihrem
Netzwerk scannt, wird dies von der Portscan-Erkennung entdeckt. Eine Möglichkeit dagegen
252
UTM 9 Administratorhandbuch
8 Network Protection
8.3 Angriffschutz vorzugehen ist, weitere Portscans von derselben Quell-IP-Adresse automatisch zu blockieren.
Beachten Sie, dass die Portscan-Erkennung auf Internetschnittstellen beschränk ist, d. h. auf
Schnittstellen mit Standardgateway.
Technisch gesehen liegt ein Portscan vor, wenn für eine einzelne Quell-IP-Adresse innerhalb von 300 ms eine Erkennungsrate (engl. Detection Score) von 21 Punkten erreicht wird. Diese
Erkennungsrate setzt sich folgendermaßen zusammen: l
Scan eines TCP-Zielports unter 1024 = 3 Punkte l
Scan eines TCP-Zielports gleich oder höher 1024 = 1 Punkt
Um die Portscan-Erkennung zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie auf der Registerkarte Anti-Portscan die Portscan-Erkennung.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Allgemeine Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Aktion: Die folgenden Aktionen sind möglich: l
Ereignis nur protokollieren: Es wird keine Maßnahme gegen den Portscanner ergriffen. Das Ereignis wird nur protokolliert.
l
Verkehr verwerfen: Weitere Pakete des Portscans werden verworfen. Der
Portscanner wird diese Ports als „gefiltert“ melden.
l
Verkehr ablehnen: Die Verbindungsanfragen des Angreifers werden zurückgewiesen und eine ICMP-Antwort „destination unreachable/port unreachable“ (Ziel/Port unerreichbar) wird an den Initiator geschickt. Der
Portscanner wird diesen Port als „geschlossen“ melden.
Protokollierung begrenzen: Aktivieren Sie diese Option, um die Menge der
Protokollnachrichten zu begrenzen. Die Portscan-Erkennung kann während eines
Portscans viele Einträge erzeugen. So wird z. B. jedes SYN-Paket, das als Teil eines
Portscans angesehen wird, im Firewallprotokoll festgehalten. Durch Aktivierung dieser
Funktion wird der Protokollumfang auf fünf Zeilen pro Sekunde reduziert.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
UTM 9 Administratorhandbuch
253
8.3 Angriffschutz
8 Network Protection
8.3.5 Ausnahmen
Auf der Registerkarte Network Protection > Angriffschutz > Ausnahmen können Sie Quell- und
Zielnetzwerke definieren, die vom Angriffschutzsystem (IPS) ausgenommen werden.
Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.
Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen: l
Angriffschutz: Wenn Sie diese Option aktivieren, wird das IPS von Sophos UTM ausgeschaltet.
l
Portscan-Schutz: Wenn Sie diese Option aktivieren, verlieren Sie den Schutz vor Portscans, die Ihr System nach offenen Ports absuchen.
l
TCP-SYN-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der TCP-SYN-
Flood-Schutz ausgeschaltet.
l
UDP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der UDP-Flood-
Schutz ausgeschaltet.
l
ICMP-Flood-Schutz: Wenn Sie diese Option aktivieren, wird der ICMP-Flood-
Schutz ausgeschaltet.
Für alle Anfragen: Wählen Sie mindestens eine Bedingung, für die die
Sicherheitsprüfungen ausgesetzt werden sollen.Sie können mehrere Bedingungen logisch miteinander verknüpfen, indem Sie entweder Und oder Oder aus der
Auswahlliste vor einer Bedingung auswählen. Die folgenden Bedingungen können gesetzt werden: l
Aus diesen Quellnetzwerken: Wählen Sie diese Option, um Quellhosts/netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Geben Sie die entsprechenden Hosts oder
Netzwerke in das Feld Netzwerke ein, das nach Auswahl der Bedingung geöffnet wird.
254
UTM 9 Administratorhandbuch
8 Network Protection
8.3 Angriffschutz l
Diese Dienste verwendend: Wählen Sie diese Option, um Dienste hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Fügen Sie die entsprechenden Dienste zum Feld
Dienste hinzu, das nach Auswahl der Bedingung geöffnet wird.
l
Zu diesen Zielen gehend: Wählen Sie diese Option, um Hosts/Netzwerke hinzuzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Geben Sie die entsprechenden Hosts oder
Netzwerke in das Feld Ziele ein, das nach Auswahl der Bedingung geöffnet wird.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Hinweis – Wenn Sie den Angriffschutz für Pakete mit der Zieladresse des Gateways ausschalten wollen, wird die Wahl Any im Feld Ziele nicht den gewünschten Effekt haben.Wählen Sie stattdessen eine Schnittstellendefinition des Gateways, die die IP-Adresse des Gateways enthält, z. B. Internal (Address), wenn Sie den Angriffschutz für die interne
Adresse des Gateways ausschalten möchten.
8.3.6 Erweitert
Auf der Registerkarte Network Protection > Angriffschutz > Erweitert können Sie IPS-Regeln manuell modifizieren. Dabei wird die Standardrichtlinie, die aus den Gruppen unter
Angriffsmuster stammt, für die jeweilige Regel überschrieben. Solche Änderungen sollten nur erfahrene Benutzer vornehmen.
Um eine modifizierte IPS-Regel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie im Feld Geänderte Regeln auf das Plussymbol.
Das Dialogfenster Modify Rule (Regel ändern) wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Regel-ID: Geben Sie die ID der IPS-Regel ein, die Sie ändern wollen.Die Regel-IDs sind in der IPS-Regelliste auf der Sophos-Website aufgeführt (in den Formaten HTML und
UTM 9 Administratorhandbuch
255
8.3 Angriffschutz
8 Network Protection
XML verfügbar). Darüber hinaus können Sie auch über das IPS-Protokoll oder den IPS-
Bericht bestimmt werden.
Diese Regel deaktivieren: Wenn Sie diese Option wählen, wird die IPS-Regel mit der entsprechenden ID ausgeschaltet.
Wenn Sie diese Option nicht wählen, stehen die folgenden zwei Optionen zur Verfügung: l
Benachrichtigungen ausschalten: Wenn Sie diese Option wählen, werden keine Benachrichtigungen versendet, wenn diese Regel angewendet wird.
l
Aktion: Hierbei handelt es sich um die Aktionen, die ausgeführt werden, wenn eine Regel zutrifft.Sie können zwischen den folgenden Aktionen wählen: l
Verwerfen: Wenn ein vermeintlicher Angriff festgestellt wird, werden die betroffenen Datenpakete verworfen.
l
Warnung: Im Gegensatz zu Verwerfen wird das kritische Datenpaket durch das Gateway gelassen, aber es wird eine Warnmeldung in das IPS-
Protokoll geschrieben.
3.
Klicken Sie auf Speichern.
Die Regel wird im Feld Geänderte Regeln angezeigt.Bitte beachten Sie, dass Sie außerdem unten auf der Seite Übernehmen klicken müssen, damit die Änderungen wirksam werden.
Hinweis – Wenn Sie eine Regel-ID zum Feld Geänderte Regeln hinzufügen und die Aktion zum Beispiel auf Warnung setzen, wird diese Änderung nur eine Auswirkung haben, wenn die Gruppe, zu der diese Regel gehört, auf der Registerkarte Angriffsmuster auch aktiviert ist.
Sollte diese Angriffsmustergruppe jedoch deaktiviert sein, haben Änderungen an einzelnen
Regeln keine Auswirkung.
Le istungsste ige r ung
Um die Leistung des Angriffschutzsystems zu verbessern und die Anzahl falscher Alarme zu minimieren, können Sie hier den Bereich der IPS-Regeln auf einzelne Ihrer internen Server begrenzen.Beispiel: Auf der Registerkarte Angriffsmuster ist die Gruppe HTTP-Server eingeschaltet und hier ist der interne HTTP-Server eingestellt.Wenn nun das
Angriffschutzsystem einen Angriff auf einen HTTP-Server feststellt, dann wird die eingestellte
Aktion (Verwerfen oder Warnung) nur ausgeführt, wenn die IP-Adresse des betroffenen
Servers mit der IP-Adresse des hier eingestellten HTTP-Servers übereinstimmt.
Der Einsatzbereich der IPS-Regeln kann für die folgenden Servertypen begrenzt werden:
256
UTM 9 Administratorhandbuch
8 Network Protection
8.4 Server-Lastverteilung l
HTTP: Alle Untergruppen in der Angriffsmustergruppe HTTP Servers l
DNS: Die Angriffsmustergruppe DNS l
SMTP: Die Angriffsmustergruppen Exchange und Sendmail l
SQL: Alle Untergruppen in der Angriffsmustergruppe Database Servers
8.4 Server-Lastverteilung
Mit der Server-Lastverteilung-Funktion (engl. server load balancing) können Sie eingehende
Verbindungen (z. B. SMTP- oder HTTP-Verkehr) auf verschiedene Server hinter der Firewall verteilen. Die Verteilung basiert auf der Quell-IP-Adresse mit einer Bindungsdauer von einer
Stunde.Falls das Intervall zwischen zwei Anfragen derselben Quell-IP-Adresse diesen
Zeitraum überschreitet, wird die Verteilung neu ausgehandelt. Die Verteilung des
Datenverkehrs basiert auf einem einfachen Round-Robin-Algorithmus.
Alle Server des Serverpools werden entweder durch ICMP-Ping, TCP-Verbindungsaufbau oder HTTP/S-Anfragen überwacht. Bei einem Ausfall wird der betroffene Server nicht weiter verwendet, wobei jede eventuelle Quell-IP-Bindungsdauer aufgehoben wird.
Hinweis – Der Rückgabewert einer HTTP/S-Anfrage muss entweder 1xx
Informational
, 2xx Success, 3xx Redirection oder 4xx Client Error sein.Alle
anderen Rückgabewerte werden als Fehler gewertet.
8.4.1 Verteilungsregeln
Auf der Registerkarte Network Protection > Server-Lastverteilung > Verteilungsregeln können
Sie Lastverteilungsregeln für die Sophos UTM-Software festlegen. Nachdem Sie eine Regel erstellt haben, können Sie zusätzlich die Gewichtung der Lastverteilung zwischen den Servern und die Schnittstellenbindung festlegen.
Um eine Lastverteilungsregel anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Verteilungsregeln auf Neue
Lastverteilungsregel.
Das Dialogfenster Neue Lastverteilungsregel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Dienst: Wählen Sie den Netzwerkdienst aus, dessen Last Sie verteilen wollen.
UTM 9 Administratorhandbuch
257
8.4 Server-Lastverteilung
8 Network Protection
Virtueller Server: Der ursprüngliche Zielhost des eingehenden Datenverkehrs.
Üblicherweise entspricht die Adresse der externen Adresse des Gateways.
Echte Server: Die Hosts, die abwechselnd den Datenverkehr für diesen Dienst akzeptieren.
Typ prüfen: Wählen Sie für die Dienstüberwachung entweder TCP (TCP-
Verbindungsaufbau), UDP (UDP-Verbindungsaufbau), Ping (ICMP-Ping), HTTP Host
(HTTP-Anfragen) oder HTTPS Host (HTTPS-Anfragen).Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt der Server als ausgefallen.Für HTTP- und HTTPS-Anfragen können Sie eine URL angeben, welche mit oder ohne Domänenname sein kann, z. B. index.html oder http://www.beispiel.de/index.html
.
Intervall: Geben Sie einen Prüfintervall in Sekunden ein. Das Standardintervall beträgt
15 Sekunden, d. h. alle 15 Sekunden werden alle echten Server auf ihre
Funktionsfähigkeit überprüft.
Zeitüberschreitung: Geben Sie eine Zeitspanne in Sekunden ein, in der echte Server antworten müssen. Wenn ein Server in diesem Zeitraum nicht antwortet, gilt er als „tot“.
Automatische Firewallregeln (optional): Wählen Sie diese Option, um automatisch
Firewallregeln anlegen zu lassen. Diese Regeln erlauben die Weiterleitung von
Datenverkehr von beliebigen Hosts zu den echten Servern.
Virtuelle Serverddresse abschalten (optional): Sie können diese Option nur aktivieren, wenn Sie eine zusätzliche Adresse als virtuellen Server für Lastverteilung verwenden (siehe Kapitel
). Sollten alle echten Server unerreichbar werden, schaltet sich diese zusätzliche Adressenschnittstelle automatisch ab.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Verteilungsregeln angezeigt. Sie ist standardmäßig ausgeschaltet (Statusampel zeigt Rot).
4.
Aktivieren Sie die Lastverteilungsregel.
Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Die Statusampel wird grün.
258
UTM 9 Administratorhandbuch
8 Network Protection
8.4 Server-Lastverteilung
Um eine Verteilungsregel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Beispiel: Angenommen, Sie besitzen in Ihrer DMZ zwei HTTP-Server mit den IP-Adressen
192.168.66.10
und 192.168.66.20. Nun wollen Sie den HTTP-Verkehr, der auf der externen Schnittstelle des Gateways ankommt, gleichmäßig auf beide Server verteilen. Um eine Lastverteilungsregel zu erstellen, wählen Sie eine Hostdefinition oder legen Sie eine
Hostdefinition für jeden Server an.Sie könnten sie http_server_1 und http_server_2 nennen.Wählen Sie dann im Dialogfenster Neue Lastverteilungsregel erstellenHTTP als
Dienst aus.Wählen Sie außerdem die externe Adresse des Gateways als Virtuellen Server ausund fügen Sie zuletzt die Hostdefinitionen zum Feld Echte Server hinzu.
Gewichtung der Lastverteilung und Schnittstellenbindung
Zur Gewichtung der Lastverteilungs-Server und/oder zur Einstellung ihrer
Schnittstellenbindung gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Bearbeiten-Schaltfläche einer Lastverteilungsregel.
Das Dialogfenster Lastverteilungsregel bearbeiten wird geöffnet.
2.
Klicken Sie auf die Planer-Schaltfläche in der Kopfzeile des Feldes Echte
Server.
Das Dialogfenster Planer bearbeiten wird geöffnet.
3.
Nehmen Sie die folgenden Einstellungen vor:
Gewichtung: Für die Gewichtung kann ein Wert zwischen 0 und 100 gewählt werden.
Sie legen damit fest, wie viel Datenverkehr ein Server im Verhältnis zu allen anderen
Servern verarbeitet. Hierfür wird ein gewichteter Round-Robin-Algorithmus verwendet, d. h. ein höherer Wert bedeutet, dass mehr Datenverkehr an den jeweiligen Server geroutet wird. Die Werte werden im Verhältnis zueinander bewertet, daher muss ihre
Summe nicht 100 ergeben. Stattdessen können Sie zum Beispiel eine Konfiguration vornehmen, in der Server 1 den Wert 100, Server 2 den Wert 50 und Server 3 den Wert
0 hat. In diesem Fall verarbeitet Server 2 halb so viel Datenverkehr wie Server 1, während Server 3 nur beansprucht wird, wenn die anderen Server beide nicht verfügbar sind. Der Wert 0 bedeutet in diesem Fall, dass, falls verfügbar, immer ein Server mit einem höheren Wert ausgewählt wird.
Bindung: Schnittstellenbindung (Interface Persistence) ist eine Methode, die sicherstellt, dass nachfolgende Verbindungen von einem Client immer über dieselbe
Uplink-Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschränkung von einer
UTM 9 Administratorhandbuch
259
8.5 VoIP
8 Network Protection
Stunde. Sie können die Schnittstellenbindung für diese Lastverteilungsregel auch deaktivieren.
4.
Klicken Sie auf Speichern.
Das Dialogfenster Planer bearbeiten wird geschlossen und Ihre Einstellungen werden gespeichert.
5.
Klicken Sie auf Speichern.
Das Dialogfenster Lastverteilungsregel bearbeiten wird geschlossen.
8.5 VoIP
Voice over Internet Protocol (VoIP) ist der Sammelbegriff für das Routing von gesprochenen
Konversationen über das Internet oder jedes andere IP-basierte Netzwerk.Sophos
UTMunterstützt die am häufigsten eingesetzten Protokolle, um Sprachsignale über das IP-
Netzwerk zu transportieren: l
l
8.5.1 SIP
Das Session Initiation Protocol (SIP, dt. Sitzungsinitialisierungsprotokoll) ist ein
Signalisierungsprotokoll zum Aufbau, zur Modifikation und zum Beenden von Sitzungen zwischen zwei oder mehreren Kommunikationspartnern. Das Protokoll wird hauptsächlich zum
Aufbau und zum Beenden von Audio- oder Videotelefonieverbindungen eingesetzt.SIP nutzt standardmäßig TCP auf Port 5060, um während des Telefonverbindungsaufbaus den dynamischen Port-Bereich zwischen den beiden Gegenstellen auszuhandeln. Da durch das
Öffnen des gesamten Port-Bereichs eine Sicherheitslücke entstehen würde, ist das Gateway in der Lage, den SIP-Datenverkehr „intelligent“ zu steuern.Dies wird durch einen speziellen
Helfer für die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher den
Steuerkanal überwacht, um festzustellen, welche dynamischen Ports für die Verbindung genutzt werden, und daraufhin nur diese Ports für den Datenverkehr zuzulassen, wenn der
Steuerkanal beschäftigt ist. Zu diesem Zweck müssen Sie sowohl einen SIP-Server als auch ein SIP-Client-Netzwerk angeben, um die entsprechenden Firewallregeln anzulegen, die die
Kommunikation über das SIP-Protokoll ermöglichen.
Um die Unterstützung für das SIP-Protokoll zu aktivieren, gehen Sie folgendermaßen vor:
260
UTM 9 Administratorhandbuch
8 Network Protection
8.5 VoIP
1.
Aktivieren Sie die SIP-Protokoll-Unterstützung auf der Registerkarte SIP.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Allgemeine SIP-Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
SIP-Servernetzwerke: Hier können Sie den SIP-Server (der von Ihrem ISP bereitgestellt wird) auswählen, mit dem sich die SIP-Clients verbinden dürfen sollen.
Wählen Sie aus Sicherheitsgründen nicht Any aus.
SIP-Client-Netzwerke: Wählen Sie die Hosts oder Netzwerke der SIP-Clients aus, denen gestattet ist, eine SIP-Kommunikation zu beginnen oder anzunehmen. Ein SIP-
Client ist ein Endpunkt im LAN, der an einer Zweiwege-Kommunikation in Echtzeit mit einem anderen SIP-Client teilnimmt.
Strikten Modus aktivieren (optional): Wählen Sie diesen Modus, um die Sicherheit zu verbessern. Falls Sie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivieren
Sie diese Option.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
8.5.2 H.323
Das Protokoll H.323 ist ein internationaler Multimedia-Kommunikationsstandard, der von der
Internationalen Fernmeldeunion (engl. International Telecommunication Union, ITU-T) veröffentlicht wurde. Es legt die Protokolle fest, mit denen audio-visuelle
Kommunikationssitzungen auf jedem Netzwerk, das Pakete übermittelt, ermöglicht werden.H.323 wird üblicherweise für Voice over IP (VoIP) und IP-basierte Videokonferenzen genutzt.
H.323 nutzt standardmäßig TCP auf Port 1720, um während des Telefonverbindungsaufbaus den dynamischen Port-Bereich zwischen den beiden Endpunkten auszuhandeln. Da durch das
Öffnen des gesamten Port-Bereichs eine Sicherheitslücke entstehen würde, ist das Gateway in der Lage, den H.323-Datenverkehr „intelligent“ zu steuern.Dies wird durch einen speziellen
Helfer für die Verbindungsverfolgung (engl. Connection Tracking Helper) erreicht, welcher den
Steuerkanal überwacht, um festzustellen, welche dynamischen Ports für die Verbindung
UTM 9 Administratorhandbuch
261
8.6 Erweitert
8 Network Protection
genutzt werden und daraufhin nur diese Ports für den Datenverkehr zuzulassen, wenn der
Steuerkanal beschäftigt ist. Zu diesem Zweck müssen Sie sowohl einen H.323-Gatekeeper als auch eine Client-Netzwerkdefinition angeben, um die entsprechenden Firewallregeln anzulegen, die die Kommunikation über das H.323-Protokoll ermöglichen.
Um die Unterstützung für das H.323-Protokoll zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die H.323-Protokoll-Unterstützung auf der Registerkarte H.323.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Allgemeine H.323-Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
H.323-Gatekeeper: Wählen Sie einen H.323-Gatekeeper aus. Ein H.323-Gatekeeper kontrolliert alle H.323-Clients (Endpunkte wie z. B. Microsoft NetMeeting) in seiner Zone.
Genauer gesagt agiert er als Überwachungsinstanz aller H.323-Anrufe innerhalb seiner
Zone im LAN. Seine wichtigste Aufgabe besteht darin, zwischen den symbolischen Alias-
Adressen und IP-Adressen zu übersetzen.
H.323-Client: Hier können Sie den Host oder das Netzwerk auswählen, zu dem und von dem aus H.323-Verbindungen aufgebaut werden. Ein H.323-Client ist ein Endpunkt im LAN, der an einer Zweiwege-Kommunikation in Echtzeit mit einem anderen H.323-
Client teilnimmt.
Strikten Modus aktivieren (optional): Wählen Sie diesen Modus, um die Sicherheit zu verbessern. Falls Sie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivieren
Sie diese Option.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
8.6 Erweitert
Im Menü Network Protection > Erweitert können Sie zusätzliche Funktionen für die
Netzwerksicherheit konfigurieren: einen generischen Proxy, einen SOCKS-Proxy und einen
IDENT-Reverse -Proxy.
262
UTM 9 Administratorhandbuch
8 Network Protection
8.6 Erweitert
8.6.1 Generischer Proxy
Der generische Proxy, auch bekannt als Port Forwarder, ist eine Kombination von DNAT und
Maskierung (engl. masquerading) und leitet allen eingehenden Datenverkehr für einen bestimmten Dienst weiter zu einem beliebigen Server. Der Unterschied zum normalen DNAT ist jedoch, dass der generische Proxy auch die Quelladresse eines Anfragepakets mit der IP-
Adresse der Schnittstelle für ausgehenden Datenverkehr ersetzt. Zusätzlich kann noch der
Ziel-Port umgeschrieben werden.
Um eine Regel für den generischen Proxy anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Generischer Proxy auf Neue Generischer-
Proxy-Regel.
Das Dialogfenster Neue Generischer-Proxy-Regel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Wählen Sie die Schnittstelle für den eingehenden Datenverkehr aus.
Dienst: Wählen Sie die Dienstdefinition für den Verkehr aus, der weitergeleitet werden soll.
Host: Wählen Sie den Zielhost aus, zu dem der Datenverkehr weitergeleitet werden soll.
Dienst: Wählen Sie den Zieldienst für den Verkehr aus, der weitergeleitet werden soll.
Zugelassene Netzwerke: Wählen Sie die Netzwerke aus, zu denen die Weiterleitung erfolgen soll.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Generischer Proxy angezeigt.
4.
Aktivieren Sie die Generischer-Proxy-Regel.
Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Die Regel ist nun aktiviert (Statusampel zeigt Grün).
Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
263
8.6 Erweitert
8 Network Protection
8.6.2 SOCKS-Proxy
SOCKS ist ein universelles Internet-Protokoll, durch das Client-Server-Anwendungen transparent die Dienste der Netzwerk-Firewall nutzen können. Der Proxy wird von vielen
Client-Anwendungen hinter einer Firewall genutzt, um mit Hosts im Internet zu kommunizieren.Einige Beispiele dafür sind IRC-/Sofortnachrichten-Clients, FTP-Clients und
Windows SSH-/Telnet-Clients. Clients hinter einer Firewall, die auf einen externen Server zugreifen wollen, verbinden sich stattdessen mit einem SOCKS-Proxy-Server. Dieser Proxy-
Server überprüft dann die Berechtigung des Clients, eine Verbindung zu dem externen Server aufzubauen, und leitet die Anfrage zu dem Server weiter.Ihre Client-Anwendung muss explizit die Protokollversion SOCKS 4 oder SOCKS 5 unterstützen.
Der Standardport von SOCKS ist 1080. Fast alle Clients verfügen über die Implementierung dieses Standardports, deshalb muss er normalerweise nicht konfiguriert werden.Die
Unterschiede zwischen SOCKS und NAT sind, dass SOCKS auch „bind“-Anfragen erlaubt (im
Auftrag des Clients auf einem Port lauschen – eine Funktion, die nur sehr wenige Clients unterstützen) und dass SOCKS 5 Benutzerauthentifizierung zulässt.
Wenn der SOCKS-Proxy eingeschaltet wird, muss mindestens ein Netzwerk ausgewählt werden, das Zugang zum Proxy hat. Für eine Benutzerauthentifizierung können auch die entsprechenden Benutzer oder Gruppen ausgewählt werden.
Hinweis – Ohne Benutzerauthentifizierung kann der SOCKS-Proxy sowohl mit dem
SOCKS-4- als auch mit dem SOCKS-5-Protokoll genutzt werden. Für
Benutzerauthentifizierung wird das Protokoll SOCKS 5 benötigt.Damit im SOCKS-5-Modus
Hostnamen aufgelöst werden, müssen Sie auch den DNS-Proxy einschalten. Andernfalls schlägt die DNS-Auflösung fehl.
Um den SOCKS-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den SOCKS-Proxy auf der Registerkarte SOCKS-Proxy.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt SOCKS-Proxy-Optionen kann nun bearbeitet werden.
264
UTM 9 Administratorhandbuch
8 Network Protection
8.6 Erweitert
2.
Nehmen Sie die folgenden Einstellungen vor:
Zugelassene Netzwerke: Wählen Sie die Netzwerke aus, die den SOCKS-Proxy verwenden dürfen.
Benutzerauthentifizierung aktivieren: Wenn Sie diese Option wählen, müssen
Benutzer einen Benutzernamen und ein Kennwort angeben, um sich am SOCKS-Proxy anmelden zu können. Da Benutzerauthentifizierung nur vom Protokoll SOCKS 5 unterstützt wird, wird SOCKS 4 automatisch ausgeschaltet.
Zugelassene Benutzer: Wählen Sie die Benutzer oder Gruppen aus, die den SOCKS-
Proxy benutzen können sollen.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
8.6.3 IDENT-Reverse-Proxy
Das IDENT-Protokoll wird von einigen Servern zur einfachen Identitätsprüfung der auf sie zugreifenden Clients verwendet. Obwohl dieses IDENT-Protokoll unverschlüsselt ist und leicht manipuliert werden kann, verwenden es noch viele Dienste und setzen es manchmal sogar voraus.
Um den IDENT-Reverse-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die IDENT-Weiterleitung auf der Registerkarte IDENT-Reverse-
Proxy.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Allgemeine Einstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
An interne Hosts weiterleiten (optional): Da IDENT-Anfragen von der
Verbindungsverfolgung des Gateways nicht verarbeitet werden, bleiben sie „stecken“, wenn Maskierung (engl. masquerading) verwendet wird.Wählen Sie die Option An
interne Hosts weiterleiten aus, um IDENT-Anfragen an maskierte Hosts hinter dem
Gateway weiterzuleiten. Beachten Sie dabei, dass die aktuelle IP-Verbindung nicht
übergeben wird. Stattdessen wird das Gateway beim internen Client nach einer IDENT-
Antwort fragen und diese Zeichenfolge an den anfragenden Server weiterleiten. Dieses
Vorgehen wird von den meisten „Mini-IDENT“-Servern unterstützt, die meist Bestandteil der heute gängigen IRC- und FTP-Clients sind.
UTM 9 Administratorhandbuch
265
8.6 Erweitert
8 Network Protection
Standardantwort: Das Gateway bietet Unterstützung für die Beantwortung von
IDENT-Anfragen, wenn Sie die IDENT-Weiterleitung aktivieren.Das System wird dann immer mit der Zeichenfolge antworten, die Sie im Feld Standardantwort eingegeben haben, ungeachtet des lokalen Dienstes, der die Verbindung initiiert hat.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
266
UTM 9 Administratorhandbuch
9 Web Protection
In diesem Kapitel wird beschrieben, wie Sie die grundlegenden Web-Protection-Funktionen von Sophos UTM konfigurieren.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
Die Seite Web-Protection-Statistik im WebAdmin enthält eine Übersicht mit den meistaufgerufenen Internetadressen (URLs). Es wird angezeigt, wie lange eine Seite besucht wurde, welches Datenvolumen erzeugt wurde und welcher Benutzer die Website besucht hat.Des Weiteren werden die meistblockierten Kategorien für die Websites angezeigt.Jeder
der Abschnitte enthält einen Details-Link.Ein Klick auf den Link leitet Sie zur entsprechenden
Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie weitere statistische Informationen finden können.
Hinweis – Die Erfassung der Internet-Surf-Daten erfolgt sitzungsbasiert. Um aussagekräftige Näherungswerte zu bekommen, werden die Internetadressen und Benutzer folgendermaßen erfasst: Jede URL-Anfrage wird anhand des Datenvolumens und der
Zeitspanne zwischen zwei Anfragen protokolliert. Wenn für eine Dauer von fünf Minuten keine Anfrage für einen Benutzer oder eine URL erfasst wurde, gilt die Sitzung als beendet.Damit im Näherungswert berücksichtigt wird, dass der Benutzer die Internetseite eventuell angeschaut hat, auch wenn die Verbindung inaktiv war, wird jeweils eine Minute beim Wert der Verweildauer (time spent) hinzugefügt. Die Berichtsdaten werden alle 15
Minuten aktualisiert.
Wenn Clients versuchen, ungültige URLs anzufragen, werden diese vom Webfilter protokolliert, auch wenn er die Internetseite nicht liefern kann.Diese Links werden auf der
Seite Web-Protection-Statistik als fehlerhaft erfasst.Dies ist allerdings kein Fehler der
Berichtsfunktion oder des Webfilters; in den meisten Fällen treten diese Fehler auf, wenn auf einer Internetseite ungültige oder unvollständige Links enthalten sind.
9.1 Webfilter
9 Web Protection
9.1 Webfilter
Mit den Registerkarten des Menüs Web Protection > Webfilter können Sie Sophos UTM-
Software als HTTP/S-Caching-Proxy konfigurieren.Der HTTP/S-Proxy von Sophos UTM bietet neben dem reinen Zwischenspeichern (engl. Caching) zahlreiche Webfilterfunktionen für
Netzwerke, die diesen Dienst verwenden dürfen. Das beinhaltet das Verhindern von Virus- und
Spyware-Infektionen mit Hilfe von zwei unterschiedlichen Virenerkennungsmechanismen, deren Signaturdatenbanken laufend aktualisiert werden, und Spyware-Filtermechanismen, die sowohl eingehenden als auch ausgehenden Datenverkehr schützen.Außerdem kann
Sophos UTM den Zugriff auf verschiedene Websites kontrollieren, indem sie auf eine ausgeklügelte Website-Kategorisierung zurückgreift und dabei die weltweit größte Echtzeit-
URL-Datenbank nutzt.
9.1.1 Allgemein
Auf der Registerkarte Web Protection > Webfilter > Allgemein können Sie die
Grundeinstellungen für den Webfilter vornehmen.
Um den Webfilter zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den Webfilter auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Allgemeine Webfilter-Einstellungen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Netzwerke aus.
Wählen Sie die Netzwerke aus, die den Webfilter verwenden dürfen.Der Webfilter wartet standardmäßig auf Anfragen an TCP-Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist.
3.
HTTPS-Verkehr (SSL) scannen.
Wählen Sie diese Option, um nicht nur HTTP-Verkehr sondern auch HTTPS-Verkehr zu scannen.
4.
Wählen Sie einen Betriebsmodus aus.
268
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
Falls Sie einen Betriebsmodus mit Benutzerauthentifizierung wählen, sollten Sie auch die
Benutzer und Gruppen angeben, die auf den Webfilter zugreifen dürfen.Die folgenden
Betriebsmodi sind möglich: l
Standard: Im Standardmodus wartet der Webfilter standardmäßig auf Client-
Anfragen an Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist.In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
Wählen Sie eine Authentifizierungsmethode aus:
l
Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.
l
Active Directory SSO: Wählen Sie diese Option, wenn Sie Active
Directory Single Sign-On (SSO) auf der Registerkarte Definitionen &
Benutzer > Authentifizierungsserver > Server konfiguriert haben.Das hat den Effekt, dass NTLM-Benutzerauthentifizierung verwendet wird, um
Clients zu authentifizieren. Beachten Sie, dass die Funktion nur mit Internet
Explorer garantiert wird.In diesem Modus muss der Webfilter in der
Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.Sie
können im Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.
l
Agent: Wählen Sie diese Option, um den Sophos Authentication Agent
(SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen
Benutzer zunächst den Agent ausführen und sich authentifizieren.Sie
können im Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.
l
Apple OpenDirectory SSO: Wählen Sie diese Option, wenn Sie LDAP auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver >
Server konfiguriert haben und Sie Apple OpenDirectory verwenden.Damit
der Webfilter richtig funktioniert, müssen Sie zusätzlich eine MAC OS X
Single Sign-On Kerberos-Schlüsseldatei auf der Registerkarte Web
Protection > Webfilter > Erweitert hochladen. In diesem Modus muss der
Webfilter in der Browser-Konfiguration von jedem Client angegeben sein.Sie können im Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.Beachten
Sie, dass der Safari-Browser SSO nicht unterstützt.
UTM 9 Administratorhandbuch
269
9.1 Webfilter
9 Web Protection
l
Einfache Benutzerauthentifizierung: In diesem Modus muss sich jeder
Client gegenüber dem Webfilter authentifizieren, bevor er ihn verwendet.Weitere Informationen zu den unterstützten
Authentifizierungsmethoden finden Sie unter Definitionen & Benutzer >
.In diesem Modus muss der Webfilter in der
Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.Sie
können im Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.
l
eDirectory SSO: Wählen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Server konfiguriert haben.In diesem Modus muss der Webfilter in der Browser-
Konfiguration jedes Clients als HTTP-Proxy angegeben sein.Sie können im
Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.
Hinweis – Für die Modi eDirectory und Active Directory Single Sign-On
(SSO) speichert der Webfilter die IP-Adressen und Berechtigungen der anfragenden Clients bis zu fünfzehn Minuten; für Apple OpenDirectory
SSO speichert er nur die Gruppeninformationen. Das Zwischenspeichern reduziert die Last auf den Authentifizierungsservern, aber es bedeutet auch, dass es bis zu fünfzehn Minuten dauern kann, bis Änderungen an
Benutzern, Gruppen oder dem Anmeldestatus der zugreifenden
Benutzer vom Webfilter berücksichtigt werden.
l
Transparent: Im Transparenzmodus werden alle Verbindungen von Client-
Browseranwendungen auf Port 80 (bzw. Port 443, wenn SSL aktiviert ist) abgefangen und an den Proxy weitergeleitet, ohne clientseitige Konfiguration. Der
Client merkt dabei vom Webfilter nichts. Der Vorteil dieses Modus ist, dass keine zusätzliche Verwaltung oder clientseitige Konfiguration nötig ist; der Nachteil ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden können.Deshalb werden die Proxy-Einstellungen im Client-Browser unwirksam, wenn Sie Transparent als
Modus wählen.
Volltransparenzmodus (optional): Wählen Sie die Option
Volltransparenzmodus, um die Quell-IP der Clients zu erhalten, anstatt sie durch die IP des Gateways zu ersetzen. Das ist nützlich, wenn Ihre Clients
öffentliche IP-Adressen verwenden, die nicht durch den Webfilter
270
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter verschleiert werden sollen. Diese Option ist nur im Bridge-Modus verfügbar, da sie nur dort sinnvoll ist.
Hinweis – Im Transparenzmodus entfernt der Webfilter NTLM-
Authentifizierungsheader von HTTP-Anfragen.Darüber hinaus kann der
Webfilter keine FTP-Anfragen in diesem Modus verarbeiten.Wenn Ihre Clients auf solche Dienste zugreifen wollen, müssen Sie den Port (21) in der Firewall
öffnen. Beachten Sie auch, dass manche Webserver einige Daten über einen anderen Port als Port 80 übermitteln, insbesondere Streaming-Video- und -
Audiodaten. Diese Anfragen werden nicht beachtet, wenn der Webfilter im
Transparenzmodus arbeitet.Um solchen Verkehr zu unterstützen, müssen Sie entweder einen anderen Modus wählen oder eine explizite Firewallregel anlegen, die diesen Verkehr erlaubt.
Wählen Sie eine Authentifizierungsmethode aus:
l
Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll.
l
Agent: Wählen Sie diese Option, um den Sophos Authentication Agent
(SAA) zu verwenden. Um den Webfilter verwenden zu können, müssen
Benutzer zunächst den Agent ausführen und sich authentifizieren.Sie
können im Feld Benutzer/Gruppen Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen.
l
Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem
Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich beim
Webfilter authentifizieren können.
5.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Wichtiger Hinweis – Wenn SSL-Scanning zusammen mit dem Transparenzmodus aktiviert ist, werden einige SSL-Verbindungen nicht zustande kommen, z. B. SSL-VPN-Tunnel.Um
SSL-VPN-Verbindungen zu ermöglichen, fügen Sie den entsprechenden Zielhost zur Liste
Transparenzmodus-Ausnahmen hinzu (siehe Web Protection > Webfilter >
).
Um darüber hinaus Zugang zu Hosts mit einem selbstsignierten Zertifikat zu haben, müssen
Sie eine Ausnahme für diese Hosts anlegen und die Option Zertifikat-Vertrauensprüfung auswählen. Der Proxy wird deren Zertifikate dann nicht überprüfen.
UTM 9 Administratorhandbuch
271
9.1 Webfilter
9 Web Protection
Live -Pr otokoll
Das Webfilter-Live-Protokoll stellt Informationen zu Webanfragen bereit.Klicken Sie auf die
Schaltfläche Live-Protokoll öffnen, um das Webfilter-Live-Protokoll in einem neuen Fenster zu
öffnen.
9.1.2 Antivirus/Schadsoftware
Auf der Registerkarte Web Protection > Webfilter > Antivirus/Schadsoftware können Sie
Optionen konfigurieren, die darauf abzielen, Ihr Netzwerk vor Internetverkehr zu schützen, der gefährlichen Inhalt wie Viren, Würmer oder andere Schadsoftware hat.
Antivir e n-Sca n
Wählen Sie die Option Antiviren-Scan verwenden, um eingehenden und ausgehenden
Datenverkehr zu scannen.Sophos UTMbietet mehrere Antiviren-Mechanismen für höchste
Sicherheit.
l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird.
Max. Scangröße: Legen Sie die Maximalgröße von Dateien fest, die von den Antiviren-
Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Da te ie r we ite r unge nfilte r
Diese Funktion filtert bestimmte Dateitypen basierend auf ihren Erweiterungen (z. B.
ausführbare Binärdateien) aus dem Internetverkehr heraus, wenn diese eine
Dateierweiterung besitzen, die in der Liste Blockierte Erweiterungen aufgeführt ist. Sie können weitere Dateierweiterungen hinzufügen oder solche Erweiterungen aus der Liste löschen, die nicht blockiert werden sollen.Um eine Dateierweiterung hinzuzufügen, klicken Sie auf das
Plussymbol im Feld Blockierte Erweiterungen und geben Sie die Dateierweiterung ein, die blockiert werden soll, zum Beispiel exe (ohne den Punkt als Trennzeichen).
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
272
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
Hinweis – Verschlüsselte zip-Archive können nicht nach schädlichem Inhalt durchsucht werden und passieren den Virenscanner ungehindert. Um Ihr Netzwerk vor Schadsoftware aus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateien gänzlich zu blockieren.
MI ME-Typ-Filte r
Um einen MIME-Typ hinzuzufügen, der blockiert werden soll, klicken Sie auf das Plussymbol im
Feld Blockierte MIME-Typen und geben Sie den MIME-Typ an (z. B. image/gif).Es ist möglich, Platzhalter (*) zu verwenden, z. B. audio/*.
Entfe r ne n von a ktive m I nha lt
Im Abschnitt Entfernen von aktivem Inhalt können Sie einstellen, dass spezifischer
Internetinhalt, wie eingebettete Objekte auf Websites, automatisch entfernt wird (z. B.
Multimedia-Dateien). Sie können die folgenden Einstellungen vornehmen: l
Eingebettete Objekte entfernen: Wenn Sie diese Funktion wählen, werden alle
<OBJECT>
-Tags aus HTML-Seiten entfernt, wodurch dynamische Inhalte wie ActiveX,
Flash oder Java aus dem eingehenden HTTP-Verkehr gelöscht werden.
l
Javascript deaktivieren: Wenn Sie diese Funktion wählen, werden alle <SCRIPT>-
Tags aus HTML-Seiten entfernt, wodurch Funktionen deaktiviert werden, die in HTML-
Seiten eingebettet oder eingebunden sind.
9.1.3 URL-Filterung
Auf der Registerkarte Web Protection > Webfilter > URL-Filterung können Sie die grundlegenden Einstellungen für die Zugriffskontrolle für bestimmte Arten von Websites vornehmen.
Hinweis – Die Positivliste (Whitelist) wird immer zuerst abgeglichen, d.h., jede Website-
Anfrage wird zunächst mit der Positivliste verglichen. Wird keine Übereinstimmung gefunden, wird die Anfrage mit der Negativliste (Blacklist) verglichen. Wenn eine Übereinstimmung mit der Negativliste gefunden wird, wird die Website blockiert.
Sie können die folgenden Einstellungen vornehmen:
UTM 9 Administratorhandbuch
273
9.1 Webfilter
9 Web Protection
l
Zulassen/Blockieren-Auswahl: Legen Sie fest, ob Ihre Auswahl an Website-
Kategorien zugelassen oder blockiert werden soll.Die folgenden Optionen sind möglich: l
Inhalt zulassen, der die unten stehenden Kriterien nicht erfüllt: Wenn Sie diese Option wählen, werden Ihre ausgewählten Website-Kategorien blockiert, während alle anderen Kategorien (die nicht ausgewählten) zugelassen werden.
l
Inhalt blockieren, der die unten stehenden Kriterien nicht erfüllt: Wenn
Sie diese Option wählen, werden alle Website-Kategorien blockiert, außer jenen, die Sie ausgewählt haben.
Die Standardoption ist Zulassen. Wenn Sie zu Blockieren wechseln, beachten Sie, dass dadurch die unten stehenden Optionen in ihrer Bedeutung „umgedreht“ werden, was sich daran zeigt, dass die Begriffe von Blockieren auf Zulassen wechseln und umgekehrt.
Hinweis – Um auf die Kategorisierungsdatenbank zugreifen zu können, müssen die
TCP-Ports 6000 oder 80 in Upstream-Firewalls offen sein. Wenn ein übergeordneter
Proxy (Parent-Proxy) konfiguriert ist, werden alle Anfragen an die Datenbank über den
übergeordneten Proxy geleitet.
l
Spyware-Infizierung und -Kommunikation blockieren: Bei Spyware handelt es sich um Software, die Systeme ausspionieren und Informationen über
Benutzerverhalten an Unbefugte übermitteln kann, ohne dass der Benutzer davon erfährt. Diese Funktion entdeckt und blockiert Spyware, die vom Server auf den Client geladen wird. Das verhindert, dass Computer in Ihrem Netzwerk mit neuer Spyware infiziert werden. Darüber hinaus entdeckt und blockiert diese Funktion Verkehr, der von bereits installierten Spyware-Programmen ausgeht. Dadurch können bereits gewonnene Informationen über den Benutzer nicht länger an das Internet übermittelt werden.Beachten Sie, dass diese Option nur verfügbar ist, wenn die erste Option auf dieser Seite auf Zulassen gestellt ist.
Hinweis – Die Kategorie Spyware kann keiner der 18 verfügbaren Gruppen zugeordnet werden, deshalb kann sie nur durch die Option Spyware-Infizierung und -
Kommunikation blockieren aktiviert werden.
l
URLs blockieren mit einem Ruf schlechter als der Schwellenwert: Websites können in folgende Klassen unterteilt werden: Vertrauenswürdig (engl. trusted),
Neutral, Verdächtig (engl. suspicious) oder schädlich, wobei die letzte nicht aufgeführt ist
(da dadurch alle Seiten zugelassen würden, was der Nichtverwendung der
Schwellenwert-Option entspricht).Unklassifizierte Websites werden als Unüberprüft
274
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
(engl. unverified) eingestuft. Sie können bestimmen, welchen Ruf eine Website haben muss, um für Ihr Netzwerk erreichbar zu sein. Websites unterhalb des gewählten
Schwellenwerts werden blockiert.Beachten Sie, dass diese Option nur verfügbar ist, wenn die erste Option auf dieser Seite auf Zulassen eingestellt ist.Weitere Informationen zum Ruf von Websites finden Sie unter http://www.trustedsource.org
.
l
Diese Website-Kategorien blockieren: Wählen Sie die Website-Kategorien, die blockiert werden sollen.Beachten Sie, dass sich diese Option zu Diese Website-
Kategorien zulassen ändert, wenn die erste Option auf dieser Seite auf Blockieren gestellt ist.Die Zuordnung zwischen den hier wählbaren Website-Kategorien und deren zugrunde liegenden Unterkategorien können Sie auf der Registerkarte Web Protection
> Webfilter > URL-Filterkategorien bearbeiten.
Hinweis – Wenn Sie der Meinung sind, dass eine Website falsch kategorisiert ist, können Sie dieses URL-Meldeformular verwenden, um neue Kategorien vorzuschlagen.
l
Zugriff auf unkategorisierte Websites blockieren: Diese Funktion verhindert, dass der Browser Internetseiten mit unbekanntem Inhalt öffnet. Diese Funktion kann als zusätzliche Sicherung angesehen werden, falls eine potenziell unerwünschte
Internetseite noch nicht als solche kategorisiert wurde.
Diese Funktion bewahrt den Benutzer vor sogenannten Phishing-Angriffen. Phishing-
Mails enthalten in der Regel verdächtige Links zu gefälschten Websites, auf denen der
Benutzer dazu gebracht wird, persönliche und vertrauliche Informationen preiszugeben.Falls diese Links noch nicht als schädlich klassifiziert wurden, werden sie entweder als unkategorisiert oder verdächtig eingestuft. Durch Aktivieren dieser Option werden diese Kategorien blockiert.Selbst wenn eine Phishing-Nachricht zugestellt wurde, können Benutzer dadurch eine betrügerische URL nicht öffnen.
Beachten Sie, dass sich diese Option zu Zugriff auf unkategorisierte Websites zulassen
ändert, wenn die erste Option auf dieser Seite auf Blockieren gestellt ist.
l
Weitere zu blockierende URLs/Sites: Wenn Sie ein spezifische URL oder Website unabhängig von ihrer Kategorie blockieren wollen, geben Sie sie hier ein. Das bewirkt, dass hier aufgeführte Websites blockiert werden können, selbst wenn sie zu einer
Kategorie gehören, die Sie zulassen.Reguläre Ausdrücke sind hier erlaubt (z. B.
^https?://.*wikipedia\.org
).Um genau eine URL zu blockieren, geben Sie die komplette URL ein (z. B. http://www\.wikipedia\.org).Beachten Sie, dass
Ausdrücke wie wikipedia\.org nicht nur auf die URL zutreffen, sondern auch auf
Suchergebnisse und Teile von ähnlichen URLs, was zu versehentlich blockierten Seiten führen kann.
UTM 9 Administratorhandbuch
275
9.1 Webfilter
9 Web Protection
Beachten Sie, dass sich diese Option in Weitere zugelassene URLs/Sites ändert, wenn die erste Option auf dieser Seite auf Blockieren eingestellt ist.
l
Diese URLs/Sites immer zulassen: Wenn Sie eine spezifische URL oder Website explizit zulassen wollen, unabhängig von ihrer Kategorie oder einem Eintrag in der
Blockierungsliste, geben Sie sie hier ein.Reguläre Ausdrücke sind hier erlaubt (z. B.
^https?://.*wikipedia\.org
).Um genau eine URL zuzulassen, geben Sie die komplette URL ein (z. B. http://www\.wikipedia\.org).Beachten Sie, dass
Ausdrücke wie wikipedia\.org nicht nur auf die URL zutreffen, sondern auch auf
Suchergebnisse und Teile von ähnlichen URLs, was zu versehentlich blockierten Seiten führen kann.
Beachten Sie, dass sich diese Option zu Diese URLs/Sites immer blockieren ändert, wenn die erste Option auf dieser Seite auf Blockieren gestellt ist.
l
Benutzer/Gruppen, die Blockierungen umgehen dürfen: Wenn Sie bestimmten
Benutzern oder Gruppen erlauben wollen, auf standardmäßig blockierte Seiten zuzugreifen, ziehen Sie diese in das Drag-and-Drop-Feld.Daraufhin wird auf blockierten
Seiten die Schaltfläche Unblock URL (URL freigeben) angezeigt. Ein Klick auf die
Schaltfläche öffnet eine Seite, auf der Benutzer ihre Anmeldedaten und einen Grund angeben können, warum sie auf diese blockierte Seite zugreifen möchten. Wenn die
Benutzer im Umgehungsfeld aufgeführt sind, entweder direkt oder über eine Gruppe, können sie auf die blockierte Seite zugreifen.Das Umgehen der Blockierung wird protokolliert und ist Teil der Berichte (siehe Protokolle & Berichte > Web Protection >
Blockierungen).Beachten Sie, dass die Authentifizierungs-Zeitüberschreitung, die auf der Registerkarte
, Abschnitt Sonstige Einstellungen festgelegt wird, auch für
Umgehungen gilt.
l
SafeSearch: Sie können die Nutzung von SafeSearch für Suchmaschinen wie Google,
Bing und Yahoo erzwingen. Der SafeSearch-Filter entfernt Inhalte aus den
Suchergebnissen, die für Kinder ungeeignet sind, z. B. anstößige oder illegale
Suchtreffer. Bei Aktivierung können Benutzer, die über den Webfilter surfen, den Filter nicht deaktivieren.
l
YouTube für Schulen: Wenn diese Option aktiviert ist, können Benutzer nur auf
YouTube-Videos aus dem Bereich YouTube EDU oder solche, die über Ihr Schulkonto hochgeladen wurden, zugreifen.Dazu müssen Sie sich beim Programm „YouTube für
Schulen“ anmelden. Sie erhalten dann eine Schul-ID, die Sie unten eingeben müssen.
Hinweis – Auf Sophos UTM müssen Sie sicherstellen, dass die Top-Level-Domänen youtube.com
und ytimg.com sowie Videos im Allgemeinen nicht blockiert werden.
276
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter l
YouTube für Schulen ID: Wenn Sie YouTube für Schulen aktiviert haben, müssen Sie die Schul-ID oder den Code eingeben, den Sie von YouTube erhalten haben.
9.1.4 URL-Filterkategorien
Auf der Registerkarte Web Protection > Webfilter > URL-Filterkategorien können Sie die
Zuordnung zwischen Website-Kategorien und Kategoriengruppen anpassen, die auf der
Registerkarte URL-Filterung ausgewählt werden können.Sophos UTMkann 60 unterschiedliche Kategorien von Websites identifizieren und den Zugriff auf sie blockieren.
Ausgeklügelte URL-Klassifizierungsmethoden stellen die Genauigkeit und Vollständigkeit bei der Einschätzung fragwürdiger Websites sicher. Wenn ein Benutzer eine Website aufruft, die nicht in der Datenbank vorliegt, wird die URL an Webcrawler gesendet und automatisch klassifiziert.
Hinweis – Wenn Sie der Meinung sind, dass eine Website falsch kategorisiert ist, können Sie das folgende URL-Meldeformular verwenden, um neue Kategorien vorzuschlagen.
Um Website-Kategorien einer Kategoriengruppe zuzuordnen, gehen Sie folgendermaßen vor:
1.
Klicken Sie in der Kategoriengruppe, die Sie ändern wollen, auf Bearbeiten.
Das Dialogfenster Filterkategorie bearbeiten wird geöffnet.
2.
Wählen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkästchen von Unterkategorien, die Sie hinzufügen wollen, oder entfernen Sie die Markierung von Unterkategorien, die Sie aus der Gruppe entfernen wollen.
3.
Klicken Sie auf Speichern.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Alternativ können Sie auch eine neue Filterkategorie anlegen. Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Filterkategorie oben auf der Seite.
Das Dialogfenster Filterkategorie erstellen wird geöffnet.
2.
Geben Sie einen Namen ein.
Geben Sie einen aussagekräftigen Namen für die neue Filterkategorie ein.
3.
Wählen Sie die Unterkategorien aus.
Markieren Sie das Auswahlkästchen von Unterkategorien, die Sie zur Gruppe hinzufügen wollen.
UTM 9 Administratorhandbuch
277
9.1 Webfilter
9 Web Protection
4.
Klicken Sie auf Speichern.
Die Gruppe wird mit Ihren Einstellungen aktualisiert.
Um eine Kategorie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
9.1.5 Ausnahmen
Auf der Registerkarte Web Protection > Webfilter > Ausnahmen können Sie Netzwerke,
Benutzer/Gruppen und Domänen definieren, die nicht gefiltert/blockiert werden sollen, d. h. die auf der Whitelist (Positivliste) stehen. Alle Einträge in den Listen auf dieser Seite sind von bestimmten Web-Protection-Diensten ausgenommen.
Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Diese Prüfungen ausnehmen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen: l
Authentifizierung: Wenn der Webfilter im Authentifizierungsmodus läuft, können Sie die Authentifizierung für Quellhosts/-netzwerke oder Zieldomänen aussetzen.
l
Zwischenspeichern: Wählen Sie diese Option, um die Zwischenspeicherung für spezifische Domänen oder Quellhosts/-netzwerke zu deaktivieren.
l
Antivirus: Wählen Sie diese Option, um die Virenscanfunktion zu deaktivieren, die Nachrichten nach unerwünschten Inhalten wie Viren, Trojanischen Pferden und Ähnlichem durchsucht.
l
Blockierung von Dateierweiterungen: Wählen Sie diese Option, um den
Dateierweiterungsfilter zu deaktivieren, der Inhalte blockiert, wenn sie bestimmte
Dateierweiterungen enthalten.
278
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter l
MIME-Typ-Blockierung: Wählen Sie diese Option, um den MIME-Typ-Filter zu deaktivieren. Dieser blockiert Inhalte, die einen bestimmten MIME-Typ haben.
l
URL-Filter: Wählen Sie diese Option, um den URL-Filter zu deaktivieren, der den
Zugriff auf bestimmte Websites kontrolliert.
l
Inhaltsentfernung: Wählen Sie diese Option, um die Entfernung von bestimmten Inhalten, wie eingebettete Objekte (z. B. Multimedia-Dateien) oder
JavaScript, auf Webseiten auszulassen.
l
SSL-Scan: Wählen Sie diese Option, um das SSL-Scannen der angeforderten
Webseite auszulassen. Das ist bei Online-Banking-Websites oder bei Websites sinnvoll, die nicht mit SSL-Überwachung umgehen können.Aus technischen
Gründen funktioniert diese Option nicht in Verbindung mit transparenten
Webfilter-Modi.Nutzen Sie im transparenten Modus stattdessen die
Transparenzmodus-Ausnahmen (siehe Abschnitt
können Ausnahmen nur basierend auf dem Zielhost oder der IP-Adresse gemacht werden, abhängig davon, was der Client übermittelt. Bei Ausnahmen, die auf Kategorien basieren, wird anstelle der ganzen URL nur der Hostname klassifiziert.
l
Zertifikat-Vertrauensprüfung (Trust Check): Wählen Sie diese Option, um die Vertrauensprüfung für das HTTPS-Server-Zertifikat auszulassen.Beachten
Sie, dass das Auslassen der Vertrauensprüfung für das Zertifikat basierend auf einer Übereinstimmung bei Benutzern/Gruppen (Für alle von diesen
Benutzern/Gruppen kommenden Anfragen) technisch unmöglich ist, wenn der
Webfilter im Transparenzmodus mit Authentifizierung arbeitet.
l
Zertifikatsdatumsprüfung: Wählen Sie diese Option, um die Überprüfung des
Zertifikatsdatums auf Gültigkeit auszulassen.
Die beiden folgenden Optionen sind nützlich, wenn es Personen oder Mitglieder z. B. des
Betriebsrates gibt, deren Aktivitäten keinesfalls protokolliert werden dürfen: l
Besuchte Seiten: Wählen Sie diese Option, um besuchte Seiten nicht zu protokollieren. Diese Seitenanfragen werden auch von der Berichterstellung ausgenommen.
l
Blockierte Seiten: Wählen Sie diese Option, um Seiten, die blockiert wurden, nicht zu protokollieren. Diese Seitenanfragen werden auch von der
Berichterstellung ausgenommen.
UTM 9 Administratorhandbuch
279
9.1 Webfilter
9 Web Protection
Für alle Anfragen: Wählen Sie mindestens eine Bedingung, für die die
Sicherheitsprüfungen ausgesetzt werden sollen.Sie können mehrere Bedingungen logisch miteinander verknüpfen, indem Sie entweder Und oder Oder aus der
Auswahlliste vor einer Bedingung auswählen. Die folgenden Bedingungen können gesetzt werden: l
Aus diesen Quellnetzwerken: Wählen Sie diese Option, um Quellhosts/netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Geben Sie die entsprechenden Hosts oder
Netzwerke in das Feld Hosts/Netzwerke ein, das nach Auswahl der Bedingung geöffnet wird.
l
Diese URLs betreffend: Wählen Sie diese Option, um Zieldomänen hinzuzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Fügen Sie die entsprechenden Domänen zum Feld
Zieldomänen hinzu, das nach Auswahl der Bedingung geöffnet wird.Beispiel:
^https?://[^.]*\.domain.com
deckt HTTP(S)-Verbindungen zu allen
Subdomänen dieser Domäne ab.
Hinweis – Wenn Sie den Transparenzmodus verwenden und SSL-Scan aktiviert ist, müssen Sie die Zieldomäne(n) als IP-Adresse(n) angeben.
Andernfalls wird die Ausnahme aus technischen Gründen fehlschlagen.
l
Von diesen Benutzern/Gruppen kommend: Wählen Sie diese Option, um
Benutzer oder Benutzergruppen hinzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.Geben Sie die entsprechenden Benutzer oder Gruppen im Feld Benutzer/Gruppen ein, das nach Auswahl der Bedingung geöffnet wird. Im Standardmodus funktioniert im
Übrigen der Abgleich basierend auf bestimmten Benutzern/Gruppen nicht, weil die Authentifizierung entfällt.
l
Zu diesen Website-Kategorien gehend: Wählen Sie diese Option, um
Sicherheitsprüfungen für bestimmte Kategorien auszunehmen.Wählen Sie dann die Kategorien aus der Liste aus, die sich nach Auswahl der Bedingung öffnet.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
280
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
9.1.6 Erweitert
Die Registerkarte Web Protection > Webfilter > Erweitert bietet zusätzliche
Konfigurationsoptionen für den Webfilter wie z. B. Zwischenspeicherung (engl. Caching) oder
Porteinstellungen.
Str e a ming-Einste llunge n
Streaming-Inhalte nicht scannen: Wenn diese Option aktiviert ist, werden typische Audiound Video-Streaminginhalte nicht auf ihren Inhalt hin gescannt. Das Abschalten dieser Option wird die meisten Mediastreams praktisch deaktivieren, da sie nicht in vertretbarer Zeit gescannt werden können. Daher wird empfohlen, diese Option eingeschaltet zu lassen.
Tr a nspa r e nzmodus-Ausna hme n
Diese Option ist nur von Bedeutung, wenn der Webfilter im Transparenzmodus arbeitet.Hosts
und Netzwerke, die in den Feldern Auszunehmende Hosts/Netze aufgeführt sind, sind nicht
Teil der transparenten Überwachung von HTTP-Verkehr. Es gibt ein Feld für Quell- und eins für Zielhosts/-netzwerke.Um dennoch HTTP-Datenverkehr (ohne Proxy) für alle diese Hosts und Netzwerke zu erlauben, wählen Sie die Option HTTP-Verkehr für aufgeführte Hosts/Netze
zulassen. Wenn Sie diese Option nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.
Pr oxy Auto C onfigur a tion ( Automa tische Pr oxy-
Konfigur a tion)
Die automatische Proxy-Konfiguration ist eine Funktion, die es Ihnen ermöglicht, eine automatische Proxy-Konfigurationsdatei (PAC-Datei, Proxy Auto Configuration) zentral bereitzustellen, welche dann von Browsern selbsttätig abgeholt werden kann. Die Browser wiederum konfigurieren ihre Proxy-Einstellungen nach den Angaben, die in der PAC-Datei aufgeführt sind.
Die PAC-Datei heißt wpad.dat, hat den MIME-Typ application/x-ns-proxy-autoconfig und wird von der UTM bereitgestellt.Sie enthält die Informationen, die Sie im Textfeld eingeben, z. B.: function FindProxyForURL(url, host)
{ return "PROXY proxy.beispiel.de:8080; DIRECT"; }
UTM 9 Administratorhandbuch
281
9.1 Webfilter
9 Web Protection
Die obige Funktion weist den Browser an, alle Seitenanfragen an den Proxy-Server proxy.beispiel.de
auf Port 8080 umzuleiten. Wenn der Proxy nicht erreichbar ist, wird eine direkte Verbindung mit dem Internet hergestellt.
Der Hostname kann auch als die Variable ${asg_hostname} angegeben werden. Das ist besonders dann nützlich, wenn mithilfe von Astaro Command Center die gleiche PAC-Datei für mehrere Sophos UTMs implementiert werden soll. Die Variable wird mit dem Hostnamen der entsprechenden Sophos UTM instanziiert. Die Variable aus obigem Beispiel ließe sich folgendermaßen einsetzen: function FindProxyForURL(url, host)
{ return "PROXY ${asg_hostname}:8080; DIRECT"; }
Um eine PAC-Datei für Ihr Netzwerk bereitzustellen, haben Sie die folgenden Möglichkeiten: l
Bereitstellung über Browserkonfiguration: Wenn Sie die Option Automatische Proxy-
Konfiguration aktivieren wählen, wird die PAC-Datei über den UTM Webfilter unter der
URL in der folgenden Form verfügbar sein: http://IP-of-UTM:8080/wpad.dat. Um diese Datei zu verwenden, geben Sie ihre URL in der automatischen Proxy-
Konfigurationseinstellung jener Browser an, die den Proxy verwenden sollen.
l
Bereitstellung über DHCP: Sie können dafür sorgen, dass Ihr DHCP-Server die URL der PAC-Datei zusammen mit der Client-IP-Adresse vergibt. Wählen Sie dazu die
Option Automatische Proxy-Konfiguration aktivieren in Ihrer DHCP-Serverkonfiguration aus (siehe Kapitel Netzwerkdienste >
).Ein Browser wird sich dann automatisch die PAC-Datei abholen und seine Einstellungen entsprechend konfigurieren.
Hinweis – Die Bereitstellung über DHCP funktioniert ausschließlich mit dem Microsoft
Internet Explorer.Bei allen anderen Browsern müssen Sie die PAC-Datei manuell bereitstellen.
Sonstige Einste llunge n
Webfilter-Port: In diesem Eingabefeld wird die Portnummer für Client-Anfragen an den
Webfilter festgelegt.Standardmäßig ist der Port 8080 eingetragen.
Hinweis – Die Option ist nur gültig, wenn der Proxy nicht im Transparenzmodus arbeitet.
Besuchte Seiten protokollieren: Wählen Sie diese Option, um URLs von besuchten Seiten zusammen mit Benutzernamen und Client-IP-Adresse der Anfrage zu protokollieren.
282
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
Blockierte Seiten protokollieren: Wählen Sie diese Option, um URLs von blockierten Seiten zusammen mit Benutzernamen und Client-IP-Adresse der Anfrage zu protokollieren.
Hinweis – Die Protokollierungsoptionen können auch individuell festgelegt werden mit Hilfe einer Ausnahme (siehe Kapitel Webfilter >
) oder einer Filteraktion für Profile
(siehe Kapitel Webfilter-Profile >
Unscannbare und verschlüsselte Dateien blockieren: Wählen Sie diese Option, um
Dateien zu blockieren, die nicht gescannt werden konnten. Der Grund hierfür kann unter anderem sein, dass Dateien verschlüsselt oder beschädigt sind.
MIME-Blockierung untersucht HTTP-Body: Nicht nur der HTTP-Header wird nach blockierten MIME-Typen durchsucht, sondern auch der HTTP-Body. Beachten Sie, dass das
Einschalten dieser Funktion sich negativ auf die Leistung des Systems auswirken kann.
Zugelassene Zieldienste: Wählen Sie aus dem Feld Zugelassene Zieldienste die Dienste aus, auf die der Webfilter zugreifen darf. Standardmäßig sind bereits die Dienste mit Ports enthalten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutzt werden: HTTP (Port 80), HTTPS (Port 443), FTP (Port 21), LDAP (Port 389), LDAP-SSL
(Port 636), Webfilter (Port 8080), UTM Spam Release (Ports 3840–4840) und UTM
WebAdmin (Port 4444).
Standardzeichensatz: Diese Option wirkt sich darauf aus, wie der Proxy Dateinamen im
Fenster Download-Verwaltung anzeigt. URLs (und Dateinamen, auf die sie vielleicht verweisen), die in ausländischen Zeichensätzen kodiert sind, werden von UTF-8 in den hier definierten Zeichensatz umgewandelt, es sei denn, der Server übermittelt einen anderen
Zeichensatz. Wenn Sie sich in einem Land oder einer Region befinden, die einen Zwei-Byte-
Zeichensatz verwendet, sollten Sie diese Option auf den „nativen“ Zeichensatz für dieses
Land/diese Region setzen.
Suchdomäne: Sie können hier eine zusätzliche Domäne angeben, die durchsucht wird, wenn der erste DNS-Lookup kein Ergebnis liefert („NXDOMAIN“). Dann wird eine zweite DNS-
Anfrage gestartet, die die hier angegebene Domäne an den ursprünglichen Hostnamen anhängt.Beispiel: Ein Benutzer gibt http://wiki ein und meint damit
wiki.intranet.beispiel.de.Die URL kann jedoch nur aufgelöst werden, wenn Sie intranet.beispiel.de
in das Feld Suchdomäne eintragen.
Authentifizierungs-Zeitüberschreitung: Diese Option ermöglicht es Ihnen, die Zeit in
Minuten anzugeben, die zwischen zwei Benutzer-Authentifizierungsaufforderungen liegt, wenn die transparente Benutzerauthentifizierung eingeschaltet ist.
UTM 9 Administratorhandbuch
283
9.1 Webfilter
9 Web Protection
Authentifizierungsbereich: Der Authentifizierungsbereich (engl. authentication realm) ist der Name der Quelle, die ein Browser zusammen mit der Authentifzierungsanfrage anzeigt, wenn der Proxy im Modus Einfache Benutzerauthentifizierung arbeitet.Er legt den geschützten
Bereich entsprechend der Spezifikation RFC 2617 fest. Sie können hier einen beliebigen
Ausdruck eingeben.
Routing von übe r ge or dne te n HTTP/S-Pr oxie s
Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung von einem oder mehreren übergeordneten
Proxies erforderlich machen, können Sie diese hier hinzufügen oder auswählen.
Wenn das Feld leer ist, müssen Sie zunächst eine übergeordnete Proxy-Definition anlegen.
Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf das Plussymbol in der Kopfzeile des Feldes.
Das Dialogfenster Übergeordneten Proxy hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diesen übergeordneten Proxy ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Proxy für diese Hosts verwenden: Fügen Sie Hosts zu diesem Feld hinzu, für die ein
übergeordneter Proxy verwendet werden soll, z. B. *.wikipedia.org. Sie können hier musterbasierte Suchausdrücke (Pattern Matching) verwenden. Reguläre Ausdrücke sind hingegen nicht zugelassen.Wenn Sie das Feld leer lassen, wird, sobald Sie
Speichern klicken, automatisch ein Asterisk (*) hinzugefügt, der alle Hosts umfasst. Eine solche Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn keiner der anderen eventuell vorhandenen Proxies die Bedingungen erfüllt.
Übergeordneter Proxy: Wählen Sie die Netzwerkdefinition des übergeordneten Proxy aus oder fügen Sie sie hinzu.
Port: Der Standardport für die Verbindung zum übergeordneten Proxy ist 8080. Wenn
Ihr übergeordneter Proxy einen anderen Port erfordert, können Sie diesen hier ändern.
Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
3.
Klicken Sie auf Speichern.
Der neue übergeordnete Proxy wird in dem Feld Übergeordnete Proxies angezeigt.
284
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.Um eine übergeordnete
Proxy-Definition zu bearbeiten oder zu löschen, rufen Sie die Registerkarte Webfilter-Profile >
Übergeordnete Proxies auf.
Aktivieren Sie die Verwendung von übergeordneten Proxies durch Markieren des
Auswahlfelds vor dem jeweiligen Proxy. Wenn Sie mehr als einen Proxy ausgewählt haben, können Sie die Proxies mit Hilfe der blauen Pfeile sortieren. Gewählte übergeordnete Proxies werden der Reihe nach angewandt, bis der erste Proxy zutrifft. Die Reihenfolge der
Abarbeitung richtet sich dabei nach der Positionsnummer, d. h. wenn Sie die Reihenfolge der
Proxies ändern, ändern Sie gleichzeitig die Reihenfolge der Abarbeitung.
Sie können die Verwendung von übergeordneten Proxies auch profilbasiert organisieren
(weitere Informationen finden Sie im Kapitel Webfilter-Profile > Filteraktionen).
Übergeordnete Proxies und Website-Kategorisierung
Wenn Sie über den übergeordneten Proxy Datenbankaktualisierungen und Kategorisierungs-
Lookups durchführen möchten, müssen Sie zunächst die folgenden Hosts für diesen
übergeordneten Proxy festlegen: l list.smartfilter.com
(mit lokaler Kategorisierungsdatenbank) l cffs*.astaro.com
(mit TCP-Kategorisierung)
Wenn Sie einen übergeordneten Proxy konfiguriert haben, der alle Hosts umfasst (*), müssen
Sie diese Hosts nicht angeben. Beachten Sie, dass Sie auch unterschiedliche übergeordnete
Proxies für bestimmte Hosts festlegen können und dass der letzte übergeordnete Proxy für alle
Hosts zuständig sein soll (*). Dann wird nur jener Datenverkehr über den letzten Proxy geroutet, der nicht zu den anderen übergeordneten Proxies passt.
HTTP-Zwische nspe iche r ung
Zwischenspeichern aktivieren: Wenn diese Option aktiviert ist, hält der Webfilter einen
Zwischenspeicher auf Festplatte vor, um Anfragen zu häufig besuchten Websites schneller beantworten zu können.
SSL-Inhalte zwischenspeichern: Wählen Sie diese Option, um SSL-verschlüsselte Daten ebenfalls – unverschlüsselt – auf der Festplatte zu speichern.
Inhalte mit Cookies zwischenspeichern: Cookies werden oft für Authentifizierungszwecke verwendet. Wenn diese Option aktiviert ist, werden HTTP-Antworten, die Cookies enthalten, ebenfalls zwischengespeichert. Dieses Vorgehen kann aber zu Datenschutz-Problemen führen, da Benutzer, die auf die gleiche Seite zugreifen wollen, sehr wahrscheinlich die Seite
UTM 9 Administratorhandbuch
285
9.1 Webfilter
9 Web Protection
aus dem Zwischenspeicher erhalten, welche dann den Cookie eines anderen Benutzers enthält.
Wichtiger Hinweis – Das Zwischenspeichern von SSL- und/oder Cookie-Inhalten stellt ein wichtiges Sicherheitsproblem dar, da die Inhalte von jedem Benutzer mit SuperAdmin-
Rechten eingesehen werden können.
Zwischenspeicher leeren: Sie können alle zwischengespeicherten Seiten löschen, indem
Sie auf Zwischenspeicher leeren klicken.
MAC OS X Single Sign-On
Wenn Sie Apple OpenDirectory SSO als Authentifizierungsmethode nutzen, müssen Sie eine
MAC OS X Single Sign-On Kerberos Schlüsseldatei hochladen, damit die Authentifizierung funktioniert.Generieren Sie die Schlüsseldatei und laden Sie sie durch einen Klick auf
Schlüsseldatei hochladen hoch.Für weitere Informationen dazu, wie Sie die Schlüsseldatei generieren können, lesen Sie bitte die Kerberos-Dokumentation.
9.1.7 HTTPS-CAs
Auf der Registerkarte Web Protection > Webfilter > HTTPS-CAs können Sie die Signierungsund Verifizierungs-Zertifizierungsinstanzen (CAs, Certificate Authorities) für HTTPS-
Verbindungen verwalten.
Signie r ungs-C A
In diesem Abschnitt können Sie Ihr Signierungs-CA-Zertifikat hochladen, das Signierungs-CA-
Zertifikat neu erstellen oder das vorhandene Signierungs-CA-Zertifikat herunterladen.
Standardmäßig wird das Signierungs-CA-Zertifikat aus den Informationen erzeugt, die während der Grundkonfiguration eingegeben wurden, d. h. es stimmt mit den Informationen auf der Registerkarte Verwaltung > Systemeinstellungen > Organisatorisches überein, es sei denn, es wurden inzwischen Änderungen vorgenommen.
Um ein neues Signierungs-CA-Zertifikat hochzuladen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Hochladen.
Das Dialogfenster PKCS#12-Zertifikatsdatei hochladen wird geöffnet.
286
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
2.
Navigieren Sie zu der Datei, die Sie hochladen wollen.
Klicken Sie auf das Ordnersymbol neben dem Feld Datei, klicken Sie auf Durchsuchen im
Dialogfenster Datei hochladen, wählen Sie das hochzuladende Zertifikat aus und klicken
Sie auf Hochladen starten.
Sie können nur Zertifikate im PKCS#12-Format hochladen, die kennwortgeschützt sind.
3.
Geben Sie das Kennwort ein.
Geben Sie das Kennwort zweimal in die entsprechenden Felder ein und klicken Sie auf
Speichern.
Das neue Signierungs-CA-Zertifikat wird installiert.
Um Ihr Signierungs-CA-Zertifikat neu zu erstellen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neu erstellen.
Das Dialogfenster Neue Signierungs-CA erstellen wird geöffnet.
2.
Ändern Sie die Informationen.
Ändern Sie die angegebenen Informationen gemäß Ihren Bedürfnissen und klicken Sie auf Speichern.
Das neue Signierungs-CA-Zertifikat wird erstellt.Die Informationen zur Signierungs-CA im Abschnitt Signierungs-CA ändern sich entsprechend.
Um das Signierungs-CA-Zertifikat herunterzuladen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Herunterladen.
Das Dialogfenster Zertifikatdatei herunterladen wird geöffnet.
2.
Wählen Sie das Dateiformat aus, das Sie herunterladen wollen.
Sie können zwischen zwei verschiedenen Formaten wählen: l
PKCS#12: Dieses Format ist verschlüsselt, geben Sie deshalb bitte ein Kennwort ein.
l
PEM: Dieses Format ist unverschlüsselt.
3.
Klicken Sie auf Herunterladen.
Die Datei wird heruntergeladen.
Wenn Sie für Ihre internen Webserver Zertifikate verwenden, die von einer eigenen CA signiert sind, ist es ratsam, dieses CA-Zertifikat in den WebAdmin als Vertrauenswürdige
Zertifizierungsinstanz (Trusted Certificate Authority) hochzuladen. Andernfalls wird Benutzern eine Fehlermeldung vom Webfilter angezeigt, die ihnen mitteilt, dass das Serverzertifikat nicht vertrauenswürdig ist.
Um die Ausstattung der Clients mit dem Proxy-CA-Zertifikat zu vereinfachen, können Benutzer
UTM 9 Administratorhandbuch
287
9.1 Webfilter
9 Web Protection
das Zertifikat selbst über http://passthrough.fw-notify.net/cacert.pem
herunterladen und es in ihrem Browser installieren. Die Website-Anfrage wird direkt vom Proxy akzeptiert und verarbeitet.Deshalb ist es notwendig, zunächst den Webfilter auf der Registerkarte Webfilter >
Allgemein zu aktivieren.
Hinweis – Falls der Proxy nicht im Transparenzmodus arbeitet, muss der Proxy im Browser des Benutzers aktiviert werden. Sonst kann der Download-Link nicht erreicht werden.
Wenn das
aktiviert ist, können Benutzer alternativ das Proxy-CA-Zertifikat auch aus dem Benutzerportal, Registerkarte HTTPS-Proxy, herunterladen.
HTTPS-Problemen vorbeugen
Wenn Sie HTTPS verwenden, sind Windows-Systemprogramme wie Windows Update und
Windows Defender nicht in der Lage, Verbindungen aufzubauen, weil sie mit
Systembenutzer
-Rechten laufen. Dieser Benutzer vertraut aber standardmäßig der Proxy-
CA nicht. Deshalb ist es notwendig, das HTTPS-Proxy-CA-Zertifikat für den Systembenutzer zu importieren.Gehen Sie folgendermaßen vor:
1.
Öffnen Sie unter Windows die Microsoft Management Console (mmc).
2.
Klicken Sie im Menü auf Datei und dann auf Snap-In hinzufügen/entfernen.
Das Dialogfenster Snap-In hinzufügen/entfernen wird geöffnet.
3.
Klicken Sie unten im Fenster auf Hinzufügen.
Das Dialogfenster Eigenständiges Snap-In hinzufügen wird geöffnet.
4.
Wählen Sie aus der Liste Zertifikate und klicken Sie auf Hinzufügen.
Ein Assistent wird geöffnet.
5.
Wählen Sie Computerkonto und klicken Sie auf Weiter.
6.
Stellen Sie sicher, dass Lokaler Computer ausgewählt ist und klicken Sie auf
Fertigstellen und dann auf Schließen.
Das erste Dialogfenster enthält nun das Objekt Zertifikate (Lokaler Computer).
7.
Klicken Sie auf OK.
Das Dialogfenster wird geschlossen, und der Konsolenstamm enthält nun das Objekt
Zertifikate (Lokaler Computer).
8.
Öffnen Sie im Konsolenstamm links Zertifikate > Vertrauenswürdige
Stammzertifizierungsinstanzen, klicken Sie mit der rechten Maustaste auf
Zertifikate und wählen Sie Alle Aufgaben > Importieren aus dem
288
UTM 9 Administratorhandbuch
9 Web Protection
9.1 Webfilter
Kontextmenü.
Der Import-Assistent wird geöffnet.
9.
Klicken Sie auf Weiter.
Der nächste Schritt wird angezeigt.
10.
Wechseln Sie zu dem zuvor heruntergeladenen HTTPS-Proxy-CA-Zertifikat, klicken Sie auf Öffnen und dann auf Weiter.
Der nächste Schritt wird angezeigt.
11.
Stellen Sie sicher, dass Alle Zertifikate in folgendem Speicher speichern ausgewählt ist und klicken Sie auf Weiter und auf Fertig stellen.
Der Import-Assistent meldet, dass der Import erfolgreich war.
12.
Bestätigen Sie die Meldung des Import-Assistenten.
Das Proxy-CA-Zertifikat wird nun unter den vertrauenswürdigen Zertifikaten aufgeführt.
13.
Speichern Sie die Änderungen.
Klicken Sie im Menü auf Datei und dann auf Speichern, um die Änderung am
Konsolenstamm zu speichern.
Nach diesem Importvorgang wird der CA systemweit vertraut, und es sollten keine
Verbindungsprobleme aufgrund des HTTPS-Proxys mehr auftreten.
Ve r ifizie r ungs-C As
In diesem Bereich können Sie Ihre Verifizierungs-CAs verwalten. Das sind
Zertifizierungsinstanzen, denen Sie generell vertrauen, d. h. Websites, die gültige Zertifikate vorweisen, welche von diesen CAs signiert sind, werden vom HTTPS-Proxy als vertrauenswürdig eingestuft.
Lokale Verifizierungs-CAs: Sie können weitere Verifizierungs-CAs zur untenstehenden CA-
Liste hinzufügen. Gehen Sie folgendermaßen vor:
1.
Klicken Sie auf das Ordnersymbol neben dem Feld Lokale CA hochladen.
Das Dialogfenster Datei hochladen wird geöffnet.
2.
Wählen Sie das Zertifikat aus, das Sie hochladen wollen.
Klicken Sie auf Durchsuchen und wählen Sie das CA-Zertifikat, das Sie hochladen wollen. Folgende Dateierweiterungen werden für Zertifikate unterstützt: l cer
, crt und der: Diese binären Zertifikattypen gleichen sich weitgehend.
l pem
: Base64-codierte DER-Zertifikate.
UTM 9 Administratorhandbuch
289
9.2 Webfilter-Profile
9 Web Protection
3.
Laden Sie das Zertifikat hoch.
Klicken Sie auf Hochladen starten, um das gewählte Zertifikat hochzuladen.
Das Zertifikat wird installiert und im Abschnitt Lokale Verifizierungs-CAs angezeigt.
Globale Verifizierungs-CAs: Die Liste der hier aufgeführten Verifizierungs-CAs ist identisch zu den Verifizierungs-CAs, die in Mozilla Firefox vorinstalliert sind. Sie können jedoch einen oder alle Verifizierungs-CAs auf der Liste deaktivieren, wenn Sie sie nicht für vertrauenswürdig halten. Um das Zertifikat einer CA zurückzuziehen (engl. revoke), klicken Sie auf seine
Statusampel. Die Statusampel wird daraufhin rot und der HTTPS-Proxy wird keine Websites mehr zulassen, die von dieser CA signiert sind.
Tipp – Klicken Sie auf das blaue Infosymbol, um den Fingerabdruck der CA zu sehen.
Der HTTPS-Proxy zeigt Clients eine Fehlerseite mit dem Hinweis „Blocked Content“, wenn die
CA unbekannt oder deaktiviert ist.Sie können jedoch eine Ausnahme für solche Seiten erstellen: entweder über den Link Ausnahme anlegen auf der Fehlerseite des Webfilters oder
über die Registerkarte Web Protection > Webfilter > Ausnahmen.
Hinweis – Wenn Sie auf den Link Ausnahme anlegen auf der Fehlerseite des Webfilters klicken, wird ein Anmeldedialog angezeigt.Nur Benutzer mit Admin-Rechten können
Ausnahmen anlegen.
9.2 Webfilter-Profile
Sophos UTMverfügt über einen Webfilter, der dafür ausgelegt und optimiert ist zu kontrollieren, welche Internetinhalte für welchen Teil des Netzwerks zugänglich sind. Dadurch hindert er
Benutzer daran, Inhalte zu sehen, die Sie vielleicht ablehnen. Sie können den Webfilter so konfigurieren, dass er ausgewählte Netzwerke global überwacht. Alternativ dazu können Sie individuelle Webfilter-Profile anlegen, die verwendet werden können, um verschiedene
Sicherheitsrichtlinien auf verschiedene Netzwerksegmente anzuwenden. Auf diese Weise können Sie unterschiedliche Richtlinien für die verschiedenen Abteilungen innerhalb Ihres
Unternehmens definieren, sogar mit unterschiedlichen Benutzerauthentifizierungsmethoden.
In diesem Kapitel wird beschrieben, wie Sie Filteraktionen hinzufügen und diese mit Webfilter-
Profilen von Sophos UTM verwenden.Es ist hierbei sinnvoll, die Registerkarten der Webfilter-
Profile von hinten nach vorne zu konfigurieren.Das bedeutet, dass Sie damit beginnen sollten,
290
UTM 9 Administratorhandbuch
9 Web Protection
9.2 Webfilter-Profile
Filteraktionen zu definieren, welche dann in den sogenannten Filterzuweisungen bestimmten
Benutzern und Benutzergruppen zugeordnet werden. Diese Zuweisungen wiederum verwenden Sie dann zur Konfiguration der Webfilter-Profile.
9.2.1 Übersicht
Hinweis – Um Webfilter-Profile konfigurieren zu können, muss der Webfilter eingeschaltet sein.
Das Flussdiagramm stellt schematisch dar, wie Filteraktionen, Filterzuweisungen und
Webfilter-Profile miteinander zusammenhängen. Wenn eine HTTP-Anfrage hereinkommt, bestimmt der Webfilter zunächst, welches Webfilter-Profil angewendet werden muss. Das hängt gänzlich von der Quelladresse der Anfrage ab. Das erste Profil, das auf die Quelladresse der Anfrage zutrifft, wird verwendet. Alle anderen Webfilter-Profile, die vielleicht noch vorhanden sind, werden ignoriert.
Intern werden alle Profile in einer einzigen Datei gespeichert, wobei sich das Standardprofil am
Ende der Liste befindet. Solange noch kein anderes HTTP-Profil konfiguriert wurde, gibt es nur das Standardprofil.Wenn Sie beginnen, eigene Webfilter-Profile hinzuzufügen und sie mithilfe der Auswahlliste Position sortieren, bleibt das Standardprofil am Ende der Liste. Dadurch ist sichergestellt, das es immer zuletzt angewendet wird.
Das Standardprofil ist jedoch kein Profil, das explizit über die Registerkarten unter Web
Protection > Webfilter-Profile konfiguriert werden kann.Stattdessen wird es vom System automatisch generiert, wenn Sie den Webfilter auf den Registerkarten Web Protection >
Webfilter konfigurieren.Die Zugelassenen Netzwerke, die auf der Registerkarte Web
Protection > Webfilter > Allgemein konfiguriert werden, entsprechen den Quellnetzwerken eines Webfilter-Profils.Die Einstellungen im Feld Benutzer/Gruppen (Registerkarte Web
Protection > Webfilter > Allgemein, wenn der Betriebsmodus Einfache
Benutzerauthentifizierung ausgewählt ist) werden zum Standardprofil. Dahingegen entsprechen die Einstellungen auf der Registerkarte Web Protection > Webfilter > URL-
Filterung einer Filteraktion. Zuletzt, wenn nicht einmal das Standardprofil zutrifft, wird die
HTTP-Anfrage blockiert.
Anschließend wird geprüft, welche Filterzuweisung mit diesem Webfilter-Profil verknüpft ist.
Falls keine Filterzuweisung zutrifft, wird die Ersatzaktion (Fallback Action) für die Anfrage ausgeführt. Bei der Ersatzaktion handelt es sich um eine spezielle Filteraktion, die die
Sicherheitspolitik Ihres Unternehmens widerspiegeln sollte. Im Falle einer sehr strengen
UTM 9 Administratorhandbuch
291
9.2 Webfilter-Profile
9 Web Protection
Sicherheitspolitik können Sie einen speziellen Filter als Ersatzaktion anlegen, der den gesamten Internetdatenverkehr ohne Ausnahme blockiert.
Um den Benutzern innerhalb eines Netzwerksegments unterschiedliche Sicherheitsstufen zu bieten, brauchen Sie nur ein Webfilter-Profil zu konfigurieren, das mit unterschiedlichen
Filterzuweisungen verknüpft ist. Die Zugriffsrechte für einen bestimmten Benutzer hängen dann von den Einstellungen in der ausgewählten Filterzuweisung ab.Aus diesem Grund ist es nicht sinnvoll, zwei Profile mit genau den gleichen Quellnetzwerken zu konfigurieren, da das zweite Profil in diesem Fall niemals aktiviert wird.
9.2.2 Proxy-Profile
Die Profile werden dazu genutzt, unterschiedliche Richtlinien für den Inhaltsfilter zu definieren, um anschließend verschiedene Richtlinien auf verschiedene Adressen Ihres Netzwerks anwenden zu können. Auf diese Weise können Sie unterschiedliche Richtlinien für die verschiedenen Abteilungen innerhalb Ihres Unternehmens definieren. Zusätzlich kann jedem
Profil seine eigene Methode zur Benutzerauthentifizierung zugewiesen werden.
Um ein Proxy-Profil anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neues Proxy-Profil.
Das Dialogfenster Proxy-Profil erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Profil ein.
Position: Die Positionsnummer legt die Priorität des Proxy-Profils fest. Niedrigere
Nummern haben eine höhere Priorität. Proxy-Profile werden in aufsteigender
Reihenfolge abgeglichen. Sobald ein Proxy-Profil zutrifft, werden Proxy-Profile mit einer höheren Nummer nicht mehr abgeglichen. Platzieren Sie die spezifischeren Profile oben in der Liste, um sicherzustellen, dass weniger restriktive Profile zuletzt abgeglichen werden.
Quellnetzwerke: Wählen Sie die Netzwerke aus, die dieses Profil verwenden sollen
(Pflichtfeld).
Warnung – Stellen Sie sicher, dass Sie keine Quellnetzwerke auswählen, die schon in anderen Profilen verwendet werden. Andernfalls kann es zu Unstimmigkeiten in der
Zuordnung von Filteraktionen und Benutzer/Gruppen kommen, woraufhin vielleicht
292
UTM 9 Administratorhandbuch
9 Web Protection
9.2 Webfilter-Profile
Benutzer eines bestimmten Netzwerksegments Websites öffnen können, auf die sie nicht zugreifen können sollen.
Filterzuweisungen: Wählen Sie eine Filterzuweisung aus.Eine Filterzuweisung ist eine
Menge von Web-Protection-Konfigurationseinstellungen, die verwendet werden können, um verschiedene Schutzstufen verschiedenen Benutzern/Gruppen zu beliebigen Zeitpunkten zuweisen zu können (weitere Informationen finden Sie unter
Web Protection > Webfilter-Profile > Filterzuweisungen). Sie können auch mehrere
Filterzuweisungen auswählen. Darüber hinaus können Sie festlegen, welche
Filterzuweisung zuerst angewendet werden soll. Das ist zum Beispiel nützlich, wenn Sie verschiedene Filterzuweisungen demselben Benutzer oder derselben Benutzergruppe zu unterschiedlichen Zeiten zuweisen wollen. Einfach ausgedrückt, sollten Sie die spezifischeren Zuweisungen oben in der Liste platzieren, um sicherzustellen, dass die am wenigsten restriktiven Zuweisungen zuletzt abgeglichen werden. Benutzen Sie dafür die blauen Pfeile, die erscheinen, wenn Sie mindestens zwei Filter ausgewählt haben.
Hinweis – Sie können auch eine Standard-Filterzuweisung auswählen, die die
Standard-Filteraktion den Benutzern/Gruppen zugewiesen hat, die auf der
Registerkarte Webfilter > Allgemein konfiguriert wurden, vorausgesetzt, der Webfilter läuft in einem der drei Betriebsmodi Einfache Benutzerauthentifizierung, Active
Directory SSO oder eDirectory SSO.Beachten Sie außerdem, dass Sie eine
Filterzuweisung verwenden können, die Benutzer und Gruppen beinhaltet, selbst wenn Sie den Betriebsmodus auf Standard oder Transparent setzen. Allerdings werden in diesem Fall die Benutzer und Gruppen ignoriert und nur Zeitereignisse, die in der Filterzuweisung definiert sind, werden im Proxy-Profil berücksichtigt.
Ersatzaktion: Bei der Ersatzaktion handelt es sich um eine spezielle Filteraktion, die die
Sicherheitspolitik Ihres Unternehmens widerspiegeln sollte. Diese Filteraktion wird als letztes abgeglichen, nachdem keine der anderen Filteraktionen zugetroffen hat. Im Falle einer sehr strengen Sicherheitspolitik können Sie einen speziellen Filter als Ersatzaktion anlegen, der den gesamten Internetdatenverkehr ohne Ausnahme blockiert.Übrigens entspricht die Standard-Filteraktion hier den Einstellungen unter Web Protection >
Webfilter > URL-Filterung.
Betriebsmodus: Für jedes Proxy-Profil können Sie zwischen mehreren Methoden zur
Benutzerauthentifizierung wählen. Verschiedene Proxy-Profile können unterschiedliche
UTM 9 Administratorhandbuch
293
9.2 Webfilter-Profile
9 Web Protection
Authentifizierungsmethoden haben, aber pro Proxy-Profil kann nur eine
Benutzerauthentifizierungsmethode verwendet werden.Sie können sogar einen anderen Betriebsmodus auswählen als den auf der Registerkarte Webfilter > Allgemein konfigurierten Betriebsmodus. Beachten Sie jedoch, dass die Authentifizierung nur wie vorgesehen funktioniert, wenn die hier gewählte Authentifizierungsmethode der
Authentifizierungsmethode von allen Benutzer- und Gruppenobjekten entspricht, die in allen Filterzuweisungen verwendet werden.Die folgenden Betriebsmodi sind möglich: l
Standard: Im Standardmodus lauscht der Webfilter standardmäßig nach Client-
Anfragen auf Port 8080 und lässt jeden Client zu, der sich in einem Netzwerk befindet, das im Feld Zugelassene Netzwerke aufgeführt ist.In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
l
Active Directory SSO: Wählen Sie diese Option, wenn Sie Active Directory
Single Sign-On (SSO) auf der Registerkarte Definitionen & Benutzer >
Authentifizierungsserver > Server konfiguriert haben.Das hat den Effekt, dass
NTLM-Benutzerauthentifizierung verwendet wird, um Clients zu authentifizieren.
Beachten Sie, dass die Funktion nur mit Internet Explorer garantiert wird.In
diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als
HTTP-Proxy angegeben sein.
l
Apple OpenDirectory SSO: Wählen Sie diese Option, wenn Sie LDAP auf der
Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Server konfiguriert haben und Sie Apple OpenDirectory verwenden.Damit der Proxy richtig funktioniert, müssen Sie zusätzlich eine MAC OS X Single Sign-On
Kerberos-Schlüsseldatei auf der Registerkarte Web Protection > Webfilter >
Erweitert hochladen. In diesem Modus muss der Webfilter in der Browser-
Konfiguration von jedem Client angegeben sein. Beachten Sie, dass der Safari-
Browser SSO nicht unterstützt.
l
Einfache Benutzerauthentifizierung: In diesem Modus muss sich jeder Client gegenüber dem Proxy authentifizieren, bevor er ihn verwendet.Weitere
Informationen zu den unterstützten Authentifizierungsmethoden finden Sie unter
Definitionen & Benutzer >
Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
l
eDirectory SSO: Wählen Sie diese Option, wenn Sie eDirectory auf der
Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Server
294
UTM 9 Administratorhandbuch
9 Web Protection
9.2 Webfilter-Profile konfiguriert haben.In diesem Modus muss der Webfilter in der Browser-
Konfiguration jedes Clients als HTTP-Proxy angegeben sein.
l
Transparent: Im Transparenzmodus werden alle Verbindungen von Client-
Browseranwendungen auf Port 80 (bzw. Port 443, wenn SSL aktiviert ist) abgefangen und an den Proxy weitergeleitet, ohne clientseitige Konfiguration. Der
Client merkt dabei vom Proxy-Server nichts. Der Vorteil dieses Modus ist, dass keine zusätzliche Verwaltung oder clientseitige Konfiguration nötig ist; der Nachteil ist, dass nur HTTP-Anfragen (Port 80) verarbeitet werden können.Deshalb
werden die Proxy-Einstellungen im Client-Browser unwirksam, wenn Sie
Transparent als Modus wählen.
Volltransparenzmodus (optional): Wählen Sie die Option
Volltransparenzmodus, um die Quell-IP der Clients zu erhalten, anstatt sie durch die IP des Gateways zu ersetzen.Das ist nützlich, wenn Ihre Clients
öffentliche IP-Adressen verwenden, die nicht durch den Proxy verschleiert werden sollen.
Hinweis – Im Transparenzmodus entfernt der Proxy NTLM-
Authentifizierungsheader von HTTP-Anfragen. Darüber hinaus kann der Proxy keine FTP-Anfragen in diesem Modus verarbeiten.Wenn Ihre Clients auf solche
Dienste zugreifen wollen, müssen Sie den Port (21) in der Firewall öffnen.
Beachten Sie auch, dass manche Webserver einige Daten über einen anderen
Port als Port 80 übermitteln, insbesondere Streaming-Video- und -Audiodaten.
Diese Anfragen werden nicht beachtet, wenn der Proxy im Transparenzmodus arbeitet. Um solchen Verkehr zu unterstützen, müssen Sie entweder einen anderen Modus wählen oder eine explizite Firewallregel anlegen, die diesen
Verkehr erlaubt.
l
Transparent mit Authentifizierung: Benutzen Sie diesen Modus, damit
Benutzer sich authentifizieren müssen, während der Proxy transparent arbeitet.
Wenn Benutzer eine Website zum ersten Mal öffnen, wird ihnen eine Webseite
ähnlich dem Benutzerportal präsentiert, auf der sie Benutzername und Kennwort eingeben müssen. Dieser Modus ermöglicht die Benutzernamen-basierte
Verfolgung (engl. tracking), Berichterstellung und Surfen ohne Client-seitige
Browserkonfiguration. Darüber hinaus können Sie Nutzungsbedingungen einrichten, die dann zusätzlich auf der Anmeldeseite angezeigt werden und von den Benutzern akzeptiert werden müssen, bevor sie fortfahren können.Weitere
UTM 9 Administratorhandbuch
295
9.2 Webfilter-Profile
9 Web Protection
Informationen zu Nutzungsbedingungen finden Sie im Kapitel Verwaltung >
Anpassungen >
HTTPS-Verkehr (SSL) scannen: Wählen Sie diese Option, um nicht nur HTTP-
Verkehr sondern auch HTTPS-Verkehr zu scannen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das neue Profil wird in der Liste Proxy-Profile angezeigt.
Um ein Proxy-Profil zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
9.2.3 Filterzuweisungen
Auf der Registerkarte Webfilter-Profile > Filterzuweisungen können Sie Filteraktionen bestimmten Benutzern und Benutzergruppen zuweisen. Während eine Filteraktion sich auf das
„Was“ bezieht, d. h. sie definiert, welche Websites oder Kategorien von Websites blockiert werden sollen, bezieht sich eine Filterzuweisung auf das „Wer“ und „Wann“, indem es diese
Aktionen Benutzern und Benutzergruppen zu festgelegten Zeiten zuweist.
Hinweis – Verschiedene Einstellungen, die Sie auf den Registerkarten Web Protection >
Webfilter > Antivirus/Schadsoftware (Antiviren-Scan, Dateierweiterungenfilter, MIME-Typ-
Filter, Entfernung von Inhalt) und URL-Filterung (Kategorien, blockierte URLs) konfiguriert haben, werden als Standard-Filteraktion gespeichert, welche aus der Auswahlliste
Filteraktion ausgewählt werden kann.
Um eine Filterzuweisung anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Filterzuweisung.
Das Dialogfenster Neue Filterzuweisung erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Zuweisung ein.
Benutzer/Gruppen: Wählen Sie die Benutzer und Gruppen aus, die eine bestimmte
Filteraktion benutzen sollen. Achten Sie darauf, dass Ihre neue Filterzuweisung nur in
296
UTM 9 Administratorhandbuch
9 Web Protection
9.2 Webfilter-Profile
Webfilter-Profilen verwendet werden sollte, die die gleiche Authentifizierungsmethode verwenden wie die hier gewählten Benutzer und Gruppen.
Zeitereignis: Zeitereignisse sind einzelne oder wiederkehrende Zeitfenster, die Sie verwenden können, um Firewallregeln oder Filterprofile auf bestimmte Zeiträume zu begrenzen.Weitere Informationen finden Sie unter Definitionen & Benutzer >
Zeitraumdefinitionen.
Filteraktion: Wählen Sie die Filteraktion, die Sie den oben gewählten Benutzern und
Benutzergruppen zuweisen wollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Filterzuweisung wird in der Liste Filterzuweisungen angezeigt.
Um eine Filterzuweisung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Wenn Sie ein Webfilter-Profil anlegen, können Sie jede Filterzuweisung auswählen.
9.2.4 Filteraktionen
Auf der Registerkarte Webfilter-Profile > Filteraktionen können Sie eine Auswahl von
Konfigurationseinstellungen zu Web Protection anlegen und bearbeiten, mit der verschiedene
Schutzarten und Schutzstufen angepasst werden können. Filteraktionen können verschiedenen Benutzern und Benutzergruppen zugewiesen werden und bieten einen flexiblen Weg, den Internetzugriff zu kontrollieren.
Um eine Filteraktion anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Filteraktion.
Das Dialogfenster Neue Filteraktion erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Aktion ein.
Modus: Legen Sie fest, ob Ihre Auswahl an Websites blockiert oder zugelassen werden soll. Die folgenden Optionen sind möglich: l
Standardmäßig zulassen: Wenn Sie diese Option wählen, werden alle
Websites außer denen zugelassen, die Sie unten auswählen.
UTM 9 Administratorhandbuch
297
9.2 Webfilter-Profile
9 Web Protection
l
Standardmäßig blockieren: Wenn Sie diese Option wählen, werden alle
Websites außer denen blockiert, die Sie unten auswählen.
Schwellenwert: Websites können in folgende Klassen unterteilt werden:
Vertrauenswürdig (engl. trusted), Neutral, oder Verdächtig (engl. suspicious).
Unklassifizierte Websites werden als Unüberprüft (engl. unverified) eingestuft. Sie können bestimmen, welchen Ruf eine Website haben muss, um für Ihr Netzwerk erreichbar zu sein. Websites unterhalb des gewählten Schwellenwerts werden blockiert.
Spyware-Kommunikation blockieren: Wählen Sie diese Option, um Spyware
(Spionagesoftware) auf dem Weg vom Server zum Client zu entdecken und zu blockieren. Das verhindert, dass Computer in Ihrem Netzwerk mit neuer Spyware infiziert werden. Darüber hinaus entdeckt und blockiert diese Funktion Verkehr, der von bereits installierten Spyware-Programmen ausgeht. Dadurch können bereits gewonnene Informationen über den Benutzer nicht länger an das Internet übermittelt werden.Beachten Sie, dass diese Option nicht verfügbar ist, wenn Sie den Modus
Standardmäßig blockieren wählen.
Diese Website-Kategorien blockieren: Wählen Sie die Website-Kategorien, die blockiert werden sollen. Beachten Sie, dass sich diese Option zu Diese Website-
Kategorien zulassen ändert, wenn Sie den ModusStandardmäßig blockieren wählen.
Unkategorisierte Seiten blockieren: Diese Funktion verhindert, dass der Browser
Internetseiten mit unbekanntem Inhalt öffnet. Diese Funktion kann als zusätzliche
Sicherung angesehen werden, falls eine potenziell unerwünschte Internetseite noch nicht als solche kategorisiert wurde.Beachten Sie, dass sich diese Option zu
Unkategorisierte Seiten zulassen ändert, wenn Sie den ModusStandardmäßig
blockieren wählen.
Diese URLs/Sites blockieren: Geben Sie die URLs von Seiten an, die blockiert werden sollen.
Diese URLs/Sites immer zulassen: Geben Sie die URLs von Seiten an, die immer zugelassen werden sollen.
SafeSearch: Sie können die Nutzung von SafeSearch für Suchmaschinen wie Google,
Bing und Yahoo erzwingen. Der SafeSearch-Filter entfernt Inhalte aus den
Suchergebnissen, die für Kinder ungeeignet sind, z. B. anstößige oder illegale
Suchtreffer. Bei Aktivierung können Benutzer, die über den Webfilter surfen, den Filter nicht deaktivieren.
298
UTM 9 Administratorhandbuch
9 Web Protection
9.2 Webfilter-Profile
Blockierte Erweiterungen: Indem Sie in dieses Feld Dateierweiterungen eintragen, sorgen Sie dafür, dass Dateien mit diesem Dateityp blockiert werden (z. B. ausführbare
Binärdateien). Um eine Dateierweiterung hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte Erweiterungen und geben Sie die Erweiterung ein, die blockiert werden soll, zum Beispiel exe (ohne den Punkt als Trennzeichen).
Blockierte MIME-Typen: Um einen MIME-Typ hinzuzufügen, der blockiert werden soll, klicken Sie auf das Plussymbol im Feld Blockierte MIME-Typen und geben Sie den
MIME-Typ an (z. B. image/gif).
Inhaltsentfernung: Wenn Sie dieses Auswahlkästchen markieren, erscheinen die beiden Optionen JavaScript entfernen und Eingebettetes entfernen. Mit diesen Optionen können Sie bestimmen, ob <SCRIPT>- und <OBJECT>-Tags aus HTML-Seiten entfernt werden sollen. Dabei werden einerseits JavaScript-Funktionen deaktiviert, die in HTML-
Seiten eingebettet oder eingebunden sind. Andererseits werden dynamische Inhalte aus dem eingehenden HTTP/S-Verkehr entfernt, wie etwa ActiveX, Flash oder Java-
Applets.
Antiviren-Scan verwenden: Wenn Sie diese Option wählen, wird eingehender
Datenverkehr nach schädlichem Inhalt gescannt. Sophos UTM bietet mehrere Antiviren-
Mechanismen für höchste Sicherheit.
Max. Scangröße: Legen Sie die Maximalgröße von Dateien fest, die von den Antiviren-
Engines gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.
Die beiden folgenden Optionen sind nützlich, wenn es Personen oder Mitglieder z. B. des
Betriebsrates gibt, deren Aktivitäten keinesfalls protokolliert werden dürfen: l
Besuchte Seiten protokollieren: Deaktivieren Sie diese Option, um besuchte
Seiten von der Protokollierung und Berichterstellung auszuschließen.
l
Blockierte Seiten protokollieren: Deaktivieren Sie diese Option, um blockierte
Seiten von der Protokollierung und Berichterstellung auszuschließen.
Übergeordnete Proxies: Sie können beschließen, einen oder mehrere
übergeordnete Proxies zu verwenden.Wenn das Feld leer ist, müssen Sie zunächst einen übergeordneten Proxy auf der Registerkarte Übergeordnete Proxies anlegen.
Markieren Sie das Auswahlfeld vor einer Proxy-Definition, um dessen Verwendung zu aktivieren. Wenn Sie mehrere Proxies ausgewählt haben, können Sie diese mit den blauen Pfeilen sortieren. Gewählte übergeordnete Proxies werden der Reihe nach angewandt, bis der erste Proxy zutrifft. Die Reihenfolge der Abarbeitung richtet sich
UTM 9 Administratorhandbuch
299
9.2 Webfilter-Profile
9 Web Protection
dabei nach der Positionsnummer, d. h. wenn Sie die Reihenfolge der Proxies ändern,
ändern Sie gleichzeitig die Reihenfolge der Abarbeitung.
3.
Klicken Sie auf Speichern.
Die neue Filteraktion wird in der Liste Filteraktionen angezeigt.
Um eine Filteraktion zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Jede Filteraktion kann ausgewählt werden, wenn Sie eine Filterzuweisung oder ein Webfilter-
Profil anlegen.
Hinweis – Sie sehen hier auch die Standard-Filteraktion, die standardmäßig alle HTTP/S-
Anfragen blockiert, auf die keine andere Filteraktion oder die Einstellungen im Menü Webfilter zutreffen.
9.2.5 Übergeordnete Proxies
Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist.Auf der
Registerkarte Web Protection > Webfilter-Profile > Übergeordnete Proxies können Sie die
Verwendung von übergeordneten Proxies konfigurieren, global sowie profilbasiert.Übergeordnete Proxies müssen stets zunächst auf dieser Seite (oder der Seite
Webfilter > Erweitert) konfiguriert werden, bevor sie in Profilen verwendet werden können.
Hinweis – HTTPS-Anfragen im Transparenzmodus sind mit übergeordneten Proxies aus technischen Gründen nicht möglich, wenn SSL-Scanning aktiviert ist.
Um einen übergeordneten Proxy zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neuer übergeordneter Proxy.
Das Dialogfenster Neuen übergeordneten Proxy anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diesen übergeordneten Proxy ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
300
UTM 9 Administratorhandbuch
9 Web Protection
9.3 Application Control
Proxy für diese Hosts verwenden: Fügen Sie Hosts zu diesem Feld hinzu, für die ein
übergeordneter Proxy verwendet werden soll, z. B. *.wikipedia.org. Sie können hier musterbasierte Suchausdrücke (Pattern Matching) verwenden. Reguläre Ausdrücke sind hingegen nicht zugelassen.Wenn Sie das Feld leer lassen, wird, sobald Sie
Speichern klicken, automatisch ein Asterisk (*) hinzugefügt, der alle Hosts umfasst. Eine solche Proxy-Definition kann daher als Ersatzproxy angesehen werden, der greift, wenn keiner der anderen eventuell vorhandenen Proxies die Bedingungen erfüllt.
Übergeordneter Proxy: Wählen Sie die Netzwerkdefinition des übergeordneten Proxy aus oder fügen Sie sie hinzu.
Port: Der Standardport für die Verbindung zum übergeordneten Proxy ist 8080. Wenn
Ihr übergeordneter Proxy einen anderen Port erfordert, können Sie diesen hier ändern.
Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
3.
Klicken Sie auf Speichern.
Der neue übergeordnete Proxy wird in der Liste Übergeordnete Proxies angezeigt.
Der Proxy kann nun in Filteraktionen oder global eingesetzt werden.
Um einen übergeordneten Proxy zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
9.3 Application Control
Die Application-Control-Funktion von UTM ermöglicht Ihnen Traffic Shaping und Blockieren von Netzwerkverkehr basierend auf der Art des Verkehrs.Im Gegensatz zur Webfilter-Funktion von UTM (siehe Kapitel
Webfilter ) unterscheidet der Klassifizierungsmechanismus von
Application Control Netzwerkverkehr nicht nur nach Protokoll oder URL, sondern nimmt detailliertere Unterscheidungen vor.Besonders bei Internetverkehr ist dies nützlich: Verkehr zu
Websites erfolgt normalerweise über das HTTP-Protokoll auf Port 80 oder das HTTPS-
Protokoll auf Port 443.Wenn Sie Verkehr zu einer bestimmten Website, z. B. facebook.com, blockieren möchten, können Sie das auf Grundlage der URL der Website (Webfilter). Sie können Verkehr zu Facebook auch unabhängig von einer URL über eine Klassifizierung des
Netzwerkverkehrs blockieren.
Die Klassifizierungsengine von UTM nutzt Layer-7-Packet-Inspection für die Klassifizierung von
Netzwerkverkehr.
UTM 9 Administratorhandbuch
301
9.3 Application Control
9 Web Protection
Application Control kann auf zweifache Weise genutzt werden.In einem ersten Schritt müssen
Sie Application Control auf der Seite Netzwerksichtbarkeit generell aktivieren, sodass
Anwendungen in gewisser Hinsicht „sichtbar“ werden. Jetzt können Sie die Einstellung so bestehen lassen (oder nur für einen bestimmten Zeitraum), um zu sehen, welche
Anwendungen von den Benutzern genutzt werden (z. B. im Flow-Monitor, Protokollierung,
Berichterstellung). In einem zweiten Schritt können Sie bestimmte Anwendungen blockieren und andere zulassen.Dies erreichen Sie mithilfe von Regeln, die auf der Seite Application-
Control-Regeln erstellt werden können.Zudem können Sie festlegen, dass Datenverkehr bestimmter Anwendungen bevorzugt behandelt wird. Die Konfiguration erfolgt über Astaros
SophosDienstqualität-Funktion (QoS).
9.3.1 Netzwerksichtbarkeit
Auf der Seite Web Protection > Application Control > Netzwerksichtbarkeit können Sie
Application Control aktivieren und deaktivieren.
Wenn Application Control aktiviert ist, wird der gesamte Netzwerkverkehr klassifiziert und entsprechend seiner Klassifizierung protokolliert.Aktueller Netzwerkverkehr kann über den
Flow-Monitor mit detaillierten Angaben zur Art des Datenverkehrs angezeigt werden (siehe
Kapitel Flow-Monitor). So werden beispielsweise Daten zum HTTP-Verkehr detailliert aufgeschlüsselt, sodass die zugrunde liegenden Anwendungen (z. B., Twitter, Facebook usw.) ersichtlich sind. Für Protokollierung und Berichterstellung sind umfangreiche Daten zu
Netzwerkverkehr und Klassifizierung sowie Daten zu Clients und Servern verfügbar, die die
Anwendungen nutzen.Weitere Informationen zu Protokollierung und Berichterstellung finden
Sie im Kapitel Protokolle & Berichte. Lesen Sie den Abschnitt Protokollansicht für die
Protokollierung und den Abschnitt Netzwerknutzung > Bandbreitennutzung und Web
Protection > Application Control für die Berichterstellung.
9.3.2 Application-Control-Regeln
Auf der Seite Web Protection > Application Control > Application-Control-Regeln können Sie
Regeln erstellen, die auf einer Klassifizierung des Netzwerkverkehrs basieren und
Anwendungen definieren, deren Datenverkehr für Ihr Netzwerk blockiert oder ausdrücklich zugelassen werden soll.
Standardmäßig wird aller Netzwerkverkehr zugelassen, wenn Application Control aktiviert ist.
302
UTM 9 Administratorhandbuch
9 Web Protection
9.3 Application Control
Application-Control-Regeln können entweder auf dieser Seite oder über den Flow-Monitor erstellt werden. Letzteres ist eventuell bequemer, doch können Sie nur Regeln für den aktuell im Netzwerk auftretenden Datenverkehr erstellen.
Um eine Application-Control-Regel zu erstellen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Application-Control-Regeln auf Neue Regel.
Das Dialogfenster Neue Regel erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name (optional): Sie können einen Namen für die Regel eingeben. Wenn Sie das Feld leer lassen, generiert das System einen Namen für die Regel.
Gruppe: Die Option Gruppe ist nützlich, da Application-Control-Regeln zur besseren
Übersichtlichkeit des Regelwerks zu logischen Gruppen zusammengefasst werden können. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss auf die Abarbeitung der Regel im Regelwerk.
Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen.
Sobald eine Regel zutrifft, werden Regeln mit einer höheren Nummer nicht mehr abgeglichen.
Aktion: Wählen Sie aus, ob der Datenverkehr blockiert oder zugelassen werden soll.
Kontrollieren durch: Wählen Sie aus, ob der Datenverkehr nach Anwendungsart oder durch einen dynamischen Filter kontrolliert werden soll, der unterschiedliche
Kategorien berücksichtigt.
l
Anwendungen: Der Datenverkehr wird anwendungsbasiert kontrolliert.Wählen
Sie im Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
l
Dynamischer Filter: Der Datenverkehr wird basierend auf Kategorien kontrolliert.Wählen Sie im Feld Diese Kategorien kontrollieren eine oder mehrere
Kategorien aus.
Diese Anwendungen/Kategorien kontrollieren: Klicken Sie auf das Ordnersymbol, um Anwendungen/Kategorien auszuwählen. Ein Dialogfenster wird geöffnet, das im nächsten Abschnitt detailliert beschrieben wird.
Produktivität: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten
Produktivitätswert wieder.
UTM 9 Administratorhandbuch
303
9.3 Application Control
9 Web Protection
Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten Risikowert wieder.
Hinweis – Einige Anwendungen können nicht blockiert werden.Dies ist für einen reibungslosen Betrieb von Sophos UTM erforderlich.Bei diesen Anwendungen wird in der Anwendungstabelle des Dialogfensters Anwendung auswählen kein
Auswahlkästchen angezeigt. Dies trifft u. a. für WebAdmin, Teredo, SixXs (für IPv6-
Verkehr) und Portal (für Benutzerportal-Verkehr) zu. Auch bei der Verwendung dynamischer Filter wird das Blockieren dieser Anwendungen automatisch verhindert.
Für: Wählen Sie in diesem Feld Netzwerke oder Hosts aus, deren Netzwerkverkehr von der Regel kontrolliert werden soll. Sie können auch Netzwerke oder Hosts hinzufügen.
Dies gilt sowohl für Quell- als auch für Zielhosts/-netzwerke.
Protokollieren: Diese Option ist standardmäßig ausgewählt und ermöglicht das
Protokollieren von Datenverkehr, auf den die Regel zutrifft.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Regel wird in der Liste Application-Control-Regeln angezeigt.
4.
Aktivieren Sie die Regel.
Aktivieren Sie die Regel durch einen Klick auf die Statusampel.
Da s Dia logfe nste r zur Auswa hl von Anwe ndunge n ode r
Ka te gor ie n
Beim Erstellen von Application-Control-Regeln müssen Sie Anwendungen oder
Anwendungskategorien aus dem Dialogfenster Wählen Sie eine oder mehrere
Anwendungen/Kategorien, die kontrolliert werden sollen festlegen.
In der Tabelle im unteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die auswählbar sind oder zu einer definierten Kategorie gehören. Standardmäßig werden alle
Anwendungen angezeigt.
Im oberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren
Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann:
304
UTM 9 Administratorhandbuch
9 Web Protection
9.3 Application Control l
Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst alle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt; d. h. alle verfügbaren Anwendungen werden unten in der Tabelle gelistet. Möchten Sie die angezeigten Anwendungen auf bestimmte Kategorien beschränken, klicken Sie in die
Liste mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus.
l
Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf die
Produktivität klassifiziert, d. h., wie stark sie die Produktivität beeinflussen. Beispiel:
Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung der Anwendung trägt somit zur Produktivität bei. Im Gegensatz dazu ist das Onlinespiel
Farmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNS besitzt die Bewertung 3 – er wirkt sich neutral auf die Produktivität aus.
l
Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezüglich Schadsoftware,
Virusinfektionen oder Angriffen klassifiziert. Je höher die Bewertung, desto höher das
Risiko.
Tipp – Jede Anwendung verfügt über ein Infosymbol. Wenn Sie darauf klicken, wird eine
Beschreibung der jeweiligen Anwendung angezeigt. Sie können die Tabelle mithilfe des
Filterfelds in der Kopfzeile durchsuchen.
Abhängig von Ihrer Auswahl im Dialogfenster Neue Regel erstellen gehen Sie folgendermaßen vor: l
Kontrolle durch dynamischen Filter: Klicken Sie einfach auf Apply, um die ausgewählten
Anwendungen für die Regel zu übernehmen.
l
Anwendungsbasierte Kontrolle: Wählen Sie die zu kontrollierenden Anwendungen in der
Tabelle aus, indem Sie auf die Auswahlkästchen klicken, die vor den Anwendungen angezeigt werden.Klicken Sie auf Apply, um die ausgewählten Anwendungen für die
Regel zu übernehmen.
Nachdem Sie auf Apply geklickt haben, wird das Dialogfenster geschlossen und Sie können die
Einstellungen der Anwendungsregel weiter bearbeiten.
9.3.3 Erweitert
Auf der Seite Web Protection > Application Control > Erweitert können Sie erweiterte Optionen für Application Control konfigurieren.
UTM 9 Administratorhandbuch
305
9.4 FTP
9 Web Protection
SophosUTM AppAccur a cy-Pr ogr a mm
Sie können uns dabei helfen, die Erkennungs- und Klassifizierungsfunktionen im Bereich
Netzwerksichtbarkeit und Application Control zu verbessern, indem Sie am Sophos UTM
AppAccuracy-Programm teilnehmen. teilnehmen. Das System erfasst Daten in Form anonymer Anwendungsprofile und sendet diese an das Forschungsteam von Sophos. Dort werden die Profile genutzt, um nicht klassifizierte Anwendungen zu identifizieren und die
Netzwerksichtbarkeits- und Application-Control-Bibliothek zu verbessern und zu erweitern.
Applica tion-C ontr ol-Ausna hme n
In diesem Feld aufgeführte Hosts und Netzwerke werden nicht von Application Control
überwacht und können deshalb weder von Application Control noch von der Quality-of-
Service-Auswahl kontrolliert werden. Das gilt sowohl für Quell- als auch für Zielhosts/netzwerke.
9.4 FTP
Auf der Registerkarte Web Protection > FTP können Sie den FTP-Proxy konfigurieren.Das File
Transfer Protocol (FTP) ist ein weit verbreitetes Netzwerkprotokoll, um Dateien über das
Internet auszutauschen.Sophos UTMbietet einen Proxydienst, der als Zwischenstation für allen FTP-Verkehr in Ihrem Netzwerk agiert. Dabei bietet der FTP-Proxy nützliche Funktionen wie das Scannen von FTP-Verkehr auf Viren oder das Blockieren von bestimmten Dateitypen, die über das FTP-Protokoll übertragen werden.
Der FTP-Proxy kann transparent arbeiten, das heißt, alle FTP-Clients in Ihrem Netzwerk bauen eine Verbindung mit dem Proxy auf anstatt mit dem wirklichen Zielhost. Der Proxy initiiert dann anhand der Anfrage eine neue Netzwerkverbindung, die für den Client unsichtbar bleibt.Der Vorteil dieses Modus ist, dass keine zusätzliche Verwaltung oder clientseitige
Konfiguration nötig ist.
9.4.1 Allgemein
Auf der Registerkarte Web Protection > FTP > Allgemein können Sie die Grundeinstellungen für den FTP-Proxy vornehmen.
Um den FTP-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:
306
UTM 9 Administratorhandbuch
9 Web Protection
9.4 FTP
1.
Aktivieren Sie den FTP-Proxy auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt FTP-Einstellungen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Netzwerke aus.
Wählen Sie die Netzwerke aus, die den FTP-Proxy verwenden dürfen.
3.
Wählen Sie einen Betriebsmodus aus.
Wählen Sie einen Betriebsmodus für den FTP-Proxy aus. Die folgenden Modi sind möglich: l
Transparent: Der Proxy leitet die Client-Anfragen an den Zielserver weiter und scannt den Inhalt. Es ist keine Konfiguration auf Clientseite notwendig.
l
Nicht transparent: Für diesen Modus müssen Sie die FTP-Clients konfigurieren.Verwenden Sie die IP-Adresse des Gateways und Port 2121.
l
Beide: Dieser Modus ermöglicht Ihnen, für einige Clients den transparenten
Modus zu verwenden und für andere den nicht transparenten
Modus.Konfigurieren Sie für die FTP-Clients, die im nicht transparenten Modus betrieben werden sollen, die Verwendung eines Proxy mit der IP-Adresse des
Gateways und Port 2121.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Hinweis – Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory als Authentifizierungsmethode verwenden.Um FTP-Clients zu ermöglichen, sich mit einem solchen FTP-Server zu verbinden, fügen Sie den FTP-Server auf der Registerkarte Web
Protection > FTP >
zu den FTP-Proxy-Ausnahmen hinzu.
9.4.2 Antivirus
Die Registerkarte Web Protection > FTP > Antivirus enthält alle Maßnahmen gegen schädlichen oder gefährlichen Inhalt wie Viren, Würmer oder andere Schadsoftware, die für
FTP-Verkehr eingesetzt werden können.
Antiviren-Scan verwenden: Wenn Sie diese Option wählen, wird der gesamte FTP-
Datenverkehr auf schädlichen Inhalt gescannt.Sophos UTMbietet mehrere Antiviren-
Mechanismen für höchste Sicherheit.
UTM 9 Administratorhandbuch
307
9.4 FTP
9 Web Protection
l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird.
Max. Scangröße: Legen Sie die Maximalgröße von Dateien fest, die von den Antiviren-
Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Hinweis – Verschlüsselte zip-Archive können nicht nach schädlichem Inhalt durchsucht werden und passieren den Virenscanner ungehindert. Um Ihr Netzwerk vor Schadsoftware aus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateien gänzlich zu blockieren.
Da te ie r we ite r unge nfilte r
Diese Funktion filtert bestimmte FTP-Transfers basierend auf den übermittelten
Dateiendungen (z. B. ausführbare Binärdateien) aus dem Internetverkehr heraus, wenn diese eine Dateierweiterung besitzen, die in der Liste Blockierte Erweiterungen aufgeführt ist. Sie können weitere Dateierweiterungen hinzufügen oder solche Erweiterungen aus der Liste löschen, die nicht blockiert werden sollen.Um eine Dateierweiterung hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte Erweiterungen und geben Sie die Dateierweiterung ein, die blockiert werden soll, zum Beispiel exe (ohne den Punkt als Trennzeichen).Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
9.4.3 Ausnahmen
Auf der Registerkarte FTP > Ausnahmen können Sie Hosts/Netzwerke definieren, die von bestimmten Sicherheitsoptionen, die der FTP-Proxy bietet, ausgenommen werden sollen.
Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.
Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen:
308
UTM 9 Administratorhandbuch
9 Web Protection
9.4 FTP l
Antivirenprüfung: Wählen Sie diese Option, um die Virenscanfunktion zu deaktivieren, die Datenverkehr nach unerwünschten Inhalten wie Viren,
Trojanischen Pferden und Ähnlichem durchsucht.
l
Blockierung von Dateierweiterungen: Wählen Sie diese Option, um den
Dateierweiterungenfilter zu deaktivieren, der verwendet werden kann, um
Dateiübertragungen basierend auf Dateierweiterungen zu blockieren.
l
Zugelassene Server: Wählen Sie diese Option, um Prüfungen für zugelassene
Server zu deaktivieren, die auf der Registerkarte Erweitert angegeben werden können.
Für diese Clienthosts/-netzwerke: Wenn Sie diese Option wählen, wird das Feld
Clienthosts/-netzwerke geöffnet. Wählen Sie die Clienthosts/-netzwerke aus, die von den Sicherheitsprüfungen dieser Ausnahmenregel ausgenommen werden sollen.
Für diese Serverhosts/-netzwerke: Wenn Sie diese Option wählen, wird das Feld
Serverhosts/-netzwerke geöffnet. Wählen Sie die Server, die von den
Sicherheitsprüfungen dieser Ausnahmenregel ausgenommen werden sollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
9.4.4 Erweitert
Auf der Registerkarte FTP > Erweitert können Sie Hosts und Netzwerke angeben, die nicht mit dem Transparenzmodus des FTP-Proxy überwacht werden sollen.
Hinweis – Der FTP-Proxy kann nicht mit FTP-Servern kommunizieren, die Active Directory als Authentifizierungsmethode verwenden. Um FTP-Clients zu ermöglichen, sich mit einem solchen FTP-Server zu verbinden, fügen Sie den Server zur FTP-Proxy-Ausnahmen hinzu.
FTP-Pr oxy-Ausna hme n
Hier aufgeführte Hosts und Netzwerke sind von der transparenten Überwachung des FTP-
Verkehrs ausgenommen.Um jedoch FTP-Verkehr für diese Hosts und Netzwerke zuzulassen,
UTM 9 Administratorhandbuch
309
9.4 FTP
9 Web Protection
wählen Sie die Option FTP-Verkehr für aufgeführte Hosts/Netze zulassen. Wenn Sie diese
Option nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts und
Netzwerke anlegen.
FTP-Se r ve r
Wählen Sie FTP-Server aus oder fügen Sie FTP-Server hinzu, auf die von Ihrem Netzwerk aus zugegriffen werden darf.Sie können Ausnahmen für einige Clients auf der Registerkarte
Ausnahmen anlegen, um diese Liste zu umgehen.
310
UTM 9 Administratorhandbuch
10 Email Protection
In diesem Kapitel wird beschrieben, wie Sie die grundlegenden Email-Protection-Funktionen von Sophos UTM konfigurieren.Die Seite Email-Protection-Statistik im WebAdmin gibt einen
Überblick über die zehn aktivsten E-Mail-Versender, E-Mail-Empfänger, Spam-Versender
(nach Land), erkannte Schadsoftware und gleichzeitige Verbindungen des aktuellen
Datums.In jedem Abschnitt befindet sich ein Link auf die Details.Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs des WebAdmin weiter, wo Sie weitere statistische Informationen finden können.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
10.1 SMTP
Im Menü Email Protection > SMTP können Sie den SMTP-Proxy konfigurieren.SMTP ist die
Abkürzung für Simple Mail Transfer Protocol, ein Protokoll, das zum Ausliefern von E-Mails an einen Mailserver verwendet wird.Sophos UTMbesitzt ein Gateway auf Anwendungsebene für
SMTP, das dazu genutzt werden kann, Ihren internen Mailserver vor Angriffen aus dem
Internet zu schützen. Außerdem bietet es effektive Antivirenscan- und E-Mail-Filterungs-
Dienste.
Hinweis – Damit der SMTP-Proxy korrekt funktioniert, muss ein gültiger Namensserver
(DNS) konfiguriert sein.
10.1 SMTP
10 Email Protection
10.1.1 Allgemein
Auf der Registerkarte Email Protection > SMTP > Allgemein können Sie festlegen, ob Sie den
Einfachen Modus für die Konfiguration von SMTP verwenden wollen oder den Profilmodus.
1.
Aktivieren Sie SMTP.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Konfigurationsmodus kann nun bearbeitet werden.
2.
Wählen Sie einen Konfigurationsmodus.
Einfacher Modus: Verwenden Sie diesen Modus, falls alle Domänen dieselben
Einstellungen teilen. Dennoch können Sie Ausnahmen definieren, die auf dem
Domänennamen, E-Mail-Adressen und Hosts basieren.Es besteht keine Einschränkung in der Funktionalität im Vergleich zum Profilmodus.
Profilmodus: In diesem Modus können Sie globale Einstellungen überschreiben oder erweitern, z. B. für Antispam oder Antivirus, für individuelle Domänen oder
Domänengruppen, indem Sie für diese Profile im Menü SMTP-Profile anlegen.Einstellungen, die im Menü SMTP vorgenommen wurden, gelten trotzdem noch für die ihnen zugeteilten Domänen und dienen außerdem als
Standardeinstellungen für Profile.Im Profilmodus finden Sie zusätzliche Hinweise zu einigen Einstellungen mit Hinblick auf Empfehlungen für den Profilmodus und das
Verhalten der UTM.
3.
Klicken Sie auf Übernehmen.
Der gewählte Modus wird aktiviert.
10.1.2 Routing
Auf der Registerkarte Routing können Sie Domänen- und Routingziele für den SMTP-Proxy konfigurieren. Außerdem können Sie festlegen, wie Empfänger verifiziert werden sollen.
Um das SMTP-Proxy-Routing zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Geben Sie Ihre interne(n) Domäne(n) ein.
Um E-Mail-Domänen einzugeben, klicken Sie auf das Plussymbol im Feld Domänen.
312
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
Geben Sie im erscheinenden Textfeld die Domäne in der Form beispiel.de ein und klicken Sie auf Übernehmen. Wiederholen Sie diesen Schritt bis alle Domänen aufgeführt sind.
Im Profilmodus: Geben Sie nur Domänen ein, die globale Einstellungen verwenden. Alle anderen Domänen sollten in ihren jeweiligen Profilen aufgeführt sein.
2.
Geben Sie den internen Server an.
Wählen Sie aus der Auswahlliste Routen nach den Host aus, zu dem E-Mails für die oben aufgeführten Domänen weitergeleitet werden sollen. Ein üblicher Zielhost wäre der
Microsoft Exchange Server in Ihrem lokalen Netzwerk. Sie können zwischen verschiedenen Servertypen wählen.
l
Statische Hostliste: Wählen Sie eine Hostdefinition der Zielroute aus dem Feld
Hostliste. Beachten Sie, dass Sie mehrere Hostdefinitionen wählen können, um ein einfaches Failover gewährleisten zu können. Wenn die Zustellung an den ersten Host fehlschlägt, werden die Mails zum nächsten Host geroutet.Die
(statische) Reihenfolge der Hosts kann in der aktuellen Version von Sophos UTM jedoch nicht festgelegt werden und ist etwas zufällig.Um die Zustellung zufällig auf eine Gruppe von Hosts zu verteilen, um dadurch zusätzlich einen einfachen
Lastausgleich zu erlangen, verwenden Sie den Routentyp DNS-Hostname und geben Sie einen Hostnamen an, der mehrere A-Einträge (engl. A Record) besitzt
(ein A-Eintrag oder Address Resource Record bildet im DNS einen Hostnamen auf eine IP-Adresse ab).
l
DNS-Hostname: Geben Sie den vollständigen Domänennamen (FQDN, fully qualified domain name) Ihrer Zielroute an (z. B. exchange.beispiel.de).
Beachten Sie, wenn Sie einen DNS-Namen mit mehreren A-Einträgen (engl. A
Record) auswählen, werden die Mails an jeden Server beliebig verteilt. Wenn ein
Server ausfällt, werden darüber hinaus alle Mails automatisch zu den verbleibenden Servern geroutet.
l
MX-Einträge: Sie können Mails auch über MX-Einträge (engl. MX Records) zu
Ihre(r/n) Domäne(n) routen.Wenn Sie diesen Routentyp wählen, wird der Mail-
Transfer-Agent von Sophos UTM eine DNS-Anfrage starten, um den MX-Eintrag vom Domänennamen des Empfängers zu erfragen. Das ist der Teil der E-Mail-
Adresse, die nach dem „@“-Zeichen steht. Stellen Sie sicher, dass das Gateway nicht der primäre MX-Server für die oben angegebene Domäne ist, da er Mails nicht sich selbst zustellen wird.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
UTM 9 Administratorhandbuch
313
10.1 SMTP
10 Email Protection
Empfä nge r ve r ifizie r ung
Empfänger verifizieren: Hier können Sie festlegen, ob und wie E-Mail-Empfänger verifiziert werden.
l
Mit Serveranfrage: Es wird eine Anfrage an den Server geschickt, um den Empfänger zu verifizieren.
l
Im Active Directory: Es wird eine Anfrage (engl. server callout) an den Active
Directory-Server geschickt, um den Empfänger zu verifizieren.Um Active Directory benutzen zu können, müssen Sie einen Active-Directory-Server unter Definitionen &
Benutzer > Authentifizierungsserver >
angegeben haben.Geben Sie einen
BaseDN im Feld Alternativer BaseDN ein.
Hinweis – Die Benutzung der Active-Directory-Empfängerverifizierung kann dazu führen, dass Nachrichten abgelehnt werden, wenn der Server nicht antwortet.
l
Aus: Sie können die Empfängerverifizierung vollständig ausschalten, aber das ist nicht empfehlenswert, da es zu einem höheren Spam-Aufkommen und Wörterbuchangriffen führt. Dadurch erhöhen Sie die Wahrscheinlichkeit, dass Ihre Quarantäne mit unerwünschten Nachrichten „überflutet“ wird.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
10.1.3 Antivirus
Die Registerkarte Antivirus bietet verschiedene Maßnahmen gegen E-Mails, die schädlichen oder gefährlichen Inhalt haben wie Viren, Würmer oder andere Schadsoftware.
Hinweis – Ausgehende E-Mails werden gescannt, wenn das Auswahlfeld Relay-
Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.
Wä hr e nd SMTP-Übe r mittlung sca nne n
Wählen Sie die Option Schadsoftware während SMTP-Übermittlung ablehnen, wenn
Nachrichten bereits während der SMTP-Übermittlung gescannt werden und abgelehnt werden sollen, wenn sie Schadsoftware enthalten.
Im Profilmodus: Diese Einstellung kann nicht für einzelne Profile geändert werden.Bei
Nachrichten mit mehr als einem Empfänger wird diese Funktion ausgesetzt, wenn bei einem
314
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP der Empfängerprofile Antiviren-Scan ausgeschaltet ist.Das bedeutet, dass es sinnvoll ist, die reguläre Antiviren-Einstellung unten auf entweder Verwerfen oder Quarantäne gestellt zu lassen.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Antivir e n-Sca n
Wenn Sie diese Option wählen, werden E-Mails nach unerwünschtem Inhalt gescannt wie z. B.
Viren, Trojanische Pferde oder verdächtige Dateitypen.Nachrichten mit schädlichem Inhalt werden blockiert oder in der E-Mail-Quarantäne gespeichert.Benutzer können ihre unter
Quarantäne stehenden E-Mails ansehen und freigeben, entweder über das
oder den täglichen
Quarantänebericht .Nachrichten, die schädlichen
Inhalt enthalten, können jedoch nur vom Administrator über den
aus der
Quarantäne freigegeben werden.
Antivirus: Hier können Sie festlegen, wie mit Nachrichten verfahren wird, die schädlichen
Inhalt besitzen. Die folgenden Aktionen sind möglich: l
Aus: Es werden keine Antiviren-Scans durchgeführt.
l
Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelöscht.
Ausgehende Nachrichten werden nie verworfen, um unbeabsichtigten E-Mailverlust zu verhindern. Stattdessen werden sie in Quarantäne verschoben.
l
Quarantäne: Die Nachricht wird blockiert und in die E-Mail-Quarantäne verschoben.
Nachrichten in Quarantäne können entweder über das Benutzerportal oder den täglichen Quarantänebericht eingesehen werden. Beachten Sie, dass Nachrichten mit schädlichem Inhalt nur vom Administrator aus der Quarantäne freigegeben werden können.
Sophos UTMbietet mehrere Antiviren-Mechanismen für höchste Sicherheit: l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird.
Unscannbaren und verschlüsselten Inhalt in Quarantäne: Wählen Sie diese Option, um
E-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte.
Unscannbarer Inhalt können verschlüsselte Archive oder sehr große Inhalte sein, oder es kann ein technischer Grund vorliegen wie z. B. der Ausfall eines Scanners.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
UTM 9 Administratorhandbuch
315
10.1 SMTP
10 Email Protection
MI ME-Typ-Filte r
Der MIME-Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie können festlegen, wie mit den verschiedenen MIME-Typen umgegangen werden soll.
l
Audioinhalte in Quarantäne: Wenn Sie diese Option wählen, werden Audioinhalte wie mp3- oder wav-Dateien unter Quarantäne gestellt.
l
Videoinhalte in Quarantäne: Wenn Sie diese Option wählen, werden Videoinhalte wie mpg- oder mov-Dateien unter Quarantäne gestellt.
l
Ausführbare Inhalte in Quarantäne: Wenn Sie diese Option wählen, werden ausführbare Inhalte wie exe-Dateien unter Quarantäne gestellt.
Weitere Typen in Quarantäne: Um einen anderen MIME-Typ als die obigen hinzuzufügen, der unter Quarantäne gestellt werden soll, klicken Sie auf das Plussymbol im Feld Weitere
Typen in Quarantäne und geben Sie den MIME-Typ an (z. B. image/gif).Sie können
Platzhalter (*) auf der rechten Seite des Schrägstriches verwenden, z. B. application/*.
Inhaltstypen auf Whitelist: Sie können in dieses Feld MIME-Typen eintragen, die generell zugelassen sein sollen.Um einen MIME-Typ hinzuzufügen, klicken Sie auf das Plussymbol im
Feld Inhaltstypen auf Whitelist und geben Sie den MIME-Typ ein.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
MIME-Typ
audio/* video/* application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe vms/exe application/x-winexe application/msdos-windows application/x-msdos-program
MIME-Typ-Klasse
Audiodateien
Videodateien
Anwendungen
316
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
Tabelle 2: MIME-Typen, die dem MIME-Typ-Filter bekannt sind
Da te ie r we ite r unge nfilte r
Mit dieser Funktion können Sie E-Mails unter Quarantäne stellen (mit Warnung), die bestimmte
Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare Dateien).Um
Dateierweiterungen hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte
Erweiterungen und geben Sie eine kritische Dateierweiterung ein, die gescannt werden soll, z.
B. exe oder jar (ohne den Punkt als Trennzeichen).Klicken Sie auf Übernehmen, um Ihre
Einstellungen zu speichern.
Hinweis – Verschlüsselte zip-Archive können nicht nach schädlichem Inhalt durchsucht werden und passieren den Virenscanner ungehindert. Um Ihr Netzwerk vor Schadsoftware aus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateien gänzlich zu blockieren.
Fuß ze ile übe r Antivir e npr üfung
Jeder ausgehenden Nachricht können Sie eine spezielle Fußzeile hinzufügen beziehungsweise anpassen, die Benutzer darüber informiert, dass die E-Mail auf schädliche
Inhalte gescannt wurde.Die Fußzeile wird jedoch nur hinzugefügt, wenn das Auswahlfeld
Relay-Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist. Darüber hinaus wird die Antivirenprüfungsfußzeile nicht an die E-Mail angehängt, wenn es sich bei der
E-Mail um eine Antwort handelt (d. h. sie besitzt den Header In-Reply-To) oder wenn die
Inhaltsart der E-Mail nicht bestimmt werden konnte.Klicken Sie auf Übernehmen, um Ihre
Einstellungen zu speichern.
Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z. B. Microsoft
Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate clientseitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung.Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte
E-Mail-Verschlüsselungsfunktion
von Sophos UTM einsetzen.E-
Mail-Verschlüsselung, die auf dem Gateway durchgeführt wird, bedeutet, dass die Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt.
UTM 9 Administratorhandbuch
317
10.1 SMTP
10 Email Protection
10.1.4 Antispam
Sophos UTMkann so konfiguriert werden, dass es unerwünschte Spam-E-Mails entdeckt und
Spam-Übermittlungen von bekannten oder verdächtigten Spam-Versendern identifiziert.Die
Konfigurationsoptionen auf der Registerkarte Antispam ermöglichen die Konfiguration von
SMTP-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor dem Empfang von unerwünschten kommerziellen E-Mails zu schützen.
Hinweis – Ausgehende E-Mails werden gescannt, wenn das Auswahlfeld Relay-
Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.
Spa m-Er ke nnung wä hr e nd SMTP-Übe r mittlung
Sie haben die Möglichkeit, Spam bereits zum Zeitpunkt der SMTP-Übermittlung abzulehnen.Wählen Sie eine der folgenden Einstellungen für die Option Während Übermittlung
ablehnen: l
Aus: Spam-Erkennung ist ausgeschaltet und es werden keine E-Mails aufgrund von
Spamverdacht abgelehnt.
l
Bestätigten Spam: Nur bestätigter Spam wird abgelehnt.
l
Spam: Alle E-Mails, die das System für Spam hält, werden abgelehnt. Beachten Sie, dass hierbei die Rate der Fehlfunde (engl. false positives) steigen kann, da E-Mails, die als möglicher Spam betrachtet werden (wie z. B. Newsletter), abgelehnt werden.
Im Profilmodus: Diese Einstellung kann nicht für einzelne Profile geändert werden. Nachrichten mit mehr als einem Empfänger lassen diese Funktion aus, wenn bei einem der
Empfängerprofile der Spam-Scan ausgeschaltet ist.Das bedeutet, dass es sinnvoll ist, die reguläre Einstellung zur Spam-Erkennung auf entweder Spam oder Bestätigten Spam gestellt zu lassen.
RBLs ( Echtze it-Bla ckhole -Liste n)
Echtzeit-Blackhole-Listen (Realtime Blackhole Lists, RBL) sind eine Methode, mit der Websites eine Liste von IP-Adressen bekannt geben, die mit Spam-Versand in Verbindung gebracht werden.
Empfohlene RBLs verwenden: Die Wahl dieser Option sorgt dafür, dass externe
Datenbanken nach bekannten Spam-Versendern (sogenannten Echtzeit-Blackhole-Listen) gefragt werden. Nachrichten, die von einer Domäne gesendet werden, die in einer oder
318
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP mehrerer dieser Listen aufgeführt ist, können einfach abgelehnt werden. Es sind einige Dienste dieser Art im Internet verfügbar. Diese Funktion ist eine enorme Hilfe bei der Reduzierung des
Spam-Aufkommens.
Standardmäßig werden die folgenden RBLs abgefragt: l
Commtouch IP Reputation (ctipd.org) l cbl.abuseat.org
Hinweis – Die RBLs, die von Sophos UTM genutzt werden, können sich ohne Ankündigung
ändern.Sophosübernimmt keine Gewähr für den Inhalt dieser Datenbanken.
Sie können weitere RBL-Sites hinzufügen, um die Antispam-Fähigkeiten von Sophos UTM zu verbessern.Klicken Sie dazu auf das Plussymbol im Feld Extra-RBL-Zonen. Geben Sie die
RBL-Zone in das erscheinende Textfeld ein.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Spa mfilte r
Sophos UTMbietet eine heuristische Prüfung von E-Mails auf Spam-Eigenschaften. Es benutzt dafür SMTP-Envelope-Informationen (envelope = Umschlag) und eine interne Datenbank mit heuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nachrichten basierend auf ihrem Inhalt und SMTP-Envelope-Informationen. Höhere Werte deuten auf eine höhere
Spam-Wahrscheinlichkeit hin.
Mit den folgenden beiden Optionen können Sie festlegen, was mit Nachrichten geschehen soll, denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dass potenzielle
Spam-E-Mails vom Gateway anders behandelt werden.
l
Spam-Aktion: Hier können Sie festlegen, was mit Nachrichten geschieht, die als möglicher Spam eingestuft wurden. Beachten Sie, dass es Fehlfunde geben kann, z. B.
Newsletter, dadurch können durch Verwerfen E-Mails verloren gehen.
l
Aktion bei bestätigtem Spam: Hier können Sie festlegen, was mit Nachrichten geschieht, die sicher Spam sind.
Sie können zwischen verschiedenen Aktionen für diese beiden Arten von Spam wählen: l
Aus: Es werden keine Nachrichten als Spam markiert oder ausgefiltert.
l
Warnen: Es werden keine Nachrichten herausgefiltert. Stattdessen wird bei eingehenden Nachrichten eine Spam-Markierung („Flag“) zum Header der Nachricht
UTM 9 Administratorhandbuch
319
10.1 SMTP
10 Email Protection
hinzugefügt und der Betreff der Nachricht erhält eine Spam-Kennzeichnung. Auf ausgehende Nachrichten wird keine Aktion angewendet.
l
Quarantäne: Nachrichten werden blockiert und in die E-Mail-Quarantäne verschoben.
Nachrichten in Quarantäne können entweder über das Benutzerportal oder den täglichen Quarantänebericht eingesehen werden.
l
Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelöscht.
Ausgehende Nachrichten werden nie verworfen, um unbeabsichtigten E-Mailverlust zu verhindern. Stattdessen werden sie in Quarantäne verschoben.
Spam-Kennzeichnung: Mit dieser Option können Sie eine Kennzeichnung für Spam-
Nachrichten festlegen, d. h. dass eine Zeichenkette zur Betreffzeile der Nachricht hinzugefügt wird, die es einfach macht, Spam-Nachrichten schnell als solche zu erkennen.Standardmäßig wird die Zeichenkette *SPAM* benutzt, um Nachrichten als Spam zu kennzeichnen.
Abse nde r -Bla cklist
Der Envelope-Absender eingehender SMTP-Sitzungen wird mit den Adressen auf dieser
Negativliste (Blacklist) verglichen. Wenn der Envelope-Absender auf der Negativliste gefunden wird, wird die Nachricht verworfen.
Um ein neues Adressmuster zur Negativliste hinzuzufügen, klicken Sie auf das Plussymbol im
Feld Adressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klicken
Sie Übernehmen.Sie können einen Asterisk (*) als Platzhalter verwenden, z. B.
*@abbeybnknational.com
.
Ausdr uckfilte r
Der Ausdruckfilter prüft den Inhalt von Nachrichten, die den SMTP-Proxy passieren, auf bestimmte Ausdrücke. Verdächtige E-Mails werden blockiert.Ausdrücke können in Form von
Perl Compatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) eingegeben werden. Einfache Zeichenfolgen wie „Online Dating“ werden ohne Berücksichtigung der Groß-
/Kleinschreibung interpretiert.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Er we ite r te Antispa m-Funktione n
Dieser Abschnitt enthält weitere Optionen, die die Antispam-Fähigkeiten von Sophos UTM verbessern.
Ungültige HELO/fehlende RDNS ablehnen: Wählen Sie diese Option, wenn Sie Hosts ablehnen wollen, die ungültige HELO-Einträge senden oder bei denen RDNS-Einträge
320
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP fehlen.Wenn Sie Hosts von dieser Prüfung ausnehmen wollen, benutzen Sie die entsprechende Option auf der Registerkarte Ausnahmen.
Strikte RDNS-Prüfung durchführen: Wählen Sie diese Option, wenn Sie zusätzlich
E-Mails von Hosts mit ungültigen RDNS-Einträgen ablehnen wollen. Ein RDNS-Eintrag ist ungültig, wenn der gefundene Hostname sich nicht zurück zur ursprünglichen IP-
Adresse auflösen lässt.
Greylisting verwenden: Greylisting (dt. Verwendung grauer Listen) bedeutet, dass E-Mails für einen gewissen Zeitraum abgelehnt werden. Ein Mailserver, der Greylisting verwendet, speichert üblicherweise die folgenden Informationen von allen eingehenden Nachrichten: l
Die Absenderadresse l
Die IP-Adresse des Hosts, der die Nachricht verschickt hat l
Die Empfängeradresse l
Der Betreff der Nachricht
Diese Daten werden nun mit der internen Datenbank des SMTP-Proxy verglichen. Wenn diese
Daten noch nicht vorhanden sind, wird ein Eintrag in die Datenbank geschrieben zusammen mit einem speziellen Zeitstempel, der die Daten beschreibt. Dieser Datensatz bewirkt, dass die
E-Mail für einen Zeitraum von fünf Minuten abgelehnt wird. Nach diesem Zeitraum ist der
Datensatz dem Proxy bekannt und die Nachricht wird beim nächsten Zustellversuch akzeptiert.
Beachten Sie, dass der Datensatz nach einer Woche verfällt, wenn er innerhalb dieses
Zeitraums nicht aktualisiert wird.
Greylisting nutzt die Tatsache, dass die meisten Versender von Spam-Mails Software verwenden, die nach der „Fire-and-Forget“-Methode arbeiten: Versuche die E-Mail zuzustellen und wenn es nicht klappt, vergiss es!Das heißt, dass die Versender solcher Spam-
Mails nicht wie RFC-konforme Mailserver versuchen, die Mail bei einem vorübergehenden
Fehlschlag nochmals zu versenden. Da in der RFC-Spezifikation vorgesehen ist, dass die E-
Mail-Zustellung vorübergehend fehlschlagen kann, geht Greylisting davon aus, dass ein legitimer Server es noch einmal versuchen wird und der Zielhost zu diesem späteren Zeitpunkt die E-Mails annehmen wird.
BATV verwenden: BATV (Bounce Address Tag Validation) ist ein Entwurf des
Standardisierungsgremiums Internet Engineering Task Force (IETF), bei dem der Versuch unternommen wird, die legitime Benutzung von E-Mail-Adressen von unautorisierter
Benutzung zu unterscheiden. BATV bietet eine Methode, den Envelope-Sender von ausgehenden Mails zu signieren, indem ein einfacher geteilter Schlüssel hinzugefügt wird, der einen Hash der Adresse und zeitvariante Informationen kodiert, sowie einige zufällige Daten.
UTM 9 Administratorhandbuch
321
10.1 SMTP
10 Email Protection
Alles zusammen soll beweisen, dass die Mail wirklich von Ihnen stammt. Prinzipiell wird es dazu benutzt, Ablehnungsnachrichten (engl. bounce messages) abzuweisen, die nicht von Ihnen versendet wurden. Durch BATV können Sie nun herausfinden, ob Ablehnungsnachrichten, die
Sie erhalten, wirklich durch eine von Ihnen versendete Mail ausgelöst wurden und nicht von einem Spam-Versender stammen, der eine E-Mail mit Ihrer Adresse gefälscht hat. Wenn eine
Ablehnungsnachricht eintrifft und die E-Mail ist nicht nach BATV signiert, dann wird der SMTP-
Proxy die Nachricht nicht annehmen. Beachten Sie, dass die BATV-Signatur nach sieben
Tagen abläuft.Um den Schlüssel (auch BATV-Secret genannt) zu ändern, der für die
Verschlüsselung des Hashes der Envelope-Adresse MAIL FROM verwendet wird, gehen Sie zur Registerkarte Email Protection > SMTP > Erweitert.
Hinweis – Einige Mail-Transfer-Programme (Mail Transfer Agents, MTA) könnten E-Mails zurückweisen, deren Envelope-Absenderadresse mittels BATV verändert wurde. In diesem
Fall müssen Sie für die betroffenen Absenderadressen, Empfängeradressen oder Domänen eine entsprechende Ausnahmeregel definieren.
SPF-Prüfung durchführen: SPF (Sender Policy Framework) ist ein System bei dem
Domäneninhaber Informationen über ihre Mailserver für ausgehende Mails veröffentlichen können. Domänen benutzen öffentliche Einträge, um Anfragen nach verschiedenen Diensten
(Web, E-Mail, usw.) an jene Hosts weiterzuleiten, die diese Dienste anbieten. Alle Domänen veröffentlichen MX-Einträge für E-Mail-bezogene Dienste, damit andere wissen, welche Hosts
E-Mails für die Domäne entgegennehmen. SPF funktioniert durch Domänen, die zusätzlich eine Art „Rückwärts-MX“ veröffentlichen, um der Welt mitzuteilen, welche Hosts E-Mails von welcher Domäne versenden. Wenn der Empfänger eine Nachricht von einer bestimmten
Domäne erhält, dann kann er diese Einträge überprüfen, um sicherzustellen, dass die E-Mail wirklich daher kommt, woher sie kommen soll.
Querverweis – Weitere Informationen erhalten Sie auf der Internetseite zu Sender Policy
Framework .
Als zusätzliche Antispam-Funktion vergleicht der SMTP-Proxy stillschweigend jede
Empfängeradresse, die er erhält, mit Ihrem Backend-Mailserver, bevor er die Mail für diese
Adresse annimmt.E-Mails für ungültige Empfängeradressen werden nicht angenommen.
Damit die Funktion greift, muss/müssen Ihr(e) Backend-Mailserver E-Mails von unbekannten
Empfängern zur SMTP-Zeit ablehnen. Die Grundregel lautet: Wenn Ihr Backend-Server eine
Nachricht ablehnt, lehnt sie der SMTP-Proxy ebenfalls ab.
322
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
Beachten Sie jedoch, dass die Empfängerüberprüfung nicht für vertrauenswürdige
(authentifizierte) Hosts oder Relay-Hosts durchgeführt wird, da manche Benutzerprogramme
(User Agents) ein Problem damit haben, wenn Empfänger während der SMTP-Übertragung abgelehnt werden.Gewöhnlich (der Backend-Mailserver lehnt unbekannte Empfänger während der SMTP-Übertragung ab) wird Sophos UTM E-Mails nur in den folgenden Fällen ablehnen (bounce): l
Wenn eine vertrauenswürdige Quelle oder ein Relay-Host eine Nachricht zu einem nicht verfügbaren Empfänger sendet.
l
Wenn der Backend-Mailserver nicht erreichbar war, sodass Sophos UTM den
Empfänger nicht verifizieren konnte.
Jedoch hindert Sophos UTM Ihre(n) Backend-Mailserver nicht daran, NDRs (non-delivery reports, Berichte über Nicht-Auslieferung) oder Ablehnungsnachrichten (bounces) zu versenden.Zudem speichert Sophos UTM Callout-Antworten des Mailservers zwischen: positive Antworten 24 Stunden lang und negative zwei Stunden.
10.1.5 Ausnahmen
Auf der Registerkarte SMTP > Ausnahmen können Sie vertrauenswürdige Hosts, Netzwerke,
Absender und Empfänger definieren, die dann von Antivirus-, Antispam- und anderen
Sicherheitsprüfungen ausgenommen werden.
Hinweis – Da E-Mails mehrere Empfänger haben können und Sophos UTM den Scan für das SMTP-Protokoll inline ausführt, wird die Überprüfung einer E-Mail gänzlich ausgesetzt, sobald einer der Empfänger der E-Mail im Feld Empfänger aufgeführt ist.
Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.
Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen.Weitere Informationen finden Sie unter Email Protection >
SMTP >
und
UTM 9 Administratorhandbuch
323
10.1 SMTP
10 Email Protection
Für diese Quellhosts/-netzwerke: Wählen Sie die Quellhosts/-netzwerke (d. h. die
Hosts oder Netzwerke, die Nachrichten senden), die gemäß dieser Ausnahmeregel von den Sicherheitsprüfungen ausgenommen werden sollen.
Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokale
Nachrichten standardmäßig nicht gescannt werden.
Wenn Sie diese Option wählen, wird das Feld Host/Netzwerke geöffnet. Hier können Sie einen Host oder ein Netzwerk eingeben, indem Sie auf das Plussymbol oder das
Ordnersymbol klicken.
Diese Absenderadressen: Wählen Sie die Absenderadressen, die von den gewählten
Sicherheitsprüfungen ausgenommen werden sollen.
Wenn Sie diese Option wählen, wird das Feld Absender geöffnet.Sie können entweder eine vollständige, gültige E-Mail-Adresse eingeben (z. B. [email protected]) oder alle E-Mail-Adressen einer bestimmten Domäne, wobei Sie einen Asterisk (*) als
Platzhalter verwenden (z. B. *@beispiel.de).
Hinweis – Verwenden Sie die Absender-Option mit Vorsicht, da Absenderadressen leicht gefälscht werden können.
Diese Empfängeradressen: Wählen Sie die Empfängeradressen, die von den gewählten Sicherheitsprüfungen ausgenommen werden sollen.
Wenn Sie diese Option wählen, wird das Feld Empfänger geöffnet.Sie können entweder eine vollständige, gültige E-Mail-Adresse eingeben (z. B.
) oder alle E-Mail-Adressen einer bestimmten
Domäne, wobei Sie einen Asterisk (*) als Platzhalter verwenden (z. B. *@beispiel.de).
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
324
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
10.1.6 Relaying
Der SMTP-Proxy kann als Mail-Relay konfiguriert werden.Ein Mail-Relay ist ein SMTP-Server, der so konfiguriert ist, dass er bestimmten Benutzern, Benutzergruppen oder Hosts erlaubt, E-
Mails durch ihn an Domänen hindurchzuleiten, die lokal nicht erreichbar sind.
Upstr e a m-Host-Liste
Ein Upstream-Host ist ein Host, der E-Mails an Sie weiterleitet, z. B. Ihr ISP oder externer MX.
Wenn Sie eingehende E-Mails von statischen Upstream-Hosts erhalten, ist es nötig, dass Sie diese Hosts hier eintragen. Andernfalls wird der Spamschutz nicht richtig funktionieren.
Um einen Upstream-Host hinzuzufügen, klicken Sie entweder auf das Plussymbol oder auf das
Ordnersymbol, um Hosts direkt aus der Netzwerke-Objektleiste zu ziehen.Wenn Sie ausschließlich Upstream-Hosts zulassen möchten, wählen Sie die Option Nur
Upstream/Relay-Hosts zulassen. Der SMTP-Zugriff wird dann auf die definierten Upstream-
Hosts begrenzt. Upstream-Hosts können sich authentifizieren, um Relaying-Rechte zu erhalten.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Authe ntifizie r te s Re la y
SMTP-Clients können sich authentifizieren, um Relaying-Rechte zu erlangen.Wählen Sie die
Option Authentifiziertes Relaying zulassen und geben Sie die Benutzer oder Benutzergruppen an, die diese Funktion verwenden dürfen.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Hinweis – Wenn das Auswahlfeld Nur Upstream/Relay-Hosts zulassen markiert ist, funktioniert Authentifiziertes Relay nur, wenn der sendende Host als Upstream- oder Relay-
Host konfiguriert ist.
Hostba sie r te s Re la y
Mail-Relaying kann auch hostbasiert ablaufen.Wenn Ihr lokaler Mailserver oder Ihre Mail-
Clients in der Lage sein sollen, den SMTP-Proxy als Mail-Relay zu verwenden, müssen Sie die
Netzwerke und Hosts, die E-Mails über das Relay versenden dürfen, zum Feld Zugelassene
Hosts/Netzwerke hinzufügen. Die aufgeführten Netzwerke und Hosts dürfen Nachrichten an beliebige Adressen versenden.
UTM 9 Administratorhandbuch
325
10.1 SMTP
10 Email Protection
Warnung – Wählen Sie im Feld Zugelassene Hosts/Netzwerke niemals Any aus, denn das würde zu einem offenen Mail-Relay führen, welches es jedem aus dem Internet gestattet,
Nachrichten über den SMTP-Proxy zu senden. Spam-Versender werden das schnell herausfinden und das wird zu einem erheblichen E-Mail-Aufkommen führen. Im schlimmsten
Fall werden Sie auf Spam-Versender-Negativlisten (Blacklists) Dritter geführt. In den meisten
Konfigurationen sind die einzigen Hosts, die als Mail-Relay agieren dürfen, die Mailserver in
Ihrem Netzwerk.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Host-/Ne tzwe r k-Bla cklist
Hier können Sie Hosts und Netzwerke bestimmen, die vom SMTP-Proxy blockiert werden sollen.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
I nha ltssca n für ( a usge he nde ) Re la y-Na chr ichte n
Wenn diese Option gewählt ist, werden auch Nachrichten auf schädlichen Inhalt gescannt, die entweder von authentifizierten oder hostbasierten Relays gesendet werden. Beim Versand vieler ausgehender Nachrichten kann das Ausschalten dieser Option ggf. die Leistung verbessern.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Beachten Sie, dass die globalen Antivirus- und Antispam-Einstellungen auch für ausgehende
Nachrichten gelten.Unabhängig von diesen Einstellungen werden infizierte oder Spam-
Nachrichten niemals verworfen, sondern unter Quarantäne gestellt, um den unbeabsichtigten
Verlust von E-Mails zu vermeiden.
10.1.7 Erweitert
Auf der Registerkarte SMTP > Erweitert können Sie zusätzliche Sicherheitsoptionen für den
SMTP-Proxy konfigurieren, z. B. unter anderem Smarthost-Einstellungen oder
Transparenzmodus-Ausnahmen.
Übe r ge or dne te r Pr oxy
Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist. Falls
Ihre Sicherheitsbestimmungen die Nutzung eines übergeordneten Proxy erforderlich machen, so können Sie diesen hier durch Angabe einer Hostdefinition und eines Ports konfigurieren.
326
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
Übergeordneten Proxy verwenden: Wählen Sie diese Option, um einen übergeordneten
Proxy zu verwenden. Geben Sie einen Hostnamen und den Port des Proxy ein.
Dieser Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy
Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.
Tr a nspa r e nzmodus
Um den Transparenzmodus für SMTP zu aktivieren, markieren Sie das Auswahlkästchen und klicken Sie auf Übernehmen.
Hosts und Netzwerke, die im Feld Auszunehmende Hosts/Netze aufgeführt sind, werden vom
SMTP-Proxy nicht transparent überwacht.Um jedoch SMTP-Verkehr für diese Hosts und
Netzwerke zuzulassen, wählen Sie die Option SMTP-Verkehr für aufgeführte Hosts/Netze
zulassen. Wenn Sie diese Option nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.
TLS-Einste llunge n
TLS-Zertifikat: Wählen Sie aus der Auswahlliste ein Zertifikat zum Aushandeln der TLS-
Verschlüsselung mit allen Gegenstellen aus, die TLS unterstützen.
Hosts/Netze die TLS-Aushandlung erfordern: Fügen Sie hier Hosts oder Netze hinzu, die für die E-Mail-Kommunikation immer TLS-Verschlüsselung erfordern.Die UTM hält dann E-
Mails zurück, wenn für diese Hosts/Netze keine TLS-Verschlüsselung zur Verfügung steht.
Diese Nachrichten bleiben in der Mail-Warteschlange, bis TLS wieder verfügbar ist. Bleibt TLS
über einen bestimmten Zeitraum nicht verfügbar, werden keine weiteren Versuche mehr unternommen, die E-Mail zu versenden, und der Benutzer erhält eine Benachrichtigung darüber, dass seine Nachricht nicht zugestellt werden konnte.
Absenderdomänen die TLS-Verschlüsselung erfordern: Geben Sie hier die Domänen an, für die Sie eine TLS-Verschlüsselung für eingehende E-Mails erzwingen möchten. Von diesen Domänen versendete E-Mails ohne TLS werden umgehend zurückgewiesen.
Kein TLS für diese Hosts/Netze: Falls ein bestimmter Host oder ein Netzwerk Probleme mit
TLS-Verschlüsselung haben, können Sie diese im Feld angeben und das entsprechende TLS-
Zertifikat aus der Auswahlliste auswählen.Dadurch nimmt die UTM den entsprechenden Host oder das entsprechende Netzwerk von der TLS-Verschlüsselung aus.Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
UTM 9 Administratorhandbuch
327
10.1 SMTP
10 Email Protection
Doma inKe ys I de ntifie d Ma il ( DKI M)
DKIM ist eine Methode, um ausgehende Nachrichten kryptografisch zu signieren.Um DKIM-
Signierung zu verwenden, geben Sie Ihren privaten RSA-Schlüssel und den dazugehörigen
Schlüsselselektor (engl. key selector), den Schlüsselnamen, in die entsprechenden Felder ein.
Fügen Sie dann die Domänen, für die Sie E-Mails signieren wollen, zum Feld DKIM-Domäne hinzu.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Ve r tr a ulichke itsfuß ze ile
Sie können für jede ausgehende E-Mail eine Vertraulichkeitsfußzeile hinzufügen oder anpassen, die Benutzer zum Beispiel darüber informiert, dass die E-Mail vertrauliche oder schutzwürdige Informationen enthalten kann. Die Vertraulichkeitsfußzeile wird jedoch nicht an die E-Mail angehängt, wenn es sich bei der E-Mail um eine Antwort handelt (d. h. sie besitzt den
Header In-Reply-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden konnte.
Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z. B. Microsoft
Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate clientseitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung.Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte
E-Mail-Verschlüsselungsfunktion
von Sophos UTM einsetzen.E-
Mail-Verschlüsselung, die auf dem Gateway durchgeführt wird, bedeutet, dass die Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt.
Er we ite r te Einste llunge n
Hier können Sie unter anderem den SMTP-Hostnamen und die Postmaster-Adresse einstellen.
SMTP-Hostname: Wenn ein SMTP-Hostname definiert ist, wird der SMTP-Proxy diesen
Namen in HELO- und in SMTP-Banner-Nachrichten verwenden. Standardmäßig ist der
Hostname des Systems angegeben.
Postmaster-Adresse: Geben Sie die E-Mail-Adresse des Postmasters, des E-Mail-
Verantwortlichen, für die UTM ein, an den die Nachrichten weitergeleitet werden, die in der
Form postmaster@[192.168.16.8], gesendet werden, wobei die IP-Adresse eine der IP-
Adressen der UTM ist.Die Annahme solcher Nachrichten ist ein Erfordernis des RFC.
328
UTM 9 Administratorhandbuch
10 Email Protection
10.1 SMTP
BATV-Schlüssel: Hier können Sie den automatisch generierten BATV-Schlüssel (engl. BATV secret) ändern, der vom SMTP-Proxy benutzt wird.Der BATV-Schlüssel ist ein verteilter
Schlüssel, der benutzt wird, um die Envelope-Adresse (dt. Umschlagadresse) MailFrom einer
E-Mail zu signieren, wodurch die Erkennung ungültiger Absenderadressen von
Ablehnungsnachrichten möglich wird. Wenn Sie mehrere MXs für Ihre Domänen verwenden, können Sie den BATV-Schlüssel ändern, damit er auf allen Systemen gleich ist.
Max. Nachrichtengröße: Die maximale Größe der E-Mails, die vom Proxy akzeptiert wird.
Diese Einstellung bezieht sich sowohl auf eingehende als auch ausgehende E-Mails. Falls Ihr
Backend-Server eine Begrenzung in Bezug auf die Größe von E-Mails hat, dann sollten Sie hier denselben oder einen niedrigeren Wert einstellen.
Max. Verbindungen: Die maximale Anzahl gleichzeitiger Verbindungen, die der Proxy zulässt. Der Standardwert ist 20.
Max. Verb./Host: Die maximale Anzahl von Hosts pro Verbindung, die der Proxy zulässt. Der
Standardwert ist 10.
Max. Mails/Verbindung: Die maximale Anzahl an Mails pro Verbindung, die der Proxy zulässt. Der Standardwert ist 1000.
Max. Empf./Mail: Die maximale Anzahl an Empfängern pro Mail, die der Proxy zulässt. Der
Standardwert ist 500.
Fußzeilen-Modus: Hier können Sie bestimmen, wie Fußzeilen zu E-Mails hinzugefügt werden.MIME-Teil fügt die Fußzeile als Extra-MIME-Teil hinzu. Bereits vorhandene Teil-
Enkodierungen werden nicht geändert und nationale Sprachzeichen bleiben erhalten.Die
andere Methode ist Inline, das bedeutet, dass die Fußzeile von der eigentlichen Mail durch das
Trennzeichen -- getrennt ist. Bei diesem Modus können Sie wählen, ob die Fußzeile nach
Unicode (UTF-8) konvertiert wird oder nicht. Eine Unicode-Umwandlung verändert die
Nachricht dahingehend, dass nationale Sprachzeichen in der Fußzeile erhalten bleiben.
Sma r thost-Einste llunge n
Ein Smarthost ist eine Art Mail-Relay-Server, der es einem SMTP-Server erlaubt, Mails an einen Upstream-Mailserver zu routen statt direkt an den Server des Empfängers. So ein
Smarthost verlangt meistens, dass der Absender sich authentifiziert, um sicherzustellen, dass der Absender auch die Berechtigung besitzt, Mails durch den Smarthost weiterzuleiten.
Smarthost verwenden: Wenn Sie einen Smarthost für den Mailversand verwenden wollen, markieren Sie dieses Auswahlkästchen. In diesem Fall wird der Proxy Mails nie selbst zustellen, sondern diese immer an den Smarthost senden.
UTM 9 Administratorhandbuch
329
10.2 SMTP-Profile
10 Email Protection
l
Smarthost: Wählen Sie ein Smarthost-Objekt aus oder fügen Sie eins hinzu.
l
Smarthost-Port: Der Standardport für die Smarthost-Verbindung ist 25. Falls notwendig, können Sie diesen Port ändern.
l
Dieser Smarthost erfordert Authentifizierung: Wählen Sie diese Option, wenn der
Smarthost Authentifizierung erfordert.Als Authentifizierungsmethode wird sowohl Plain als auch Login unterstützt. Geben Sie einen Benutzernamen und ein Kennwort in die entsprechenden Textfelder ein.
10.2 SMTP-Profile
Der SMTP-Proxy von Sophos UTM ermöglicht es Ihnen, alternative SMTP-Profile anzulegen, die dann verschiedenen Domänen zugeordnet werden können.Auf diese Weise können Sie
Domänen bestimmen, die ein anderes Profil verwenden sollen als das Standardprofil, das unter Email Protection >
konfiguriert ist. Die Reihenfolge der Funktionen, die in Form von Registerkarten dargestellt sind, spiegelt die Abfolge einzelner Schritte während der SMTP-
Zeit wider.
Um ein SMTP-Profil anzulegen, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den SMTP-Profilmodus.
Wählen Sie auf der Registerkarte Email Protection > SMTP > Allgemein die Option
Profilmodus und klicken Sie auf Übernehmen.
Das Anlegen von SMTP-Profilen im Menü Email Protection > SMTP-Profile ist aktiviert.
2.
Klicken Sie auf der Registerkarte SMTP-Profile auf Neues Profil erstellen.
Ein Dialogfenster wird geöffnet.
3.
Geben Sie einen aussagekräftigen Namen für das Profil an und klicken Sie auf
OK.
Die Seite mit den Einstellungen für das Profil wird geöffnet.
4.
Fügen Sie eine oder mehrere Domänen hinzu.
Geben Sie im Feld Domänen eine oder mehrere Domänen an.
Einstellungen in diesem Profil werden für diese Domänen gelten.
5.
Nehmen Sie die folgenden Einstellungen vor:
Sie brauchen nur die Einstellungen für jene Funktionen vorzunehmen, die Sie verwenden wollen.Für jede der folgenden Funktionen können Sie entscheiden, ob die
330
UTM 9 Administratorhandbuch
10 Email Protection
10.2 SMTP-Profile hier vorgenommenen individuellen Einstellungen verwendet werden sollen oder die globalen Einstellungen von Email Protection >
. Standardmäßig ist die globale
Einstellungen-Option ausgewählt. Die individuellen Einstellungen für jede Funktion sind unten beschrieben.
Hinweis – Verschlüsselte E-Mails, deren Absenderadresse einen Domänennamen enthält, der hier konfiguriert ist, können nicht entschlüsselt werden, wenn Sie die E-
Mail-Verschlüsselungs-/Entschlüsselungsfunktion von Sophos UTM verwenden. Aus diesem Grund sollten Sie keine Profile für externe E-Mail-Domänen anlegen.
Alle Einstellungen, die Sie hier vornehmen können, können unter Email Protection >
SMTP auch global vorgenommen werden. Deshalb werden hier nur eine Liste der
Einstellungsmöglichkeiten und die Unterschiede zu den globalen Einstellungen aufgeführt.
Die folgenden Einstellungen können vorgenommen werden: l
Routing: Auf der Registerkarte Routing können Sie Domänen- und Routingziele für den SMTP-Proxy konfigurieren. Außerdem können Sie festlegen, wie
Empfänger verifiziert werden sollen.
l
Statische Hostliste l
DNS-Hostname l
MX-Einträge
Weitere Informationen finden Sie unter Email Protection > SMTP >
l
Empfängerverifizierung
Empfänger verifizieren: Hier können Sie festlegen, ob und wie E-Mail-
Empfänger verifiziert werden.
l
Mit Serveranfrage: Es wird eine Anfrage an den Server geschickt, um den
Empfänger zu verifizieren.
l
Im Active Directory: Es wird eine Anfrage (engl. server callout) an den
Active Directory-Server geschickt, um den Empfänger zu verifizieren. Um
Active Directory benutzen zu können, müssen Sie einen Active-Directory-
Server unter Definitionen & Benutzer > Authentifizierungsserver >
angegeben haben.Geben Sie einen BaseDN im Feld Alternativer BaseDN ein.
UTM 9 Administratorhandbuch
331
10.2 SMTP-Profile
10 Email Protection
332
Hinweis – Die Benutzung der Active-Directory-Empfängerverifizierung kann dazu führen, dass Nachrichten abgelehnt werden, wenn der Server nicht antwortet.
l
Aus: Sie können die Empfängerverifizierung vollständig ausschalten, aber das ist nicht empfehlenswert, da es zu einem höheren Spam-Aufkommen und Wörterbuchangriffen führt. Dadurch erhöhen Sie die
Wahrscheinlichkeit, dass Ihre Quarantäne mit unerwünschten Nachrichten
„überflutet“ wird.
Weitere Informationen finden Sie unter Email Protection > SMTP >
.
l
Sophos UTM RBLs: Hier können Sie IP-Adressen blockieren, die mit
Spamversand in Verbindung gebracht werden.
l
Empfohlene RBLs verwenden l
Einwahl-/Privathosts blockieren
Weitere Informationen finden Sie unter Email Protection > SMTP >
.
l
Extra-RBLs: Sie können weitere RBL-Sites hinzufügen, um die Antispam-
Fähigkeiten von Sophos UTM zu verbessern.Weitere Informationen finden Sie unter Email Protection > SMTP >
. Beachten Sie, dass Sie als dritte
Option die globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügen können.
l
BATV/RDNS/HELO/SPF/Greylisting: Auf dieser Registerkarte sind verschiedene erweiterte Optionen vereint, die die Antispam-Fähigkeiten von
Sophos UTM ergänzen.
l
Ungültige HELO/fehlende RDNS ablehnen l
Greylisting verwenden l
BATV verwenden l
SPF-Prüfung durchführen
Weitere Informationen finden Sie unter Email Protection > SMTP >
.
l
Antiviren-Scan: Hier können Sie festlegen, wie mit Nachrichten verfahren wird, die schädlichen Inhalt enthalten.Die folgenden Aktionen sind möglich: l
Aus l
Quarantäne l
Verwerfen
UTM 9 Administratorhandbuch
10 Email Protection
10.2 SMTP-Profile
Sie können zwischen den folgenden Antiviren-Scan-Optionen wählen: l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der
Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende
Verkehr von zwei verschiedenen Virenscannern gescannt wird.
Unscannbaren und verschlüsselten Inhalt in Quarantäne: Wählen Sie diese Option, um E-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte. Der Grund hierfür kann unter Anderem sein, dass der Inhalt verschlüsselt oder kaputt ist.
Weitere Informationen finden Sie unter Email Protection > SMTP >
l
Antispam-Scan: Hier können Sie konfigurieren, wie mit unerwünschten kommerziellen E-Mails verfahren werden soll.Sowohl für Spam als auch für bestätigten Spam können Sie zwischen den folgenden Optionen wählen: l
Aus l
Warnen l
Quarantäne l
Verwerfen
Weitere Informationen finden Sie unter Email Protection > SMTP >
.
l
Absender-Blacklist: Der Envelope-Absender eingehender SMTP-Sitzungen wird mit den Adressen auf dieser Negativliste verglichen. Wenn der Envelope-
Absender auf der Negativliste gefunden wird, wird die Nachricht verworfen.Weitere Informationen finden Sie unter Email Protection > SMTP >
. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu
Ihren individuellen Einstellungen hier hinzufügen können.
l
MIME Audio/Video/Exe-Datei-Blockierung: Der MIME-Typ-Filter liest den
MIME-Typ von E-Mail-Inhalten aus.Sie können wählen, welche Inhaltsarten Sie unter Quarantäne stellen wollen: l
Audioinhalte l
Videoinhalte l
Ausführbare Inhalte
Weitere Informationen finden Sie unter Email Protection > SMTP >
UTM 9 Administratorhandbuch
333
10.2 SMTP-Profile
10 Email Protection
l
MIME-Typ-Blacklist: Hier können Sie zusätzliche MIME-Typen hinzufügen, die unter Quarantäne gestellt werden sollen.Weitere Informationen finden Sie unter
Email Protection > SMTP >
. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügen können.
l
MIME-Typ-Whitelist: Hier können Sie MIME-Typen hinzufügen, die nicht unter
Quarantäne gestellt werden sollen.Weitere Informationen finden Sie unter Email
Protection > SMTP >
. Beachten Sie, dass Sie als dritte Option die
globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügen können.
l
Blockierte Erweiterungen: Mit dem Dateierweiterungenfilter können Sie E-
Mails unter Quarantäne stellen (mit Warnung), die bestimmte Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare
Dateien).Weitere Informationen finden Sie unter Email Protection > SMTP >
. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu
Ihren individuellen Einstellungen hier hinzufügen können.
l
Blockierte Ausdrücke: Der Ausdruckfilter prüft den Inhalt von Nachrichten, die den SMTP-Proxy passieren, auf bestimmte Ausdrücke. Verdächtige E-Mails werden blockiert.Weitere Informationen finden Sie unter Email Protection > SMTP
>
. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu
Ihren individuellen Einstellungen hier hinzufügen können.
l
Vertraulichkeitsfußzeile:Sie können für jede ausgehende E-Mail eine
Vertraulichkeitsfußzeile hinzufügen oder anpassen, die Benutzer zum Beispiel darüber informiert, dass die E-Mail vertrauliche oder schutzwürdige
Informationen enthalten kann. Die Vertraulichkeitsfußzeile wird jedoch nicht an die
E-Mail angehängt, wenn es sich bei der E-Mail um eine Antwort handelt (d. h. sie besitzt den Header In-Reply-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden konnte. Beachten Sie, dass die Fußzeile abhängig von der
Absenderdomäne angehängt wird.Um eine Fußzeile zu verwenden, markieren
Sie das Auswahlfeld, geben Sie den Text für die Fußzeile ein und klicken Sie auf
Übernehmen.
6.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.Das neue Profil wird in der Liste SMTP-Profile angezeigt.
334
UTM 9 Administratorhandbuch
10 Email Protection
10.3 POP3
Hinweis – Wenn Sie die Option Globale Einstellungen verwenden für eine Einstellung verwenden und Übernehmen klicken, wechselt das Symbol der Funktion zum Symbol für globale Einstellungen. Dadurch erhalten Sie leicht einen Überblick darüber, für welche
Funktionen Sie die globalen Einstellungen verwenden und für welche Funktionen die individuellen Einstellungen.
Um ein Profil umzubenennen, zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen oben unter der Auswahlliste der Profile.
10.3 POP3
Im Menü Email Protection > POP3 können Sie den POP3-Proxy für eingehende E-Mails konfigurieren.Das Post Office Protocol 3 ist ein Internet-Standardprotokoll auf
Anwendungsebene, das es ermöglicht, E-Mails von einem entfernten Server abzuholen.Der
POP3-Proxy arbeitet im Transparenzmodus, das heißt alle POP3-Anfragen, die über Port 110 aus dem internen Netzwerk kommen, werden abgefangen und, unsichtbar für den Client, durch den Proxy geleitet. Der Vorteil dieses Modus ist, dass keine zusätzliche Verwaltung oder clientseitige Konfiguration nötig ist.
Hinweis – Es kann nötig sein, die Einstellungen für die Server-Zeitüberschreitung in der E-
Mail-Client-Konfiguration zu erhöhen. Meistens ist die Voreinstellung von einer Minute oder weniger zu gering, insbesondere wenn große E-Mails abgeholt werden.
Das POP3-Protokoll nimmt keine serverseitige Verfolgung davon vor, welche E-Mails bereits abgeholt wurden.Im Allgemeinen holt ein Mail-Client eine E-Mail ab und löscht sie danach auf dem Server. Wenn der Client jedoch so eingestellt ist, dass er keine E-Mails löscht, dann wird auch auf Serverseite nicht gelöscht und der Client übernimmt die Aufgabe, nachzuvollziehen, welche E-Mails bereits abgeholt wurden.
10.3.1 Allgemein
Auf der Registerkarte Email Protection > POP3 > Allgemein können Sie Grundeinstellungen für den POP3-Proxy vornehmen.
Um den POP3-Proxy zu konfigurieren, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
335
10.3 POP3
10 Email Protection
1.
Aktivieren Sie den POP3-Proxy.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt POP3-Einstellungen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Netzwerke aus.
Wählen Sie die Netzwerke aus, deren POP3-Verkehr über den Proxy laufen soll.
Standardmäßig ist das interne Netzwerk (Internal Network) voreingestellt.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
Live -Pr otokoll
Im POP3-Live-Protokoll werden die Aktivitäten des POP3-Proxy protokolliert. Alle eingehenden
E-Mails werden darin aufgeführt. Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.
10.3.2 Antivirus
Die Registerkarte Antivirus bietet verschiedene Maßnahmen gegen E-Mails, die schädlichen oder gefährlichen Inhalt haben wie Viren, Würmer oder andere Schadsoftware.
Antivir e n-Sca n
Wenn Sie diese Option wählen, werden E-Mails nach unerwünschtem Inhalt gescannt wie z. B.
Viren, Trojanische Pferde oder verdächtige Dateitypen.Nachrichten mit schädlichem Inhalt werden blockiert oder in der E-Mail-Quarantäne gespeichert.Benutzer können ihre
Nachrichten in Quarantäne entweder über das Sophos
oder den täglichen
einsehen.Nachrichten, die schädlichen Inhalt enthalten, können jedoch nur vom Administrator über den
aus der Quarantäne freigegeben werden.
Sophos UTMbietet mehrere Antiviren-Mechanismen für höchste Sicherheit.
l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird.
336
UTM 9 Administratorhandbuch
10 Email Protection
10.3 POP3
Unscannbaren und verschlüsselten Inhalt in Quarantäne: Wählen Sie diese Option, um
E-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte.
Unscannbarer Inhalt können verschlüsselte Archive oder sehr große Inhalte sein, oder es kann ein technischer Grund vorliegen wie z. B. der Ausfall eines Scanners.
Max. Scangröße: Legen Sie die Maximalgröße von Dateien fest, die von den Antiviren-
Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Da te ie r we ite r unge nfilte r
Mit dieser Funktion können Sie E-Mails unter Quarantäne stellen (mit Warnung), die bestimmte
Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare Dateien).Um
Dateierweiterungen hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte
Erweiterungen und geben Sie eine kritische Dateierweiterung ein, die gescannt werden soll, z.
B. exe oder jar (ohne den Punkt als Trennzeichen).Klicken Sie auf Übernehmen, um Ihre
Einstellungen zu speichern.
Hinweis – Verschlüsselte zip-Archive können nicht nach schädlichem Inhalt durchsucht werden und passieren den Virenscanner ungehindert. Um Ihr Netzwerk vor Schadsoftware aus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateien gänzlich zu blockieren.
10.3.3 Antispam
Sophos UTMkann so konfiguriert werden, dass es unerwünschte Spam-E-Mails entdeckt und
Spam-Übermittlungen von bekannten oder verdächtigten Spam-Versendern identifiziert.Die
Konfigurationsoptionen auf der Registerkarte Antispam ermöglichen die Konfiguration von
POP3-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor dem Empfang von unerbetenen kommerziellen E-Mails zu schützen.
Spa mfilte r
Sophos UTMbietet eine heuristische Prüfung eingehender E-Mails auf Spam-
Eigenschaften.Es benutzt dafür SMTP-Envelope-Informationen (envelope = Umschlag) und eine interne Datenbank mit heuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nachrichten basierend auf ihrem Inhalt und SMTP-Envelope-Informationen. Höhere
Werte deuten auf eine höhere Spam-Wahrscheinlichkeit hin.
UTM 9 Administratorhandbuch
337
10.3 POP3
10 Email Protection
Mit den folgenden beiden Optionen können Sie festlegen, was mit Nachrichten geschehen soll, denen ein gewisser Spam-Wert zugewiesen wurde. So wird sichergestellt, dass potenzielle
Spam-E-Mails vom Gateway anders behandelt werden.
l
Spam-Aktion: Hier können Sie festlegen, was mit Nachrichten geschieht, die als möglicher Spam eingestuft wurden. Beachten Sie, dass es Fehlfunde geben kann, z. B.
Newsletter, dadurch können durch Verwerfen E-Mails verloren gehen.
l
Aktion bei bestätigtem Spam: Hier können Sie festlegen, was mit Nachrichten geschieht, die sicher Spam sind.
Sie können zwischen verschiedenen Aktionen für diese beiden Arten von Spam wählen: l
Aus: Es werden keine Nachrichten als Spam markiert oder ausgefiltert.
l
Warnen: Es werden keine Nachrichten herausgefiltert. Stattdessen wird eine Spam-
Markierung („Flag“) zum Header der Nachricht hinzugefügt und der Betreff der
Nachricht erhält eine Spam-Kennzeichnung.
l
Quarantäne: Die Nachricht wird blockiert und in die E-Mail-Quarantäne verschoben.
Nachrichten in Quarantäne können entweder über das Benutzerportal oder den täglichen Quarantänebericht eingesehen werden.
Spam-Kennzeichnung: Mit dieser Option können Sie eine Kennzeichnung für Spam-
Nachrichten festlegen, d. h. dass eine Zeichenkette zur Betreffzeile der Nachricht hinzugefügt wird, die es einfach macht, Spam-Nachrichten schnell als solche zu erkennen.Standardmäßig wird die Zeichenkette *SPAM* benutzt, um Nachrichten als Spam zu kennzeichnen.
Ausdr uckfilte r
Der Ausdruckfilter scannt den Betreff und Inhalt von Nachrichten auf spezifische Ausdrücke. E-
Mails, die einen der hier aufgeführten Ausdrücke enthalten, werden blockiert.Wenn jedoch auf der Registerkarte Email Protection > POP3 >
die Funktion Vorabholung verwenden eingeschaltet ist, wird die E-Mail unter Quarantäne gestellt.Ausdrücke können in Form von Perl
Compatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) eingegeben werden.
Einfache Zeichenfolgen wie „Online Dating“ werden ohne Berücksichtigung der Groß-
/Kleinschreibung interpretiert.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Abse nde r -Bla cklist
Der Envelope-Absender eingehender POP3-Sitzungen wird mit den Adressen auf dieser
Negativliste (Blacklist) verglichen.Wenn der Envelope-Sender auf der Negativliste gefunden
338
UTM 9 Administratorhandbuch
10 Email Protection
10.3 POP3 wird, wird die Nachricht unter Quarantäne gestellt und mit Other in der Betreffzeile markiert.
Um ein neues Adressmuster zur Negativliste hinzuzufügen, klicken Sie auf das Plussymbol im
Feld Adressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klicken
Sie Übernehmen.Sie können einen Asterisk (*) als Platzhalter verwenden, z. B.
*@abbeybnknational.com
.
10.3.4 Ausnahmen
Auf der Registerkarte POP3 > Ausnahmen können Sie Clienthosts/-Netzwerke und
Absenderadressen festlegen, die von verschiedenen Sicherheitsmaßnahmen ausgenommen werden sollen.
Um eine Ausnahme zu definieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein.
Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen.Weitere Informationen finden Sie unter Email Protection >
SMTP >
und
Für diese Clienthosts/-Netzwerke: Wählen Sie die Clienthosts/-Netzwerke (d. h. die
Hosts oder Netzwerke, die Nachrichten senden), die von den Sicherheitsprüfungen ausgenommen werden sollen.
Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokale
Nachrichten standardmäßig nicht gescannt werden.
Wenn Sie diese Option wählen, wird das Feld Host/Netzwerke geöffnet. Hier können Sie einen Host oder ein Netzwerk eingeben, indem Sie auf das Plussymbol oder das
Ordnersymbol klicken.
Diese Absenderadressen: Wählen Sie die Absenderadressen, die von den gewählten
Sicherheitsprüfungen ausgenommen werden sollen.
Wenn Sie diese Option wählen, wird das Feld Absender geöffnet.Sie können entweder eine vollständige, gültige E-Mail-Adresse eingeben (z. B. [email protected])
UTM 9 Administratorhandbuch
339
10.3 POP3
10 Email Protection
oder alle E-Mail-Adressen einer bestimmten Domäne, wobei Sie einen Asterisk (*) als
Platzhalter verwenden (z. B. *@beispiel.de).
Hinweis – Verwenden Sie die Absender-Option mit Vorsicht, da Absenderadressen leicht gefälscht werden können.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
10.3.5 Erweitert
Auf der Registerkarte POP3 > Erweitert können Sie solche Hosts und Netzwerke bestimmen, die vom Transparenzmodus des POP3-Proxy ausgenommen sein sollen. Des Weiteren beinhaltet die Registerkarte die POP3-Option zum Vorabholen (engl. prefetch), welche es ermöglicht, Nachrichten von einem POP3-Server im Voraus zu holen und sie in einer
Datenbank zu speichern.
Tr a nspa r e nzmodus-Ausna hme n
Diese Option ist nur von Bedeutung, wenn der POP3-Proxy im Transparenzmodus arbeitet.Hosts und Netzwerke, die im Feld Auszunehmende Hosts/Netze aufgeführt sind, werden vom POP3-Proxy nicht transparent überwacht.Um jedoch POP3-Verkehr für diese
Hosts und Netzwerke zuzulassen, wählen Sie die Option POP3-Verkehr für aufgeführte
Hosts/Netze zulassen. Wenn Sie diese Option nicht wählen, müssen Sie spezielle
Firewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.
POP3-Se r ve r und Vor a bhole n
Sie können hier einen oder mehrere POP3-Server eintragen, die dem Proxy bekannt sein sollen. Zusätzlich können Sie das Vorabholen (engl. prefetching) aktivieren.
POP3-Server: Geben Sie die POP3-Server an, die in Ihrem Netzwerk bzw. von Ihren
Benutzern verwendet werden.
Wenn kein POP3-Server angegeben wird und E-Mails vom Proxy abgefangen werden, ersetzt
340
UTM 9 Administratorhandbuch
10 Email Protection
10.3 POP3 der Proxy die E-Mails sofort mit einer Benachrichtigung an den Empfänger, die ihn davon in
Kenntnis setzt, dass die E-Mails unter Quarantäne gestellt wurden.E-Mails in Quarantäne können im Mail-Manager eingesehen werden, aber da sie nicht mit einem Server oder einem
Konto in Verbindung gebracht werden können, können sie bei einer späteren Verbindung nicht freigegeben werden. Die Freigabe von E-Mails ist überhaupt nur möglich für E-Mails, die im
Voraus abgeholt wurden („prefetching“).
Es gibt zwei Szenarien: l
Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen deaktiviert ist, behält der Proxy die Übersicht darüber, welche E-Mails in Quarantäne zu welchem
Server oder Konto gehören. Dadurch können E-Mails in Quarantäne freigegeben werden, wenn der Client die Mailbox das nächste Mal abfragt. Damit das funktioniert, muss der Proxy sicher feststellen, welche IP-Adresse zu welchem Server gehört (über deren FQDN, die Sie in Ihrem Mail-Client angegeben haben).
l
Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen aktiviert ist,
überprüft der POP3-Proxy die POP3-Server periodisch auf neue Nachrichten.Wenn
eine neue Nachricht angekommen ist, wird sie zum POP3-Proxy kopiert, gescannt und in einer Datenbank auf der UTM gespeichert. Die Nachricht bleibt auf dem POP3-Server.
Wenn ein Client versucht, neue Nachrichten abzuholen, kommuniziert er stattdessen mit dem POP3-Proxy und holt nur die Nachrichten aus der Datenbank.
Ein POP3-Proxy, der das Vorabholen unterstützt, hat unter anderem folgende Vorteile: l
Keine Zeitüberschreitungsprobleme zwischen Client und Proxy oder umgekehrt.
l
Die Zustellung der Nachrichten erfolgt sehr viel schneller, da die E-Mails bereits vorab gescannt wurden.
l
Blockierte Nachrichten können vom Benutzerportal aus freigegeben werden – sie werden beim nächsten Abrufen der E-Mails mit abgeholt.
Wenn eine Nachricht blockiert wurde, weil sie schädlichen Inhalt enthält oder als Spam eingestuft wurde, wird sie nicht an den Client ausgeliefert. Stattdessen wird sie unter
Quarantäne gestellt.Eine Nachricht, die unter Quarantäne gestellt ist, wird im Bereich Mail-
Manager im Benutzerportal gespeichert, von wo sie gelöscht oder freigegeben werden kann.
Vorabholen verwenden: Um den Vorabholenmodus zu aktivieren, markieren Sie das
Auswahlkästchen und fügen Sie einen oder mehrere POP3-Server zum Feld POP3-Server hinzu.
Vorabholenintervall: Wählen Sie das Zeitintervall, in dem der POP3-Proxy den POP3-
Server kontaktiert, um Nachrichten vorab zu holen.
UTM 9 Administratorhandbuch
341
10.3 POP3
10 Email Protection
Hinweis – Das Intervall, in dem Mail-Clients den POP3-Server kontaktieren dürfen, variiert von Server zu Server. Das Vorabholenintervall sollte deshalb nicht kürzer eingestellt werden als der POP3-Server es zulässt, sonst schlägt das Herunterladen der POP3-Nachrichten fehl, da der Zugang zum POP3-Server nicht gestattet ist.
Beachten Sie auch, dass mehrere Clients das gleiche POP3-Konto abfragen können.
Jedes Mal, wenn Nachrichten erfolgreich vom POP3-Server abgerufen wurden, beginnt die Zeiterfassung von vorne, bis eine erneute Abfrage möglich ist. Wenn aus diesem Grund der POP3-Proxy den POP3-Server viermal hintereinander nicht erreichen kann (Standardeinstellung ist alle 15 Minuten), wird das Kontokennwort aus der Proxy-Mail-Datenbank gelöscht, und es werden dann solange keine E-Mails mehr abgeholt, bis ein Mail-Client das Kennwort an den POP3-Server schickt und sich wieder erfolgreich anmeldet.
Quarantäne-Nachrichten vom Server löschen: Wenn Sie diese Option wählen, werden Nachrichten in Quarantäne sofort vom POP3-Server gelöscht.Das ist nützlich, um zu verhindern, dass Benutzer Spam- oder mit Viren infizierte Nachrichten erhalten, wenn sie sich mit dem POP3-Server nicht über die UTM, sondern beispielsweise über das Webportal des POP3-Servers verbinden.
Wenn der E-Mail-Client so konfiguriert ist, dass er Nachrichten vom Server löscht, nachdem er sie abgeholt hat, wird diese Information auch in der Datenbank abgespeichert. Das nächste
Mal, wenn der Proxy Nachrichten für dieses POP3-Konto vorab holt, wird er die Nachrichten vom Server löschen.Das bedeutet, so lange kein Client Nachrichten von Sophos UTM abruft
und kein Löschbefehl konfiguriert ist, werden keine Nachrichten auf dem POP3-Server gelöscht. Dadurch können sie weiterhin gelesen werden, zum Beispiel über das Webportal des
E-Mail-Anbieters.
Quarantäne-Nachrichten werden in folgenden Fällen vom POP3-Server gelöscht: l
Die Nachrichten werden manuell über den
gelöscht.
l
Die Nachrichten werden manuell über das
gelöscht.
l
Die Nachricht wurde freigegeben (entweder über den
oder das
) und der E-Mail-Client des Benutzers ist so konfiguriert, dass er
Nachrichten nach der Zustellung löscht.
l
Die Benachrichtigungs-E-Mail wurde gelöscht.
l
Die Aufbewahrungsfrist ist abgelaufen (siehe Abschnitt
im Kapitel Mail-
Manager).
342
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung
Im Vorabholenmodus können Nachrichten unter Quarantäne nicht direkt durch einen Client-
Befehl vom POP3-Server gelöscht werden.
Hinweis – Der E-Mail-Client muss sich mindestens einmal erfolgreich mit dem POP3-Server verbunden haben, bevor das Vorabholen funktioniert.Das liegt daran, dass Sophos UTM den
Namen des POP3-Servers, den Benutzernamen und das Benutzerkennwort in einer
Datenbank speichern muss, um POP3-Nachrichten anstelle des Benutzers abholen zu können.Das kann jedoch nicht erreicht werden, wenn das POP3-Konto im Sophos
Benutzerportal eingerichtet wird (weitere Informationen finden Sie unter
). Die
POP3-Kontodaten im Benutzerportal werden benötigt, damit die vorab geholten Nachrichten im Benutzerportal des entsprechenden Benutzers erscheinen und in dessen täglichem
Quarantänebericht.
SSL wird im Augenblick nicht unterstützt, deshalb können Mails von Mail-Anbietern wie
Googlemail, die ausschließlich SSL-Zugriff gestatten, nicht durch den Proxy gefiltert werden.
Hinweis für Benutzer von Fetchmail: Die TOP-Methode wird aus Sicherheitsgründen nicht unterstützt, um E-Mails vom Mailserver herunterzuladen – Nachrichten, die über TOP empfangen wurden, können nicht gescannt werden.Es funktioniert aber, wenn Sie die Option fetchall angeben (-a auf der Kommandozeile). Um weitere Informationen zu erhalten, lesen
Sie bitte das Kapitel „RETR or TOP“ im Fetchmail-Handbuch.
Be vor zugte r Ze iche nsa tz
In diesem Abschnitt können Sie einen anderen Zeichensatz als UTF-8 wählen, der für jene
Mail-Header verwendet werden soll, die irgendwie von der UTM verändert wurden (z. B. durch
BATV). Das ist nützlich, wenn Ihre Benutzer Mail-Clients verwenden, die mit UTF-8 nicht umgehen können. Im Allgemeinen ist der voreingestellte Zeichensatz eine gute Wahl, unabhängig von Ihrer Region. Deshalb sollten Sie diese Einstellung nur ändern, wenn Sie sicher sind, dass es das ist, was Sie wollen.Wenn Sie Zweifel haben, sollten Sie UTF-8 beibehalten.
10.4 Verschlüsselung
Seitdem E-Mails im privaten und geschäftlichen Bereich das primäre elektronische
Kommunikationsmittel geworden sind, sind verständliche Bedenken über Privatsphäre und
Authentifizierung aufgekommen. Einfach formuliert: Das E-Mail-Format wird in Klartext
übermittelt, ähnlich einer Postkarte, die jeder lesen kann. Da es darüber hinaus sehr einfach ist,
UTM 9 Administratorhandbuch
343
10.4 Verschlüsselung
10 Email Protection
falsche Identitäten anzunehmen, muss der Empfänger feststellen können, ob der Absender auch der ist, für den er sich ausgibt.
Die Lösung zu diesen Problemen ist typischerweise die Verwendung von E-Mail-
Verschlüsselung und digitalen Zertifikaten – E-Mails werden dabei elektronisch signiert und kryptografisch verschlüsselt. Dies stellt sicher, dass ausschließlich der Empfänger der
Nachricht diese öffnen und den Inhalt der Nachricht anschauen kann (Privatsphäre) und die
Identität des Absenders feststellen kann (Authentifizierung). Mit anderen Worten vereitelt dieser Prozess die Idee, eine „E-Postkarte“ zugeschickt zu bekommen, und führt einen Prozess in einer Art registrierter oder zertifizierter E-Mails ein.
In der modernen Kryptografie gibt es zwei Verfahren für die Verschlüsselung von E-Mails: symmetrische und asymmetrische. Beide Verfahren haben sich als Standard etabliert und werden in verschiedenen Anwendungen eingesetzt. Bei der symmetrischen Verschlüsselung teilen sich der Absender und der Empfänger den gleichen Schlüssel.
Bei der asymmetrischen Verschlüsselung hingegen (auch bekannt als Public-Key-
Kryptografie) besitzt jeder Benutzer ein Schlüsselpaar – einen öffentlichen Schlüssel (engl.
public key) für die Verschlüsselung der E-Mail und einen korrespondierenden privaten bzw.
geheimen Schlüssel (engl. private key) zur Entschlüsselung. Der öffentliche Schlüssel wird frei verteilt, während der private Schlüssel vom Benutzer geheim gehalten wird.
Ein Nachteil der symmetrischen Verschlüsselung ist, dass sich die beiden Beteiligten für eine sichere Kommunikation einen Schlüssel teilen und sicherstellen müssen, dass nur ihnen der
Schlüssel bekannt ist. Wenn sie sich an unterschiedlichen Standorten befinden, müssen sie sicherstellen, dass der Schlüssel bei der Übermittlung geheim bleibt. Das größte Problem bei der symmetrischen Verschlüsselung ist daher die Übermittlung der Schlüssel: Wie sende ich den Schlüssel an den Empfänger, ohne dass ihn jemand abfängt? Die Public-Key-Kryptografie wurde entwickelt, um genau diese Sicherheitslücke zu schließen. Mit dieser Verschlüsselungs-
Methode können zwei Parteien über eine unsichere Verbindung miteinander kommunizieren, ohne dass zuvor ein gemeinsamer Schlüssel ausgetauscht werden muss.
Der Bedarf an E-Mail-Verschlüsselung hat eine Reihe von Standards für die Public-Key-
Kryptografie hervorgebracht, vor allem S/MIME und OpenPGP. Sophos UTM unterstützt beide
Standards.S/MIME (Secure Multipurpose Internet Mail Extensions) ist ein Standard für asymmetrische Verschlüsselung und das Signieren von MIME-strukturierten E-Mails. Dieses
Protokoll wird üblicherweise innerhalb einer Public-Key-Infrastruktur (PKI) eingesetzt und basiert auf einer hierarchischen Struktur aus digitalen Zertifikaten, wobei es eine vertrauenswürdige Instanz als Zertifizierungsinstanz (CA, engl. certificate authority) benötigt.
Die CA stellt ein Zertifikat aus, bei dem sie eine Identität an ein Paar elektronischer Schlüssel
344
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung bindet. Dieser Vorgang kann als digitales Gegenstück zu herkömmlichen Identitätsdokumenten wie einem Reisepass angesehen werden.Aus technischer Sicht stellt die CA ein Zertifikat aus, indem sie einen öffentlichen Schlüssel an einen bestimmten Distinguished Name im X.500-
Standard bindet, oder an einen Alternative Name wie z. B. eine E-Mail-Adresse.
Ein digitales Zertifikat ermöglicht es festzustellen, ob jemand die Berechtigung hat, einen angegebenen Schlüssel zu verwenden. Der Gedanke dahinter ist, dass man sicher sein kann, dass jemandem der fragliche öffentliche Schlüssel gehört, wenn dieser einer CA vertraut und nachweisen kann, dass der öffentliche Schlüssel von dieser CA signiert wurde.
OpenPGP (Pretty Good Privacy), der andere Standard, nutzt eine asymmetrische
Verschlüsselung, die üblicherweise in einem sogenannten Web of Trust (WOT, dt. Netz des
Vertrauens) eingesetzt wird. Das bedeutet, dass öffentliche Schlüssel digital von anderen
Benutzern signiert werden, welche durch diese Handlung die Zusammengehörigkeit von
Schlüssel und Benutzer bestätigen.
Hinweis – Beachten Sie, dass, obwohl sie ähnliche Dienste anbieten, die beiden Standards
S/MIME und OpenPGP sehr unterschiedliche Formate verwenden. Das bedeutet, dass
Benutzer des einen Protokolls nicht mit Benutzern des anderen Protokolls kommunizieren können. Des Weiteren können Authentifizierungszertifikate nicht für beide Protokolle verwendet werden.
Die gesamte E-Mail-Verschlüsselung ist für den Benutzer transparent, sodass keine zusätzliche Verschlüsselungs-Software auf dem Client installiert werden muss. Einfach gesagt heißt das, dass zur Verschlüsselung der E-Mails das Zertifikat der Gegenstelle oder der
öffentliche Schlüssel benötigt wird. Nachfolgend sind die unterschiedlichen Funktionsweisen für ein- und ausgehende Nachrichten beschrieben: l
Ausgehende Nachrichten von internen Benutzern werden standardmäßig gescannt, automatisch signiert und verschlüsselt. Für die Signierung und die Verschlüsselung wird entweder das Zertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) des
Empfängers verwendet. Das Zertifikat und der öffentliche Schlüssel müssen dafür auf der UTM vorhanden sein.
l
Verschlüsselte eingehende Nachrichten von externen Benutzern, deren S/MIME-
Zertifikat oder öffentlicher OpenPGP-Schlüssel der UTM bekannt ist, werden automatisch entschlüsselt und auf Viren überprüft. Um die Nachricht zu entschlüsseln, muss der S/MIME-Schlüssel oder der private OpenPGP-Schlüssel des internen
Benutzers auf der UTM installiert sein.
UTM 9 Administratorhandbuch
345
10.4 Verschlüsselung
10 Email Protection
l
Verschlüsselte eingehende Nachrichten von externen Benutzern oder für interne, der
UTM unbekannte Benutzer werden zugestellt, obwohl sie nicht entschlüsselt und deshalb nicht auf Viren oder Spam gescannt werden können. Es liegt dann in der
Verantwortung des Empfängers (interner Benutzer), sicherzustellen, dass die E-Mail keine Schadsoftware enthält, beispielsweise durch die Benutzung einer eigenen
Firewall.
l
Ausgehende Nachrichten, die bereits clientseitig verschlüsselt wurden, werden direkt an den Empfänger weitergeleitet, wenn das entsprechende Zertifikat (S/MIME) oder der
öffentliche Schlüssel (OpenPGP) nicht bekannt ist. Falls jedoch das S/MIME-Zertifikat oder der öffentliche OpenPGP-Schlüssel des Empfängers vorhanden ist, werden die
Nachrichten ein zweites Mal verschlüsselt. Beachten Sie, dass im Voraus verschlüsselte
Nachrichten nicht auf schädlichen Inhalt gescannt werden können.
l
Entschlüsselung wird nur bei eingehenden E-Mails durchgeführt, wobei mit „eingehend“ gemeint ist, dass der Domänenname der Absenderadresse nicht Bestandteil eines
SMTP-Profils ist. Beispiel: Damit die Nachricht von der Adresse [email protected]
entschlüsselt wird, darf die Domäne beispiel.de
nicht in den
-Einstellungen oder in irgendeinem
angegeben sein.
l
In die Betreffzeile jeder E-Mail wird eine Zusammenfassung des Signatur-
/Verschlüsselungsergebnisses eingefügt. Beispiel: Einer E-Mail, die mit S/MIME korrekt signiert und verschlüsselt wurde, wird die Information „(S/MIME: Signed and encrypted)
“ in der Betreffzeile angefügt.
Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z. B. Microsoft
Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate clientseitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung.Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte
E-Mail-Verschlüsselungsfunktion
von Sophos UTM einsetzen.E-
Mail-Verschlüsselung, die auf dem Gateway durchgeführt wird, bedeutet, dass die Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt.
346
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung
10.4.1 Allgemein
Auf der Registerkarte Email Protection > Verschlüsselung > Allgemein können Sie die
Grundeinstellungen für die E-Mail-Verschlüsselungsfunktionalität vornehmen.
Hinweis – Verschlüsselung funktioniert nur bei SMTP, nicht bei POP3.
Bevor Sie E-Mail-Verschlüsselung verwenden können, müssen Sie zunächst eine
Zertifizierungsinstanz (CA, Certificate Authority) erstellen. Diese CA besteht aus einem CA-
Zertifikat und einem CA-Schlüssel. Das CA-Zertifikat kann heruntergeladen und lokal gespeichert werden. Es kann außerdem als externe CA (S/MIME-Instanz, engl. S/MIME
Authority) in anderen Geräten installiert werden (siehe Diagramm), um eine transparente E-
Mail-Verschlüsselung zwischen zwei Sophos UTMs zu ermöglichen.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
Bild 19 E-Mail-Verschlüsselung: Mit zwei Sophos UTMs
Um E-Mail-Verschlüsselung zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die E-Mail-Verschlüsselung auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Zertifizierungsinstanz (CA) für E-Mail-
Verschlüsselung kann nun bearbeitet werden.
UTM 9 Administratorhandbuch
347
10.4 Verschlüsselung
10 Email Protection
2.
Erstellen Sie eine Zertifizierungsinstanz (CA).
Füllen Sie das Formular Zertifizierungsinstanz (CA) für E-Mail-Verschlüsselung aus.Standardmäßig ist das Formular mit den Werten von der Registerkarte Verwaltung
> Systemeinstellungen > Organisatorisches vorausgefüllt.
3.
Klicken Sie auf Speichern.
Die Statusampel wird grün und die folgenden Zertifikate bzw. Schlüssel werden generiert: l
S/MIME-CA-Zertifikat l
Öffnen Sie den PGP-Postmaster-Schlüssel.
Beachten Sie, dass der Generierungsprozess einige Minuten dauern kann.Falls die
Fingerabdrücke des S/MIME-CA-Zertifikats und des OpenPGP-Postmaster-Schlüssels nach einigen Minuten nicht anzeigt werden, klicken Sie auf die Schaltfläche Aktualisieren in der rechten oberen Ecke des WebAdmin. Das Zertifikat und der Schlüssel können heruntergeladen und lokal gespeichert werden.
Verwenden Sie die Schaltfläche E-Mail-Verschlüsselungssystem jetzt zurücksetzen, um alle
Einstellungen im Menü Verschlüsselung in den Auslieferungszustand zurückzusetzen.
10.4.2 Optionen
Auf der Registerkarte Verschlüsselung > Optionen können Sie die Standardrichtlinie für die
Public-Key-Verschlüsselung von Sophos UTM festlegen.
Standardrichtlinie: Legen Sie die Standardrichtlinie bezüglich der E-Mail-Verschlüsselung fest. Diese Einstellungen können allerdings durch benutzerspezifische Einstellungen
überschrieben werden.
Die folgenden Aktionen sind möglich: l
Ausgehende E-Mails signieren l
Ausgehende E-Mails verschlüsseln l
Eingehende E-Mails verifizieren l
Eingehende E-Mails entschlüsseln
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
348
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung
Hinweis – Damit die Verschlüsselung funktioniert, muss der Absender auf der Liste Interne
Benutzer aufgeführt sein. Ausgehende E-Mails für Empfänger, deren S/MIME-Zertifikat oder
öffentlicher OpenPGP-Schlüssel auf dem Gateway installiert ist, werden standardmäßig verschlüsselt. Wenn Sie Verschlüsselung für diese Empfänger deaktivieren wollen, löschen
Sie deren S/MIME-Zertifikate oder öffentliche OpenPGP-Schlüssel.Wenn der UTM
Zertifikate oder öffentliche Schlüssel unbekannt sind, werden diese E-Mails unverschlüsselt versendet.
Automa tische Extr a ktion von S/MI ME-Ze r tifika te n
Wenn diese Option gewählt ist, werden die an eingehende E-Mails angehängten S/MIME-
Zertifikate automatisch extrahiert. Voraussetzung hierfür ist, dass dieses Zertifikat von einer vertrauenswürdigen Zertifizierungsinstanz (CA) signiert wurde, das heißt, von einer CA, die auf dem Gerät vorhanden ist und deshalb unter Email Protection > Verschlüsselung > S/MIME-
CAs angezeigt wird.Zudem muss die Zeit- und Datumsanzeige von Sophos UTM innerhalb der
Gültigkeitsdauer des Zertifikats liegen, da die automatische Extraktion der Zertifikate sonst nicht funktioniert.Erfolgreich extrahierte Zertifikate werden auf der Registerkarte Email Protection >
Verschlüsselung > S/MIME-Zertifikate angezeigt. Beachten Sie, dass dieser Prozess ca. fünf bis zehn Minuten dauern kann.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Ope nPGP-Schlüsse lse r ve r
OpenPGP-Schlüsselserver (engl. keyserver) beherbergen öffentliche PGP-Schlüssel. Sie können hier einen OpenPGP-Schlüsselserver angeben.Bei verschlüsselten eingehenden E-
Mails oder bei ausgehenden E-Mails, die verschlüsselt werden sollen, wird die UTM versuchen, den öffentlichen Schlüssel vom angegebenen Server zu holen, wenn der entsprechende
Schlüssel der UTM noch unbekannt ist.
10.4.3 Interne Benutzer
Für die Signierung und Verschlüsselung von E-Mails muss entweder der S/MIME-Schlüssel oder der private OpenPGP-Schlüssel auf der UTM vorhanden sein.Auf der Registerkarte
Verschlüsselung > Interne Benutzer können Sie für die Benutzer, für die E-Mail-
Verschlüsselung aktiviert werden soll, sowohl ein individuelles S/MIME-Schlüssel/Zertifikat-
Paar als auch ein OpenPGP-Schlüsselpaar erstellen.
Um einen internen E-Mail-Benutzer hinzufügen, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
349
10.4 Verschlüsselung
10 Email Protection
1.
Klicken Sie auf der Registerkarte Interne Benutzer auf Neuer E-Mail-
Verschlüsselungsbenutzer.
Das Dialogfenster Neuen Benutzer erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
E-Mail-Adresse: Geben Sie die E-Mail-Adresse des Benutzers ein.
Vor- und Nachname: Geben Sie den Namen des Benutzers ein.
Signierung: Für die Signierung stehen die folgenden Optionen zur Auswahl: l
Standardrichtlinie verwenden: Die Richtlinie, wie sie auf der Registerkarte
Optionen definiert ist, wird verwendet.
l
Ein: E-Mails werden mit dem Zertifikat des Benutzers signiert.
l
Aus: E-Mails werden nicht signiert.
Verschlüsselung: Für die Verschlüsselung stehen die folgenden Optionen zur
Auswahl: l
Standardrichtlinie verwenden: Die auf der Registerkarte Optionen festgelegte
Richtlinie wird verwendet.
l
Ein: E-Mails werden mit dem öffentlichen Schlüssel des Empfängers verschlüsselt.
l
Aus: E-Mails werden nicht verschlüsselt.
Verifizierung: Für die Verifizierung stehen die folgenden Optionen zur Auswahl: l
Standardrichtlinie verwenden: Die auf der Registerkarte Optionen festgelegte
Richtlinie wird verwendet.
l
Ein: E-Mails werden mit dem öffentlichen Schlüssel des Absenders verifiziert.
l
Aus: E-Mails werden nicht verifiziert.
Entschlüsselung: Für die Entschlüsselung stehen die folgenden Optionen zur
Auswahl: l
Standardrichtlinie verwenden: Die auf der Registerkarte Optionen festgelegte
Richtlinie wird verwendet.
l
Ein: E-Mails werden mit dem Zertifikat des Benutzers entschlüsselt.
l
Aus: E-Mails werden nicht entschlüsselt.
350
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung
S/MIME: Sie können wählen, ob das S/MIME-Zertifikat und der Schlüssel automatisch vom System generiert werden sollen oder ob Sie ein Zertifikat im Format PKCS#12 hochladen wollen.Wenn Sie das Zertifikat hochladen, müssen Sie das Kennwort kennen, mit dem die PKCS#12-Datei geschützt ist.Beachten Sie, dass die PKCS#12-Datei sowohl den S/MIME-Schlüssel als auch das Zertifikat enthalten muss.Ein CA-Zertifikat, das eventuell zusätzlich in der PKCS#12-Datei enthalten ist, wird ignoriert.
OpenPGP: Sie können wählen, ob das OpenPGP-Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht, vom System automatisch generiert werden soll oder ob Sie das Schlüsselpaar im ASCII-Format hochladen wollen.
Beachten Sie, dass der private und der öffentliche Schlüssel in einer einzigen Datei enthalten sein müssen und dass die Datei kein Kennwort enthalten darf.
Hinweis – Falls Sie für einen Benutzer S/MIME und OpenPGP konfigurieren, dann werden die von ihm gesendeten E-Mails mittels S/MIME signiert und verschlüsselt.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der neue Benutzer wird in der Liste Interne Benutzer angezeigt.
Verwenden Sie die Statusampel, um die Benutzung von einem oder beiden Schlüssel abzuschalten ohne die Schlüssel löschen zu müssen.
Hinweis – Aus Sicherheitsgründen kann nur das S/MIME-Zertifikat beziehungsweise der
öffentliche Schlüssel aus dem OpenPGP-Schlüsselpaar heruntergeladen werden.Der
S/MIME-Schlüssel und der private OpenPGP-Schlüssel können nicht vom System heruntergeladen werden.Um Problemen beim Herunterladen von Dateien mit dem Internet
Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese
Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet
Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
UTM 9 Administratorhandbuch
351
10.4 Verschlüsselung
10 Email Protection
10.4.4 S/MIME-CAs
Auf der Registerkarte Verschlüsselung > S/MIME-CAs können Sie die Zertifikate (z. B. den
öffentlichen Schlüssel) einer externen Zertifizierungsinstanz (CA) importieren, der Sie vertrauen. Auf diese Weise sind alle eingehenden E-Mails, deren Zertifikate von dieser CA signiert wurden, ebenfalls vertrauenswürdig.Wenn Sie die Option Automatische Extraktion von
S/MIME-Zertifikaten auf der Registerkarte Email Protection > Verschlüsselung > Optionen ausgewählt haben, werden die Zertifikate dieser CA automatisch extrahiert und auf der
Registerkarte Email Protection > Verschlüsselung > S/MIME-Zertifikate angezeigt.
Um eine externe S/MIME-CA zu importieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte S/MIME-CAs auf Neue externe CA.
Das Dialogfenster Externe CA hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Format: Wählen Sie das Format der CA. Sie können zwischen den folgenden Formaten wählen: l der
(binär) l pem
(ASCII)
Hinweis – Microsoft-Windows-Betriebssysteme nutzen die Dateierweiterung cer für beide Formate, der und pem.Daher müssen Sie im Voraus wissen, ob es sich bei dem
Zertifikat, die Sie hochladen wollen, um das Binär- oder das ASCII-Format handelt.
Wählen Sie dann aus der Auswahlliste das entsprechende Format aus.
Zertifikat: Klicken Sie auf das Ordnersymbol, um das Dialogfenster Datei hochladen zu
öffnen.Wählen Sie die Datei aus und klicken Sie auf Hochladen starten.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die CA wird in der Liste S/MIME-CAs angezeigt.
Sophos UTMwird standardmäßig mit einigen öffentlichen Schlüsseln von kommerziellen CAs
(Zertifizierungsinstanzen) ausgeliefert, um die E-Mail-Verschlüsselung zwischen Ihrem
Unternehmen und Ihren Kommunikationspartnern zu erleichtern, die eine PKI (Public-Key-
352
UTM 9 Administratorhandbuch
10 Email Protection
10.4 Verschlüsselung
Infrastruktur) unterhalten, welche auf diesen CAs basiert.Nachfolgend sind einige URLs zu bekannten Zertifizierungsanbietern aufgeführt: l
Trustcenter l
S-TRUST l
Thawte l
VeriSign l
GeoTrust
Zusätzlich können Sie die CA einer anderen Sophos UTM installieren. Dadurch ermöglichen
Sie eine transparente E-Mail-Verschlüsselung zwischen beiden Sophos UTMs.
10.4.5 S/MIME-Zertifikate
Auf der Registerkarte Verschlüsselung > S/MIME-Zertifikate können Sie externe S/MIME-
Zertifikate importieren. E-Mails an Empfänger, deren Zertifikate auf dieser Registerkarte aufgeführt sind, werden automatisch verschlüsselt. Wenn für einen bestimmten Empfänger die
E-Mails nicht verschlüsselt werden sollen, löschen Sie einfach das entsprechende Zertifikat aus der Liste.
Hinweis – Wenn Sie ein S/MIME-Zertifikat manuell hochladen, wird Nachrichten von E-Mail-
Adressen, die mit diesem Zertifikat verknüpft sind, immer vertraut. Selbst wenn kein CA-
Zertifikat verfügbar ist, mit dem die Identität der Person auf dem Zertifikat überprüft werden könnte. Das bedeutet also, dass manuell hochgeladene S/MIME-Zertifikate immer als vertrauenswürdig gelten.
Um ein externes S/MIME-Zertifikat zu importieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte S/MIME-Zertifikate auf Neues externes
S/MIME-Zertifikat.
Das Dialogfenster S/MIME-Zertifikat hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Format: Wählen Sie das Format des Zertifikats. Sie können zwischen den folgenden
Formaten wählen: l pem
(ASCII) l der
(binär)
UTM 9 Administratorhandbuch
353
10.4 Verschlüsselung
10 Email Protection
Hinweis – Microsoft-Windows-Betriebssysteme nutzen die Dateierweiterung cer für beide Formate, der und pem. Daher müssen Sie im Voraus wissen, ob es sich bei der
Datei, die Sie hochladen wollen, um das binär- oder das ASCII-Format handelt.
Wählen Sie dann aus der Auswahlliste das entsprechende Format aus.
Zertifikat: Klicken Sie auf das Ordnersymbol, um das Dialogfenster Datei hochladen zu
öffnen.Wählen Sie die Datei aus und klicken Sie auf Speichern.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das neue S/MIME-Zertifikat wird in der Liste S/MIME-Zertifikate angezeigt.
10.4.6 OpenPGP-Schlüssel
Auf der Registerkarte Verschlüsselung > OpenPGP-Schlüssel können Sie öffentliche
OpenPGP-Schlüssel installieren.Die Dateien müssen im .asc-Format vorliegen. Sie können auch ganze Schlüsselbunde (engl. keyrings) hochladen.
Hinweis – Importieren Sie keine Schlüsselbunddateien, die durch ein Kennwort geschützt sind.
Alle öffentlichen Schlüssel aus dem Schlüsselbund werden importiert und können dazu verwendet werden, Nachrichten zu verschlüsseln. E-Mails an Empfänger, deren öffentliche
Schlüssel auf dieser Registerkarte aufgeführt sind, werden automatisch verschlüsselt. Wenn für einen bestimmten Empfänger die E-Mails nicht verschlüsselt werden sollen, löschen Sie einfach den entsprechenden öffentlichen Schlüssel aus der Liste.
Hinweis – Pro Schlüssel wird nur eine E-Mail-Adresse unterstützt. Falls einem Schlüssel mehrere E-Mail-Adressen zugeordnet sind, wird nur die „erste‟ E-Mail-Adresse verwendet
(die Reihenfolge hängt von der Sortierung durch OpenPGP ab).Wenn Sie einen Schlüssel importieren möchten, der über mehrere E-Mail-Adressen verfügt, so müssen Sie vorher die unerwünschten Adressen mit OpenPGP oder einem anderen Programm entfernen, bevor
Sie den Schlüssel in Sophos UTM importieren.
Um einen öffentlichen OpenPGP-Schlüssel zu importieren, gehen Sie folgendermaßen vor:
354
UTM 9 Administratorhandbuch
10 Email Protection
10.5 Quarantänebericht
1.
Klicken Sie auf der Registerkarte OpenPGP-Schlüssel auf Schlüsselbund
importieren.
Das Dialogfenster OpenPGP-Schlüsselbund importieren wird geöffnet.
2.
Laden Sie den/die OpenPGP-Schlüssel hoch.
Klicken Sie auf das Ordnersymbol, um das Dialogfenster Datei hochladen zu
öffnen.Wählen Sie die Datei aus und klicken Sie auf Hochladen starten.
Der Schlüssel oder, wenn die Datei mehrere Schlüssel enthält, die Liste von Schlüsseln wird angezeigt.
3.
Wählen Sie einen oder mehrere Schlüssel aus und klicken Sie auf Gewählte
Schlüssel importieren.
Der/die Schlüssel werden in der Liste OpenPGP-Schlüssel angezeigt.
Hinweis – Dem Schlüssel muss eine E-Mail-Adresse zugeordnet sein. Ansonsten schlägt die
Installation fehl.
10.5 Quarantänebericht
Sophos UTMbesitzt eine E-Mail-Quarantäne, die alle Nachrichten enthält (SMTP und POP3) die aus verschiedenen Gründen blockiert und unter Quarantäne gestellt wurden. Das schließt
Nachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten, die mit schädlicher
Software infiziert sind, verdächtige Anhänge enthalten, als Spam identifiziert wurden oder einfach unerwünschte Ausdrücke enthalten.
Um das Risiko zu minimieren, dass Nachrichten irrtümlicherweise zurückgehalten werden
(sogenannte Fehlfunde), Sophos UTM täglich einen Quarantänebericht an jeden Benutzer, der die Benutzer über Nachrichten informiert, die sich in Quarantäne befinden. Benutzer mit mehreren E-Mail-Adressen erhalten einen individuellen Quarantänebericht für jede konfigurierte E-Mail-Adresse.Das gilt auch für zusätzliche POP3-Konten, die für einen
Benutzer im
Benutzerportal , konfiguriert sind, vorausgesetzt der POP3-Proxy von Sophos
UTM befindet sich im Vorabholenmodus. Im Vorabholenmodus werden die E-Mails vom
POP3-Server vorab abgerufen und in einer lokale Datenbank abgelegt.Im Quarantänebericht kann der Benutzer auf eine Spam-E-Mail klicken, um diese Nachricht aus der Quarantäne freizugeben, oder er kann den Absender für zukünftige Nachrichten einer Positivliste (Whitelist) hinzufügen.
Die folgende Liste enthält weitere Informationen zum Quarantänebericht:
UTM 9 Administratorhandbuch
355
10.5 Quarantänebericht
10 Email Protection
l
Quarantäneberichte werden nur an Benutzer geschickt, deren E-Mail-Adresse zu einer
Domäne gehört, die in einem SMTP-Profil enthalten ist.Dies beinhaltet sowohl die
Angaben im Feld Domänen auf der Registerkarte SMTP >
als auch die
Angaben im Feld Domänen aller SMTP-Profile.
l
Wenn die POP3-Option Vorabholen ausgeschaltet ist, werden Nachrichten in
Quarantäne, die an dieses Konto geschickt wurden, nicht im Quarantänebericht aufgeführt.Stattdessen wird dem Benutzer die typische Sophos-Benachrichtigung über blockierte POP3-Nachrichten geschickt. Dadurch ist es dann nicht – wie über den
Quarantänebericht oder das Benutzerportal – möglich, die E-Mails freizugeben.Diese E-
Mails können dann nur vom Administrator über den
im zip-Format heruntergeladen werden.
l
Nur Spam-E-Mails können aus der Quarantäne freigegeben werden.Nachrichten, die sich aus anderen Gründen in Quarantäne befinden, z. B. weil sie Viren oder verdächtige
Dateianhänge enthalten, können nur vom Administrator über den Mail-Manager von
Sophos UTM freigegeben werden.Außerdem können Benutzer all ihre Nachrichten in
Quarantäne über das Benutzerportal von Sophos einsehen.
l
Wenn eine Spam-E-Mail mehrere Empfänger hat, wie es oft bei Verteilerlisten (auch engl. mailing list) der Fall ist, und einer der Empfänger die E-Mail freigibt, wird die E-Mail nur für diesen Empfänger freigegeben, vorausgesetzt die E-Mail-Adresse der
Verteilerliste ist auf dem System konfiguriert. Andernfalls wird die E-Mail an alle
Empfänger gleichzeitig geschickt.Weitere Informationen finden Sie unter der Option
Interne Verteilerlisten definieren auf der Registerkarte Email Protection >
Quarantänebericht >
.
l
E-Mails, die an eine SMTP-E-Mail-Adresse geschickt wurden, für die kein Benutzer auf
Sophos UTM konfiguriert ist, können vom Administrator über den Quarantänebericht oder den Mail-Manager freigegeben (aber nicht auf die Positivliste gesetzt) werden. Da der Benutzer nicht konfiguriert ist, ist jedoch kein Zugriff über das Benutzerportal möglich.
l
An Verteilerlisten geschickte Spam-Mails können grundsätzlich nicht einer Positivliste hinzugefügt werden.
l
Einige E-Mail-Programme kodieren den Header einer E-Mail nicht korrekt, was zu einer etwas merkwürdigen Darstellung dieser E-Mails im Quarantänebericht führen kann.
356
UTM 9 Administratorhandbuch
10 Email Protection
10.5 Quarantänebericht
10.5.1 Allgemein
Auf der Registerkarte Quarantänebericht > Allgemein können Sie festlegen, zu welcher Zeit der tägliche Quarantänebericht versendet werden soll. Zusätzlich können Sie eine Nachricht schreiben, die an die Quarantäneberichte angehängt wird.
Um die Einstellungen für den Quarantänebericht zu bearbeiten, aktivieren Sie den
Quarantänebericht: Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche
Enable.
Die Statusampel wird grün.
Ze itpunkt für de n Be r ichtve r sa nd
Hier können Sie festlegen, wann der tägliche Quarantänebericht versendet werden soll.Wählen Sie die Zeit mit Hilfe der Auswahlliste aus und klicken Sie auf Übernehmen.
Sie können auch einen zusätzlichen Bericht versenden.Wählen Sie dazu die Option
Zusatzbericht senden, stellen Sie die Zeit ein und klicken Sie auf Übernehmen.
Anpa ssba r e r Na chr ichte nte xt
Hier können Sie den Text anpassen, der als Einleitung zum Quarantänebericht dient.Ändern
Sie den Nachrichtentext nach Ihren Wünschen und klicken Sie auf Übernehmen.
Hinweis – Es ist nicht möglich, HTML-Tags im Feld für den Nachrichtentext zu verwenden.
Hinweis – Anpassungen sind nicht möglich, wenn Sie eine Home-Use-Lizenz verwenden.
10.5.2 Ausnahmen
Auf der Registerkarte Quarantänebericht > Ausnahmen können Sie Ausnahmenlisten für E-
Mail-Adressen definieren, um sie von den täglichen Quarantäneberichten auszunehmen.
Von Qua r a ntä ne be r ichte n a usne hme n
Hier können Sie die interne E-Mail-Adressen definieren, für die keine Quarantäneberichte versendet werden sollen. Benutzer, deren E-Mail-Adressen hier aufgeführt sind, erhalten keine täglichen Quarantäneberichte.Sie können vollständige E-Mail-Adressen eingeben oder einen Asterisk (*) als Platzhalter verwenden, z. B. *@example.com.
UTM 9 Administratorhandbuch
357
10.5 Quarantänebericht
10 Email Protection
Hinweis – Diese Ausnahmen gelten nur für den SMTP-Quarantänebericht.Wenn für einen
Benutzer ein POP3-Konto angelegt ist, wird der POP3-Quarantänebericht auch versendet.
I nte r ne Ve r te ile r liste n de finie r e n
Wenn die E-Mail-Adresse einer Verteilerliste im Feld Adressmuster von Verteilerlisten konfiguriert ist (z. B. [email protected]) und eine Spam-E-Mail, die an diese
Verteilerliste gesendet wurde, entdeckt und unter Quarantäne gestellt wurde, dann wird der
Quarantänebericht aller Empfänger dieser Verteilerliste einen Link zu dieser Spam-E-Mail enthalten.Dadurch kann jeder Empfänger die Spam-E-Mail für sich freigeben, indem er seine
E-Mail-Adresse in das Dialogfenster eingibt, das erscheint, wenn er auf den Freigeben-Link im
Quarantänebericht geklickt hat.
Hinweis – Verteilerlisten können nicht über den Quarantänebericht oder das Benutzerportal auf die Positivliste (Whitelist) gesetzt werden.
Alternativ könnten Sie die E-Mail-Adresse dieser Verteilerliste einem lokalen Benutzer als zusätzliche E-Mail-Adresse in dessen Profil eintragen, wodurch dieser Benutzer zu einer Art
Mail-Verwalter werden würde. Nur der Quarantänebericht dieses Benutzers besitzt dann einen Link zu der Spam-E-Mail, die an die Verteilerliste geschickt wurde.Ein Klick auf den
Freigeben-Link würde dann die Spam-E-Mail an alle Empfänger der Verteilerliste auf einmal versenden.
Hinweis – Wenn die E-Mail-Adresse einer Verteilerliste als zusätzliche E-Mail-Adresse bei einem Benutzerprofil eingetragen ist, wird den übrigen Empfängern dieser Verteilerliste kein
Freigeben-Link bei Spam-E-Mails angezeigt, die an diese Liste gesendet wurden.
Wenn die E-Mail-Adresse der Verteilerliste allerdings in einem Benutzerkonto als zusätzliche
Adresse und gleichzeitig auch im Feld Adressmuster von Verteilerlisten eingetragen ist, dann wird im Quarantänebericht mit der Aktion Freigeben eine Eingabeaufforderung geöffnet. Der
Benutzer kann dann bestimmen, an wen die Spam-Mail zugestellt wird, indem er die entsprechende(n) E-Mail-Adresse(n) manuell in die Eingabeaufforderung einträgt.
Letztlich, wenn die E-Mail-Adresse der Verteilerliste weder in einem Benutzerkonto als zusätzliche Adresse noch im Feld Adressmuster von Verteilerlisten eingetragen ist, dann wird eine an diese Verteilerliste gesendete Spam-E-Mail wie eine normale E-Mail behandelt, d. h.
358
UTM 9 Administratorhandbuch
10 Email Protection
10.5 Quarantänebericht wenn einer der Empfänger der Verteilerliste die Spam-E-Mail aus der Quarantäne freigibt, wird diese gleichzeitig auch an alle anderen Empfänger der Verteilerlisten geschickt.
Zusammenfassend gesagt, wann immer die E-Mail-Adresse einer Verteilerliste als
Verteilerlisten-Adressmuster konfiguriert ist, erhält jeder Benutzer, der einen Freigabe-Link für die Spam-E-Mail in seinem Quarantänebericht hat, eine Eingabeaufforderung, in die er eine E-
Mail-Adresse eingeben muss, an welche die Spam-E-Mail gesendet werden soll.
10.5.3 Erweitert
Auf der Registerkarte Quarantänebericht > Erweitert können Sie eine(n) alternative(n)
Hostnamen und Portnummer für die Freigeben-Links im Quarantänebericht definieren.
Zusätzlich können Sie die Freigabeoptionen für Spam-E-Mails ändern.
Er we ite r te Optione n de s Qua r a ntä ne be r ichts
Hostname: Standardmäßig ist der Hostname des Gateways voreingestellt, wie er auf der
Registerkarte Verwaltung > Systemeinstellungen > Hostname angegeben ist. Der
Quarantänebericht, der täglich vom Gateway verschickt wird, enthält Hyperlinks, auf die der
Benutzer klicken kann, um eine Nachricht aus der Quarantäne freizugeben. Standardmäßig zeigen diese Links auf den hier angegebenen Hostnamen. Wenn Sie jedoch ermöglichen wollen, dass Benutzer ihre E-Mails über das Internet freigeben können, kann es notwendig sein, einen alternativen Hostnamen anzugeben, der öffentlich aufgelöst werden kann.
Port: Standardmäßig ist der Port 3840 eingestellt.Sie können den Port auf einen beliebigen
Wert zwischen 1024 und 65535 ändern.
Zugelassene Netzwerke: Sie können auch Netzwerke angeben, denen gestattet ist, sich mit dem Freigabedienst zu verbinden. Standardmäßig ist nur das interne Netzwerk ausgewählt.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Fr e iga be optione n
Hier können Sie auswählen, welche Arten von Nachrichten in Quarantäne durch Benutzer freigegeben werden dürfen. Sie können zwischen den folgenden Optionen wählen: l
Schadsoftware l
Spam l
Ausdruck l
Dateierweiterung
UTM 9 Administratorhandbuch
359
10.6 Mail-Manager l
Unscannbar l
MIME l
Andere
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
10 Email Protection
10.6 Mail-Manager
Der Mail-Manager ist ein administratives Werkzeug, mit dem alle E-Mails verwaltet und organisiert werden, die derzeit auf dem System gespeichert sind. Das schließt Nachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten in Quarantäne, die mit schädlicher
Software infiziert sind, verdächtige Anhänge enthalten, als Spam identifiziert wurden oder einfach unerwünschte Ausdrücke enthalten. Sie können den Mail-Manager dazu verwenden, alle Nachrichten einzusehen, bevor Sie sie herunterladen, freigeben oder löschen. Der Mail-
Manager unterstützt UTF-8.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
360
UTM 9 Administratorhandbuch
10 Email Protection
10.6.1 Mail-Manager-Fenster
10.6 Mail-Manager
Bild 20 Mail-Manager vonSophos UTM
Um das Fenster mit dem Mail-Manager zu öffnen, klicken Sie auf die Schaltfläche Mail-
Manager in neuem Fenster öffnen auf der Registerkarte Email Protection > Mail-Manager >
Allgemein. Der Mail-Manager ist in fünf verschiedene Registerkarten unterteilt: l
SMTP Quarantine: Die SMTP-Quarantäne zeigt alle Nachrichten an, die momentan unter Quarantäne stehen.
l
SMTP Spool: SMTP-Spool zeigt alle Nachrichten an, die sich momentan in
/var/spool befinden. Dies kann der Fall sein, wenn sie auf ihre Zustellung warten oder aufgrund eines Fehlers.
l
SMTP Log: Das SMTP-Protokoll zeigt das Zustellungsprotokoll für alle Nachrichten, die
über SMTP verarbeitet wurden.
l
POP3 Quarantine: Die POP3-Quarantäne zeigt alle Nachrichten an, die über POP3 geholt wurden und momentan unter Quarantäne stehen.
l
Close: Klicken Sie hier, um das Mail-Manager-Fenster zu schließen.
UTM 9 Administratorhandbuch
361
10.6 Mail-Manager
10 Email Protection
10.6.1.1 SMTP-/POP3-Quarantäne
Nachrichten in der SMTP- und POP3-Quarantäne können so angezeigt werden, dass der
Grund für ihren Quarantäneaufenthalt deutlich wird: l
Schadsoftware l
Spam l
Ausdruck l
Dateierweiterung l
MIME-Typ (nur SMTP) l
Unscannbar l
Andere
Verwenden Sie die Auswahlkästchen, um die Quarantäneursache auszuwählen.
Doppelklicken Sie das Auswahlkästchen einer Ursache, um ausschließlich diese Ursache auszuwählen.
Tipp – Doppelklicken Sie auf eine Nachricht, um sie anzuschauen.
Profil/Domäne (SMTP), Konten (POP3): Wählen Sie ein Profil, eine Domäne oder ein Konto aus, um nur Nachrichten anzuzeigen, die mit diesem/dieser verknüpft sind.
Abs./Empf./Betr.-Teilausdruck: Hier können Sie einen Absender, Empfänger oder Betreff eingeben (oder einen Wortteil davon), nach dem in den Quarantäne-Nachrichten gesucht werden soll.
Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten Zeitraums eingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über das
Kalendersymbol.
Sortieren nach: Nachrichten können nach Datum, Betreff, Absenderadresse und
Nachrichtengröße sortiert werden.
und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das
Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
362
UTM 9 Administratorhandbuch
10 Email Protection
10.6 Mail-Manager
Verwenden Sie das Auswahlkästchen vor jeder Nachricht oder klicken Sie auf eine Nachricht, um sie auszuwählen und dann Aktionen für die gewählten Nachrichten ausführen zu können.
Die folgenden Aktionen sind möglich: l
Herunterladen: Die gewählten Nachrichten werden heruntergeladen.
l
Löschen: Die gewählten Nachrichten werden unwiderruflich gelöscht.
l
Freigeben: Die gewählten Nachrichten werden aus der Quarantäne freigegeben.
l
Freigeben und als Fehlfund melden: Die gewählten Nachrichten werden aus der
Quarantäne freigegeben und als Fehlfund (false positive) an das Spam-Scan-
Programm gemeldet.
Beachten Sie, dass nur der Administrator alle Nachrichten aus der Quarantäne freigeben kann.Benutzer, die ihre Nachrichten im Sophos Benutzerportal einsehen, können nur
Nachrichten freigeben, für die ihnen das explizit gestattet ist.Die Autorisierungseinstellungen dafür finden Sie auf der Registerkarte Email Protection > Quarantänebericht >
.
Globale Aufräumaktion wählen: Hier finden Sie einige Löschoptionen, die auf alle
Nachrichten global angewendet werden, das heißt, unabhängig davon, ob sie ausgewählt sind und/oder angezeigt werden oder nicht.
Warnung – Gelöschte Nachrichten können nicht wiederhergestellt werden.
10.6.1.2 SMTP-Spool
Hier sehen Sie Nachrichten, die entweder darauf warten, zugestellt zu werden, oder einen
Fehler verursacht haben. Das Zustellungsprotokoll ist auch Teil des Headers einer Nachricht.
Verwenden Sie die folgenden Auswahlkästchen, um nur eine Sorte von Nachrichten zur
Ansicht auszuwählen: l
Ausstehend: Nachrichten, deren Zustellung noch aussteht.
l
Fehler: Nachrichten, die einen Fehler verursacht haben.Wenn eine Nachricht mehr als einmal einen Fehler verursacht, melden Sie den Fall bitte Ihrem Sophos Partner oder dem Sophos Support-Team.
Tipp – Doppelklicken Sie auf eine Nachricht, um sie anzuschauen.
Profil/Domäne: Wählen Sie ein Profil oder eine Domäne aus, um nur dessen/deren
Nachrichten zu sehen.
UTM 9 Administratorhandbuch
363
10.6 Mail-Manager
10 Email Protection
Abs./Empf./Betr.-Teilausdruck: Hier können Sie einen Absender, Empfänger oder Betreff eingeben (oder einen Wortteil davon), nach dem in den Nachrichten im Spool gesucht werden soll.
Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten Zeitraums eingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über das
Kalendersymbol.
Sortieren nach: Nachrichten können nach Datum, Absenderadresse, Betreff und
Nachrichtengröße sortiert werden.
und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das
Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
Verwenden Sie das Auswahlkästchen vor jeder Nachricht oder klicken Sie auf eine Nachricht, um sie auszuwählen und dann Aktionen für die gewählten Nachrichten ausführen zu können.
Die folgenden Aktionen sind möglich: l
Herunterladen: Die gewählten Nachrichten werden heruntergeladen.
l
Erneut versuchen: Es wird sofort erneut versucht, die gewählten Nachrichten zuzustellen.
l
Löschen: Die gewählten Nachrichten werden unwiderruflich gelöscht.
l
Zurückweisen: Die gewählten Nachrichten werden zurückgewiesen, das heißt, der
Absender erhält eine Nachricht, dass die Zustellung seiner Nachricht abgebrochen wurde, weil sie unzustellbar war.
Globale Aufräumaktion wählen: Hier finden Sie eine Wiederholungsoption sowie einige
Löschoptionen, die auf alle Nachrichten global angewendet werden, das heißt, unabhängig davon, ob sie ausgewählt sind und/oder angezeigt werden oder nicht.
Warnung – Gelöschte Nachrichten können nicht wiederhergestellt werden.
10.6.1.3 SMTP-Protokoll
Das SMTP-Protokoll (SMTP Log) zeigt die Protokollmeldungen für alle über SMTP verarbeiteten Nachrichten.
Ergebnisfilter: Wählen Sie aus, welche Arten von Nachrichten angezeigt werden, indem Sie die entsprechenden Auswahlkästchen markieren.
364
UTM 9 Administratorhandbuch
10 Email Protection
10.6 Mail-Manager l
Zugestellt: Erfolgreich zugestellte Nachrichten.
l
Abgelehnt: Nachrichten, die von der UTM abgelehnt wurden.
l
In Quarantäne: Nachrichten, die unter Quarantäne gestellt wurden.
l
Verworfen: Nachrichten, die ohne Benachrichtigung gelöscht wurden.
l
Abgebrochen: Nachrichten, deren Zustellung manuell unter SMTP Spool abgebrochen wurde.
l
Zurückgewiesen: Nachrichten, die nicht zugestellt werden konnten, aufgrund von z. B.
falschen Routing-Einstellungen.
l
Gelöscht: Manuell gelöschte Nachrichten.
l
Unbekannt: Nachrichten, deren Status unbekannt ist.
Verwenden Sie die Auswahlkästchen, um Ergebnisfilter-Optionen an- oder abzuwählen.
Doppelklicken Sie eine Option, um ausschließlich diese Option auszuwählen.
Ursachenfilter: Verwenden Sie die Auswahlkästchen, um das Nachrichtenprotokoll weiter zu filtern.
Hinweis – Doppelklicken Sie ein Nachrichtenprotokoll, um es anzuschauen. Klicken Sie auf das Serversymbol einer Nachricht, um die IP-Adresse aufzulösen. Ein Asterisk (*) kennzeichnet einen erfolgreichen Reverse-DNS-Lookup.
Profil/Domäne: Wählen Sie ein Profil oder eine Domäne aus, um nur dessen/deren
Nachrichten zu sehen.
IP/Netz/Adresse/Betr. -Teilausdruck: Hier können Sie eine IP-Adresse, Netzwerkadresse oder einen Betreff eingeben, um danach in den SMTP-Protokollmeldungen zu suchen.
Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten Zeitraums eingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über das
Kalendersymbol.
Sortieren nach: Nachrichten können nach Ereignisdatum, Absenderadresse und
Nachrichtengröße sortiert werden.
und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seite angezeigt werden sollen oder alle Nachrichten auf einmal.Beachten Sie, dass das Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
UTM 9 Administratorhandbuch
365
10.6 Mail-Manager
10 Email Protection
10.6.2 Allgemein
Im oberen Bereich der Registerkarte Mail-Manager > Allgemein können Sie den Mail-Manager
öffnen, indem Sie auf die Schaltfläche Mail-Manager in neuem Fenster öffnen klicken.
Im unteren Bereich bietet der Abschnitt Statistischer Überblick eine Übersicht über alle
Nachrichten, die augenblicklich auf dem System gespeichert sind.Die Daten sind unterteilt in
Nachrichten, die über SMTP und solche, die über POP3 zugestellt wurden. Für beide Arten werden die folgenden Informationen angezeigt: l
Warten auf Auslieferung (Spooled) (nur SMTP): Hierbei handelt es sich um Mails, die sich in Spool befinden, z. B. weil sie gescannt wurden und bis jetzt noch nicht ausgeliefert werden konnten.
l
Legitime Nachrichten insgesamt (nur POP3): Mails, die vom System vorab geholt wurden und bisher noch nicht von einem Client/Benutzer abgeholt wurden.
l
Schadsoftware in Quarantäne: Die Anzahl an Nachrichten, die Schadsoftware enthalten, wie z. B. Viren oder anderen schädlichen Inhalt.
l
Spam in Quarantäne: Die Anzahl an Nachrichten, die als Spam identifiziert und deshalb unter Quarantäne gestellt wurden.
l
Ausdruck in Quarantäne: Die Anzahl an Nachrichten, die unter Quarantäne gestellt wurden, weil sie unerwünschte Ausdrücke enthalten.
l
Dateierweiterung in Quarantäne: Die Anzahl an Nachrichten, die unter Quarantäne stehen, weil sie verdächtige Dateianhänge (die über ihre Dateierweiterung identifiziert wurden) enthalten.
l
Unscannbarer Inhalt in Quarantäne: Die Anzahl an Nachrichten, die unter
Quarantäne stehen, weil sie nicht gescannt werden konnten.
l
MIME-Typ in Quarantäne (nur SMTP): Die Anzahl an Nachrichten, die unter
Quarantäne stehen, weil sie einen MIME-Typ haben, der laut den SMTP-Einstellungen gefiltert werden soll.
l
In Quarantäne insgesamt: Die Gesamtzahl an Nachrichten, die unter Quarantäne stehen.
366
UTM 9 Administratorhandbuch
10 Email Protection
10.6 Mail-Manager
Hinweis – Die Zahlen für Warten auf Auslieferung geben einen Echtzeit-Ausschnitt der
SMTP-Nachrichten wieder.Für POP3-Nachrichten hingegen stellen die Zahlen die
Anhäufung der Daten seit dem letzten
dar.
Unten sehen Sie eine kurze Statistik über die SMTP-Quarantäne und die Ablehnungen der letzten 24 Stunden: l
Schadsoftware in Quarantäne/abgelehnt: Nachrichten, die unter Quarantäne gestellt oder abgelehnt wurden, weil sie schädlichen Inhalt besitzen.
l
Spam in Quarantäne/abgelehnt: Nachrichten, die unter Quarantäne gestellt oder abgelehnt wurden, weil sie als Spam identifiziert wurden.
l
Ablehnungen durch Blacklist: Nachrichten, die abgelehnt wurden, weil ihr Absender auf der Negativliste geführt wird.
l
Ablehnungen nach Adressüberprüfung: Nachrichten, die abgelehnt wurden, weil ihre Absenderadresse nicht verifiziert werden konnte.
l
Ablehnungen durch SPF: Nachrichten, die abgelehnt wurden, weil der sie sendende
Host nicht zugelassen ist.
l
Ablehnung durch RBL: Nachrichten, die abgelehnt wurden, weil der Absender auf einer Echtzeit-Blackhole-Liste geführt wird.
l
Ablehnungen durch BATV: Nachrichten, die abgelehnt wurden, weil das BATV-Tag ungültig war.
l
Ablehnungen durch RDNS/HELO: Nachrichten, die abgelehnt wurden, weil das
HELO ungültig war oder RDNS-Einträge fehlten.
Ob es überhaupt Ablehnungen gibt, hängt von Ihren Einstellungen unter Email Protection >
SMTP ab.
10.6.3 Konfiguration
Auf der Registerkarte Mail-Manager > Konfiguration wird definiert, nach wie vielen Tagen das
Datenbankprotokoll geleert beziehungsweise die unter Quarantäne gestellten E-Mails gelöscht werden. Alle Protokolle und E-Mails, die älter sind als die hier eingestellte Anzahl an Tagen, werden automatisch gelöscht.
Die Voreinstellungen sehen folgendermaßen aus:
UTM 9 Administratorhandbuch
367
10.6 Mail-Manager
10 Email Protection
l
Das Datenbankprotokoll wird nach drei Tagen geleert. Die maximal erlaubte Anzahl an
Tagen beträgt 30 Tage.
l
Nachrichten in Quarantäne werden nach 14 Tagen gelöscht. Die maximal erlaubte
Anzahl an Tagen beträgt 999 Tage.
Die minimal erlaubte Anzahl an Tagen für sowohl das Datenbankprotokoll als auch die
Quarantäne beträgt einen Tag.
Da te nba nkpr otokoll le e r e n
Diese Option ist nützlich, wenn sich im Datenbankprotokoll eine enorme Menge an Daten angesammelt hat und Sie das Protokoll sofort leeren möchten. Auf diese Weise müssen Sie nicht warten, bis die normale Aufräumaktion durchgeführt wird.
368
UTM 9 Administratorhandbuch
11 Endpoint Protection
10.6 Mail-Manager
11 Endpoint Protection
Über das Menü Endpoint Protection können Sie den Schutz der Endpoints in Ihrem Netzwerk verwalten, z. B. von Desktop-Computern, Servern und Laptops.UTMist der Ort der
Konfiguration von Endpoint Protection, an dem Sie die Software für Endpoints herunterladen, sich einen Überblick über die geschützten Endpoints verschaffen, Antivirus- und Device
Control-Richtlinien einrichten, Endpoints gruppieren und die definierten Richtlinien den
Endpoint-Gruppen zuordnen können.
Endpoint Protection nutzt den zentralen Dienst Sophos LiveConnect.Dieser Cloud-basierte
Dienst wird automatisch für die Verwendung mit der UTM konfiguriert, wenn Sie Endpoint
Protection aktivieren. LiveConnect ermöglicht Ihnen jederzeit die Verwaltung von Endpoints in
Ihrem lokalen Netzwerk, an entfernten Standorten oder bei mobilen Benutzern. Der
LiveConnect-Dienst umfasst Folgendes: l
Ein vorkonfiguriertes Installationspaket für den Endpoint-Agent l
Richtlinienumsetzung und Aktualisierungen für Endpoints l
Sicherheitsaktualisierungen und Definitionen für Endpoints l
Zentrale Protokoll- und Berichtsdaten zur zentralen Überwachung von Endpoints über den WebAdmin
Da es sich bei LiveConnect um einen Cloud-basierten Dienst handelt, benötigen Sie eine aktive
Internetverbindung, um den Dienst nutzen zu können. Verwaltete Endpoints benötigen ebenfalls eine Internetverbindung, um Richtlinien- und Sicherheitsaktualisierungen empfangen zu können.
Die Abbildung unten zeigt ein Beispiel für die Implementierung von Sophos UTM Endpoint
Protection mit Nutzung des LiveConnect-Diensts.
UTM 9 Administratorhandbuch
369
10.6 Mail-Manager
11 Endpoint Protection
Bild 21 Endpoint Protection: Übersicht
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
Wenn Endpoint Protection aktiviert ist, werden auf der Übersichtsseite allgemeine
Informationen zu registrierten Computern und deren Status angezeigt. Sie können diese Liste sortieren und durchsuchen.Wenn der Status eines Endpoints nicht Ok lautet, können Sie den
Status anklicken, um ein Fenster mit weiteren Informationen zu öffnen.Der Status Keine
Übereinstimmung weist darauf hin, dass die Geräteeinstellungen derzeit nicht mit der
Konfiguration der UTM übereinstimmen. Um dieses Problem zu beheben, müssen Sie über einen Link im Fenster die aktuellen Endpoint-Einstellungen an den Endpoint senden. Für andere Status können Sie die Informationen bestätigen und entscheiden, welche Maßnahmen erforderlich sind.
Endpoint Pr ote ction Live -Pr otokoll öffne n
Das Live-Protokoll von Endpoint Protection stellt Informationen über die Verbindungen zwischen den Endpoints, LiveConnect und der UTM sowie Sicherheitsinformationen über die
370
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.1 Computerverwaltung
Endpoints bereit.Klicken Sie auf die Schaltfläche Endpoint Protection Live-Protokoll öffnen, um das Live-Protokoll in einem neuen Fenster zu öffnen.
11.1 Computerverwaltung
Auf den Seiten Endpoint Protection > Computerverwaltung können Sie den Schutz für einzelne
Computer, die mit Ihrer Sophos UTM verbunden sind, aktivieren und verwalten.
Sie können nach einer Installationsdatei für Endpoints suchen und diese verwenden und sich einen Überblick über alle Computer verschaffen, auf denen Endpoint Protection installiert ist.
Sie können Gerätegruppen mit abweichenden Schutzeinstellungen definieren.
11.1.1 Allgemein
Auf der Registerkarte Endpoint Protection > Computerverwaltung > Allgemein können Sie
Endpoint Protection aktivieren und deaktivieren.
Um Endpoint Protection zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und einige Felder mit Details zu Ihrer Organisation werden angezeigt.
2.
Geben Sie Informationen zu Ihrer Organisation ein.
Standardmäßig werden die Einstellungen von der Registerkarte Verwaltung >
Systemeinstellungen > Organisatorisches verwendet.
3.
Klicken Sie auf Endpoint Protection aktivieren.
Die Statusampel wird grün und Endpoint Protection wird aktiviert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe Statusampel.
Auf der Seite Agent installieren können Sie nun im nächsten Schritt ein Endpoint-Protection-
Installationspaket auf den zu überwachenden Computern installieren.
Hinweis – Wenn der Webfilter und der transparente Modus aktiv sind, sind zusätzliche
Einstellungen erforderlich, um sicherzustellen, dass Endpoint Protection wie vorgesehen an den Endpoints eingesetzt werden kann. Wenn Endpoint Protection aktiviert ist, erstellt die
UTM 9 Administratorhandbuch
371
11.1 Computerverwaltung
11 Endpoint Protection
UTM die DNS-Gruppe Sophos LiveConnect automatisch.Fügen Sie diese DNS-Gruppe im
Feld Transparenzmodus-Zielhosts/-netze ausnehmen auf der Registerkarte Web Protection
> Webfilter > Erweitert hinzu.
Um Endpoint Protection zu deaktivieren, gehen Sie folgendermaßen vor:
1.
Deaktivieren Sie Endpoint Protection auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel oder auf die Schaltfläche Deaktivieren klicken.
Die Statusampel wird gelb und zwei Optionen werden angezeigt.
2.
Entscheiden Sie, ob Sie Ihre Endpoint-Daten löschen möchten.
ALLE Daten beibehalten: Wählen Sie diese Option, wenn Sie Endpoint Protection vorübergehend deaktivieren möchten. Ihre Endpoint-Einstellungen werden gespeichert.
Wenn Sie die Funktion erneut aufrufen, wird automatisch eine Verbindung mit den bereits installierten Endpoints hergestellt und alle festgelegten Richtlinien stehen zur
Verfügung.
ALLE Daten löschen: Wählen Sie diese Option, wenn Sie alle Endpoint-Einstellungen zurücksetzen und von vorne beginnen möchten. Alle Verbindungen mit Endpoints und alle Richtlinieneinstellungen werden gelöscht.Nachdem Sie die Funktion erneut aktiviert haben, installieren Sie neue Installationspakete an den Endpoints, damit die neuen
Registrierungsdaten dort verfügbar sind (siehe Abschnitt Computerverwaltung >
3.
Klicken Sie auf Endpoint Protection deaktivieren.
Die Statusampel wird rot und Endpoint Protection wird deaktiviert.
11.1.2 Agent installieren
Auf der Registerkarte Endpoint Protection > Computerverwaltung > Agent installieren können
Sie die Installationsdateien für die Computer, die von Endpoint Protection überwacht werden sollen, herunterladen.
Es stehen zwei verschiedene Installationspakete zur Verfügung. Beide stellen die gleiche
Software bereit. Sie stellen zwei Alternativen für Implementierung und Installation dar, die verschiedene Vorteile bieten: l
Kompakt-Installationspaket: Dies ist ein kleines Installationspaket (12 MB), das einfach per E-Mail verschickt werden kann. Die Daten, die nicht in diesem Paket
372
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.1 Computerverwaltung enthalten sind, werden während der Installation heruntergeladen.
l
Komplett-Installationspaket: Dieses Paket enthält sämtliche Installationsdaten (ca.
90 MB). Daher müssen während der Installation nur sehr wenige Daten heruntergeladen werden.
Die beiden Pakete bieten zwei verschiedene Möglichkeiten, Endpoint Protection an Endpoints zu installieren: l
Klicken Sie zum Herunterladen und Speichern des Installationspakets die Schaltfläche
Kompakt-Installationsprogramm herunterladen bzw. Komplett-Installation
herunterladen an. Daraufhin können Benutzer an Endpoints auf die Pakete zugreifen.
l
Kopieren Sie die URL aus dem grauen Feld und senden Sie sie an die Endpoint-
Benutzer. Über diese URL können die Endpoint-Benutzer das Installationspaket selbst herunterladen und installieren.
Hinweis – Der Name von Installationspaketen darf nicht geändert werden.Während der
Installation vergleicht LiveConnect den Paketnamen mit den aktuellen Registrierungsdaten der UTM. Wenn die Informationen nicht übereinstimmen, wird der Installationsvorgang abgebrochen.
Nach der Installation am Endpoint wird der jeweilige Computer auf der Registerkarte
Computer verwalten angezeigt.Außerdem wird er der Computergruppe, die auf der
Registerkarte Erweitert festgelegt wurde, automatisch zugewiesen.
Hinweis – Das Installationspaket kann mithilfe der Schaltfläche Registrierungstoken
zurücksetzen auf der Registerkarte Erweitert zurückgesetzt werden.
11.1.3 Computer verwalten
Auf der Registerkarte Endpoint Protection > Computerverwaltung > Computer verwalten erhalten Sie einen Überblick über die Computer, auf denen Endpoint Protection für Ihre UTM installiert ist. Die Computer werden automatisch zur Liste hinzugefügt. Sie können einen
Computer einer Gruppe zuweisen, weitere Informationen hinzufügen, den
Manipulationsschutz eines Computers ändern oder einen Computer aus der Liste löschen.
Um die Einstellungen eines Computer auf der Liste zu ändern, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Bearbeiten für den betreffenden Computer.
Das Dialogfenster Computer bearbeiten wird geöffnet.
UTM 9 Administratorhandbuch
373
11.1 Computerverwaltung
11 Endpoint Protection
2.
Nehmen Sie die folgenden Einstellungen vor:
Computergruppe: Wählen Sie die Computergruppe aus, der Sie den Computer zuweisen möchten. Der Computer erhält die Schutzeinstellungen der Gruppe, der er zugewiesen ist.
Typ: Wählen Sie einen Computertyp, also Desktop, Laptop oder Server. Die Zuweisung eines Typs ist bei der Filterung der Liste hilfreich.
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, können die
Schutzeinstellungen eines Computers lokal nur durch Eingabe eines Kennworts geändert werden.Das Kennwort wird auf der Registerkarte Erweitert festgelegt. Wenn diese Funktion deaktiviert ist, kann der Endpoint-Benutzer die Schutzeinstellungen ohne
Eingabe eines Kennworts ändern. Standardmäßig stimmen die Einstellungen mit den
Einstellungen der Gruppe überein, der der Computer zugeordnet ist.
Bestandsnr. (optional): Geben Sie die Bestandsnummer des Computers ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert.
Um einen Computer aus der Liste zu löschen, klicken Sie auf das rote Löschen-Symbol.
Hinweis – Wenn Sie einen Computer aus der Liste löschen, wird er nicht mehr von der UTM
überwacht. Die installierte Endpoint-Software wird jedoch nicht automatisch deinstalliert und die zuletzt angewandten Richtlinien bleiben aktiv.
11.1.4 Gruppenverwaltung
Auf der Registerkarte Endpoint Protection > Computerverwaltung > Gruppen verwalten können Sie die geschützten Computer zu Gruppen zusammenfassen und gruppenweite
Endpoint-Protection-Einstellungen festlegen. Alle Computer, die einer Gruppe angehören, verfügen über gemeinsame Antivirus- und Geräte-Richtlinien.
Hinweis – Jeder Computer ist genau einer Gruppe zugeordnet. Anfangs sind alle Computer der Standardgruppe zugeordnet.Nachdem Sie Gruppen hinzugefügt haben, können Sie auf
374
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.1 Computerverwaltung der Registerkarte Erweitert festlegen, welche Gruppe Sie als Standardgruppe verwenden möchten, d. h. welcher Gruppe neu installierte Computer automatisch zugeordnet werden.
Um eine Computergruppe anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf Computergruppe hinzufügen.
Das Dialogfenster Computergruppe hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Gruppe ein.
Antivirus-Richtlinie: Wählen Sie die Antivirus-Richtlinie, die für diese Gruppe gelten soll.Die Richtlinien sind auf der Registerkarte Antivirus > Richtlinien definiert.Beachten
Sie, dass Sie auf der Registerkarte Antivirus > Ausnahmen gruppenspezifische
Ausnahmen von dieser Richtlinie festlegen können.
Geräterichtlinie: Wählen Sie die Geräterichtlinie, die für diese Gruppe gelten soll.Die
Richtlinien sind auf der Registerkarte Device Control > Richtlinien definiert.Beachten Sie, dass Sie auf der Registerkarte Device Control > Ausnahmen gruppenspezifische
Ausnahmen von dieser Richtlinie festlegen können.
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, können Antivirus-
Schutzeinstellungen nur durch Eingabe eines Kennworts an den jeweiligen Endpoints geändert werden.Das Kennwort wird auf der Registerkarte Erweitert festgelegt. Wenn diese Funktion deaktiviert ist, kann der Endpoint-Benutzer die Antivirus-
Schutzeinstellungen ohne Eingabe eines Kennworts ändern.Beachten Sie, dass Sie die
Schutzeinstellungen für einzelne Computer auf der Registerkarte Computer verwalten
ändern können.
Computer: Fügen Sie die Computer hinzu, die zur Gruppe gehören sollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die Gruppe wird erstellt und in der Liste der Computergruppen angezeigt. Bitte beachten Sie, dass es bis zu 15 Minuten dauern kann, bis alle Computer neu konfiguriert sind.
Um eine Gruppe zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
375
11.2 Antivirus
11 Endpoint Protection
11.1.5 Erweitert
Auf der Registerkarte Endpoint Protection > Computerverwaltung > Erweitert können die folgenden Optionen konfiguriert werden:
Manipulationsschutz: Wenn der Manipulationsschutz aktiviert ist, können
Schutzeinstellungen nur an Endpoints, die dieses Kennwort verwenden, geändert werden.
Standard-Computergruppe: Wählen Sie direkt nach der Installation von Endpoint Protection die Computergruppe, der ein Computer automatisch zugewiesen wird.
Sophos LiveConnect – Registrierung: Dieser Abschnitt enthält Informationen zur
Registrierung von Endpoint Protection. Diese Informationen werden unter anderem zur
Identifikation von Installationspaketen und für Supportzwecke verwendet.
l
Registrierungstoken zurücksetzen: Klicken Sie auf diese Schaltfläche, um zu verhindern, dass Endpoints mit einem bereits verwendeten Installationspaket installiert werden. Dies erfolgt typischerweise zum Abschluss eines Rollouts.Wenn Sie möchten, dass neue Endpoints installiert werden, geben Sie ein neues Installationspaket auf der
Registerkarte Agent installieren an.
11.2 Antivirus
Auf den Seiten unter Endpoint Protection > Antivirus legen Sie die Antivirus-Einstellungen für
Endpoint Protection fest. Sie können Antivirus-Richtlinien erstellen und diese individuellen
Einstellungen auf Ihre Computergruppen anwenden, die dann von Endpoint Protection
überwacht werden. Sie können auch Ausnahmen von den Antivirus-Funktionen definieren, die nur für bestimmte Computergruppen gelten.
11.2.1 Richtlinien
Auf der Registerkarte Endpoint Protection > Antivirus > Richtlinien können Sie verschiedene
Antivirus-Einstellungen verwalten und auf die von Endpoint Protection überwachten
Computergruppen anwenden.
Die Antivirus-Standardrichtlinie Basic protection bietet die beste Balance aus Sicherheit für
Ihren Computer und allgemeiner Systemleistung. Sie kann nicht angepasst werden.
Um eine neue Antivirus-Richtlinie hinzuzufügen, gehen Sie folgendermaßen vor:
376
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.2 Antivirus
1.
Klicken Sie auf die Schaltfläche Richtlinie hinzufügen.
Das Dialogfenster Richtlinie hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.
Zugriffsscan: Aktivieren Sie diese Option, wenn Dateien bei jedem Kopieren,
Verschieben oder Öffnen gescannt werden sollen. Der Zugriff auf Dateien wird nur gewährt, wenn sie keine Gefahr darstellen oder sie zur Verwendung autorisiert wurden.
l
PUA-Scan: Aktivieren Sie diese Option, um beim Zugriffsscan auch nach potenziell unerwünschten Anwendungen (PUAs) zu suchen.
Automatische Bereinigung: Aktivieren Sie diese Option, um infizierte Dateien oder
Spyware automatisch zu bereinigen. Dateien mit Malware werden gelöscht, infizierte
Dateien werden gesäubert. Die so bereinigten Dateien sind irreparabel beschädigt, da der Virenscanner den ursprünglichen Zustand der Datei vor ihrer Infektion nicht wiederherstellen kann.
Sophos Live Protection: Wenn der Antiviren-Scan auf einem Endpoint-Computer eine verdächtige Datei erkennt, anhand der auf dem Computer gespeicherten Sophos-
Definitionsdateien (IDE) aber nicht entscheiden kann, ob die Datei sauber oder infiziert ist, werden bestimmte Dateiinformationen (wie die Prüfsumme und andere Attribute) an
Sophos gesendet, um die weitere Analyse zu ermöglichen.
Bei dieser Cloud-basierten Überprüfung wird die SophosLabs-Datenbank nach
Informationen über die verdächtige Datei durchsucht. Wenn die Datei als sauber oder infiziert erkannt wird, wird diese Information an den Computer gesendet und der Status der Datei wird aktualisiert.
l
Beispieldatei senden: Kann eine als verdächtig eingestufte Datei nicht anhand der Dateiinformationen alleine als schädlich identifiziert werden, können Sie
Sophos erlauben, das Senden einer Beispieldatei anzufordern. Wenn diese
Option aktiviert ist und Sophos nicht bereits über ein Muster dieser Datei verfügt, wird die betreffende Datei automatisch gesendet.Durch das Einsenden von
Beispieldateien kann Sophos die Malware-Erkennung kontinuierlich verbessern und Falschmeldungen vermeiden.
Verdächtiges Verhalten (HIPS): Aktivieren Sie diese Option, um alle Systemprozesse auf Zeichen aktiver Malware hin zu überwachen. Dazu gehören verdächtige Einträge in
UTM 9 Administratorhandbuch
377
11.2 Antivirus
11 Endpoint Protection
die Registry, Dateikopiervorgänge oder Pufferüberlauf-Techniken. Verdächtige
Prozesse werden blockiert.
Web Protection: Aktivieren Sie diese Option, um Website-URLs in der Online-
Datenbank der infizierten Websites von Sophos nachzuschlagen.
l
Websites mit schädlichen Inhalten blockieren: Aktivieren Sie diese Option, um Websites mit schädlichen Inhalten zu blockieren.
l
Download-Scan: Aktivieren Sie diese Option, um Daten während des
Herunterladens nach Viren zu scannen. Infizierte Dateien werden blockiert.
Geplanter Scan: Aktivieren Sie diese Option, um den Scan zu einem bestimmten
Zeitpunkt auszuführen.
l
Rootkit-Scan: Aktivieren Sie diese Option, um bei einem geplanten Scan den
Computer nach Rootkits zu durchsuchen.
l
Zeit-Ereignis: Geben Sie hier an, wann der Computer gescannt werden soll.
Beachten Sie dabei die Zeitzone des Endpoints.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Richtlinie wird in der Liste der Antivirus-Richtlinien angezeigt. Beachten Sie, dass Änderungen an den Einstellungen erst nach 15 Minuten auf allen Computern wirksam werden.
Um eine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
11.2.2 Ausnahmen
Auf der Registerkarte Endpoint Protection > Antivirus > Ausnahmen können Sie einzelne
Computergruppen von den Antivirus-Einstellungen des Endpoint-Protection-Moduls ausnehmen. Eine Ausnahme legt fest, welche Objekte von dem in einer Antivirus-
Richtlinieneinstellung definierten Scanvorgang ausgenommen werden.
Um eine Ausnahme hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
378
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.2 Antivirus
2.
Nehmen Sie die folgenden Einstellungen vor:
Typ: Wählen Sie den Typ der Objekte aus, die vom Zugriffs- und On-Demand-Scan ausgenommen sein sollen.
l
Adware und PUA: Wählen Sie diese Option, wenn bestimmte Adware oder PUA
(Potenziell Unerwünschte Anwendungen) nicht gescannt oder blockiert werden soll. Adware zeigt unerwünschte Werbung an (zum Beispiel in Pop-up-Fenstern) und kann die Benutzerproduktivität und Systemeffizienz beeinträchtigen. PUAs richten keinen Schaden an, haben aber in geschäftlich genutzten Netzwerken nichts zu suchen.Geben Sie unter Dateiname den Namen der Adware oder PUA ein, z. B. beispiel.zeugs.
l
Scan-Ausnahmen: Wählen Sie diese Option, um eine Datei, einen Ordner oder ein Netzlaufwerk vom Antiviren-Scan auszuschließen.Unter File/Path geben Sie eine Datei, einen Ordner oder ein Netzlaufwerk an, z. B. C:\Dokumente oder
\\Server\Benutzer\Dokumente\Lebenslauf.doc
.
l
Scan-Erweiterungen: Wählen Sie diese Option, um Dateien mit einer bestimmten Dateierweiterung vom Antiviren-Scan auszuschließen.Geben Sie die
Erweiterung in das Feld Erweiterung ein, z. B. html.
l
Buffer overflow: Wählen Sie diese Option, um zu verhindern, dass die
Verhaltensüberwachung Anwendungen blockiert, die Pufferüberlauf-Techniken nutzen.Sie können alternativ auch den Namen einer bestimmten
Anwendungsdatei in das Feld Dateiname eingeben und die Datei über das Feld
Hochladen hochladen.
l
Verdächtige Dateien: Wählen Sie diese Option, um zu verhindern, dass der
Antiviren-Scan verdächtige Dateien blockiert.Sie können alternativ auch den
Namen der verdächtigen Datei in das Feld Dateiname eingeben und die Datei
über das Feld Hochladen hochladen.
l
Verdächtiges Verhalten: Wählen Sie diese Option, um zu verhindern, dass eine
Datei von der Verhaltensüberwachung blockiert wird.Sie können alternativ auch den Namen einer bestimmten Datei in das Feld Dateiname eingeben und die
Datei über das Feld Hochladen hochladen.
l
Websites: Wählen Sie diese Option, um Websites, die den Attributen im Feld
Webformat entsprechen, vom Antiviren-Scan auszunehmen.
Webformat: Geben Sie hier die Server mit den Websites an, deren Besuch zulässig sein soll.
UTM 9 Administratorhandbuch
379
11.3 Device Control
11 Endpoint Protection
l
Domänenname: Geben Sie in das Feld Website den Namen der Domäne ein, die Sie zulassen möchten.
l
IP-Adresse mit Subnetzmaske: Geben Sie hier die IPv4-Adresse und die
Netzmaske der Computer ein, die Sie zulassen möchten.
l
IPv4-Adresse: Geben Sie hier die IPv4-Adresse des Computers ein, den
Sie zulassen möchten.
Hochladen (Nur verfügbar bei den Typen Buffer overflow, Verdächtige Dateien und
Verdächtiges Verhalten.): Laden Sie hier die Datei hoch, die vom Antiviren-Scan ausgenommen sein soll.
Computergruppen: Geben Sie hier an, für welche Computergruppen diese
Ausnahme gelten soll.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
11.3 Device Control
Auf den Seiten Endpoint Protection > Device Control können Sie Geräte kontrollieren, die an die Computer, die mit Endpoint Protection überwacht werden, angeschlossen sind. In einer
Geräterichtlinie legen Sie im Prinzip fest, welche Gerätetypen für die Computergruppen, denen die Richtlinie zugewiesen ist, zulässig sind oder blockiert werden. Sobald ein Gerät gefunden wird, prüft Endpoint Protection, ob es gemäß der Geräterichtlinie, die der Computergruppe des betreffenden Computers zugewiesen ist, zulässig ist.Wenn es laut Geräterichtlinie blockiert oder eingeschränkt ist, wird es auf der Registerkarte Ausnahmen angezeigt, auf der Sie eine
Ausnahme für das Gerät hinzufügen können.
11.3.1 Richtlinien
Auf der Registerkarte Endpoint Protection > Device Control > Richtlinien können sie verschiedene zusammengefasste Einstellungen für Device Control verwalten, die daraufhin
380
UTM 9 Administratorhandbuch
11 Endpoint Protection
11.3 Device Control auf die von Endpoint Protection überwachten Computergruppen angewandt werden. Diese zusammengefassten Einstellungen werden als Richtlinien bezeichnet.
Standardmäßig stehen zwei Geräterichtlinien zur Verfügung: Alle blockieren verbietet jegliche
Nutzung von Geräten, während Vollständiger Zugriff alle Berechtigungen für sämtliche Geräte zulässt. Diese Richtlinien können nicht geändert werden.
Um eine neue Richtlinie hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Richtlinie hinzufügen.
Das Dialogfenster Richtlinie hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.
Speichergeräte: Sie können für verschiedene Arten von Speichergeräten konfigurieren, ob sie Zuglassen oder Blockiert sein sollen.Gegebenenfalls ist auch der
Eintrag Nur Lesezugriff verfügbar.
Netzwerkgeräte: Sie können für Modems und WLAN-Netzwerke konfigurieren, ob sie
Zugelassen, Bei Bridging blockiert oder Blockiert sein sollen.
Geräte mit geringer Reichweite: Sie können für Bluetooth- und Infrarotgeräte konfigurieren, ob sie Zugelassen oder Blockiert sein sollen.
3.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
4.
Klicken Sie auf Speichern.
Die neue Richtlinie wird in der Liste der Device-Control-Richtlinien angezeigt. Sie kann nun auf eine Computergruppe angewendet werden. Beachten Sie, dass Änderungen an den Einstellungen erst nach 15 Minuten auf allen Computern wirksam werden.
Um eine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
11.3.2 Ausnahmen
Auf der Registerkarte Endpoint Protection > Device Control > Ausnahmen können Sie für bestimmte Geräte Schutzausnahmen festlegen. In der Liste werden die blockierten Geräte bzw. Geräte mit durch die Device-Control-Richtlinien eingeschränktem Zugriff angezeigt.
Wenn Diskettenlaufwerke angeschlossen sind, wird nur ein Eintrag angezeigt, der als
Platzhalter für alle Diskettenlaufwerke dient.
UTM 9 Administratorhandbuch
381
11.3 Device Control
11 Endpoint Protection
Durch eine Ausnahme wird etwas, das laut Geräterichtlinie, die der Computergruppe zugewiesen ist, verboten ist, zulässig.
Hinweis – Eine Ausnahme gilt automatisch für alle Computer der ausgewählten Gruppen.
Um eine Ausnahme hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Bearbeiten für ein Gerät.
Das Dialogfenster Gerät bearbeiten wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Zugelassen: Fügen Sie die Computergruppen hinzu, für die das Gerät zugelassen sein soll.
Nur Lesezugriff oder Bridged: Fügen Sie die Computergruppen hinzu, für die dieses
Gerät nur mit Lesezugriff (gilt für Speichergeräte) oder im Modus Bridged (gilt für
Netzwerkgeräte) zugelassen sein soll.
Auf alle anwenden: Bei dieser Option wird die Ausnahme auf alle Geräte mit der gleichen Geräte-ID angewendet. Dies ist beispielsweise dann hilfreich, wenn Sie die gleiche Ausnahme auf mehrere USB-Sticks des gleichen Typs anwenden wollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Ausnahme wird in der Liste Ausnahmen angezeigt.
Um eine Ausnahme zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
382
UTM 9 Administratorhandbuch
12 Wireless Protection
Über das Menü Wireless Protection können Sie WLAN-Access-Points für Sophos UTM, die zugehörigen WLAN-Netzwerke und die Clients, die WLAN-Zugang nutzen, konfigurieren und verwalten.Die Access Points werden automatisch auf der UTM konfiguriert. Sie müssen sie also nicht einzeln konfigurieren.Die Kommunikation zwischen der UTM und dem Access Point, die der Konfiguration des Access Point sowie dem Austausch von Statusinformationen dient, wird mittels AES verschlüsselt.
Wichtiger Hinweis – Wenn die Lichter an Ihrem Access Point schnell blinken, trennen Sie ihn nicht vom Strom! Schnell blinkende Lichter bedeuten, dass gerade ein Firmware-Flash durchgeführt wird.Ein Firmware-Flash erfolgt beispielsweise nach einer
Systemaktualisierung der UTM, die mit einer Aktualisierung von Wireless Protection einhergeht.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
Die Übersichtsseite von Wireless Protection bietet allgemeine Informationen zu verbundenen
Access Points, deren Status, verbundenen Clients und WLAN-Netzwerken.
Live -Pr otokoll
Sie können auf die Schaltfläche Wireless-Protection-Live-Protokoll öffnen klicken, um detaillierte Verbindungs- und Fehlersuche-Informationen über die Access Points und Clients zu erhalten, die versuchen, eine Verbindung herzustellen.
12.1 Allgemeine Einstellungen
Auf den Seiten Wireless Protection > Allgemeine Einstellungen können Sie Wireless Protection aktivieren und die Netzwerkschnittstellen für Wireless Protection sowie die WPA/WPA2-
12.1 Allgemeine Einstellungen
12 Wireless Protection
Enterprise-Authentifizierung konfigurieren.
12.1.1 Allgemein
Auf der Registerkarte Wireless Protection > Allgemeine Einstellungen > Allgemein können Sie
Wireless Protection aktivieren oder deaktivieren.
Um Wireless Protection zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Wireless Protection auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Zugangskontrolle kann nun bearbeitet werden.
Bei der erstmaligen Aktivierung von Wireless Protection wird der Abschnitt
Ersteinrichtung angezeigt.Dieser Abschnitt enthält die Konfiguration, die erzeugt wird: ein eigenständiges WLAN-„Gast“-Netzwerk mit WPA2-Personal-Verschlüsselung und
DHCP für WLAN-Clients. Die WLAN-Clients können DNS auf der UTM und den Web-
Surfing-Dienst verwenden. Der vorverteilte Schlüssel wird automatisch generiert und nur in diesem Abschnitt angezeigt. Diese Erstkonfiguration soll als Vorlage dienen.Sie
können die Einstellungen jederzeit auf der Seite Wireless Protection > WLAN-Netzwerke bearbeiten.
Automatische Konfiguration nicht durchführen: Wählen Sie diese Option, wenn keine Ersteinrichtung durchgeführt werden soll. Dann müssen Sie die Einstellungen für
Wireless Security manuell durchführen.
2.
Wählen Sie eine Netzwerkschnittstelle für den Access Point.
Klicken Sie auf das Ordnersymbol im Abschnitt Zugelassene Schnittstellen, um eine konfigurierte Schnittstelle auszuwählen, an die der Access Point angeschlossen wird.
Stellen Sie sicher, dass die Schnittstelle von einem DHCP-Server verwaltet wird.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert. Die Statusampel wird grün und zeigt dadurch an, dass Wireless Protection aktiv ist.
Sie können nun fortfahren, indem Sie den Access Point an die konfigurierte
Netzwerkschnittstelle anschließen.Wenn Sie die automatische Konfiguration
übersprungen haben, fahren Sie mit der Konfiguration auf der Seite WLAN-Netzwerke fort.
384
UTM 9 Administratorhandbuch
12 Wireless Protection
12.2 WLAN-Netzwerke
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
Sobald Sie einen Access Point anschließen, wird er sich automatisch mit dem System verbinden.Neu angeschlossene, unkonfigurierte Access Points werden als Ausstehende
Access Points auf der Seite Access Points angezeigt.
12.1.2 Erweitert
Auf der Registerkarte Wireless Protection > Allgemeine Einstellungen > Erweitert können Sie
Ihre Access Points so konfigurieren, dass sie WPA/WPA2-Enterprise-Authentifizierung verwenden.
Die Enterprise-Authentifizierung erfordert einige Angaben zu Ihrem RADIUS-
Server.Beachten Sie, dass die APs nicht selbst mit dem RADIUS-Server für die
Authentifizierung kommunizieren, sondern nur die UTM.Port 414 wird für die RADIUS-
Kommunikation zwischen der UTM und dem/den AP(s) verwendet.
Um WPA/WPA2-Enterprise-Authentifizierung zu verwenden, nehmen Sie die folgenden
Einstellungen vor:
RADIUS-Server: Wählen Sie einen Server (oder legen Sie einen an), über den sich Clients selbst authentifizieren sollen, z. B. Ihren Active-Directory-Server.
RADIUS-Port (optional): Der RADIUS-Standardport 1812 ist vorausgewählt. Falls notwendig, können Sie diesen Port ändern.
RADIUS-Kennwort: Geben Sie das RADIUS-Kennwort ein, das von den Access Points benötigt wird, um mit dem RADIUS-Server kommunizieren zu können.
Kennwort wiederholen: Geben Sie das RADIUS-Kennwort aus Sicherheitsgründen erneut ein.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
12.2 WLAN-Netzwerke
Auf der Seite Wireless Protection > WLAN-Netzwerke können Sie Ihre WLAN-Netzwerke definieren, z. B. ihre SSID und Verschlüsselungsmethode. Darüber hinaus können Sie festlegen, ob das WLAN-Netzwerk einen eigenständigen IP-Adressbereich oder eine Bridge in das LAN des Access Points haben soll.
UTM 9 Administratorhandbuch
385
12.2 WLAN-Netzwerke
12 Wireless Protection
Um ein neues WLAN-Netzwerk anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Seite WLAN-Netzwerke auf WLAN-Netzwerk hinzufügen.
Das Dialogfenster WLAN-Netzwerk hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Netzwerkname: Geben Sie einen aussagekräftigen Namen für das Netzwerk ein.
Netzwerk-SSID: Geben Sie den Service Set Identifier (SSID) für das Netzwerk ein, der von den Clients registriert wird und zur Identifizierung des WLAN-Netzwerks dient.Die
SSID kann aus 1 bis 32 druckbaren ASCII-Zeichen bestehen
1
. Sie darf kein Komma enthalten und nicht mit einem Leerzeichen beginnen oder enden.
Verschlüsselungsmethode: Wählen Sie eine Verschlüsselungsmethode aus der
Auswahlliste.Standardmäßig ist WPA 2 Personal eingestellt.Wir empfehlen WPA2 statt
WPA, wenn möglich.Aus Sicherheitsgründen wird davon abgeraten, WEP zu verwenden, es sei denn, Ihr WLAN-Netzwerk wird von Clients genutzt, die keine andere
Methode unterstützen.Wenn Sie eine Enterprise-Authentifizierungsmethode verwenden, müssen Sie auch einen RADIUS-Server auf der Registerkarte Allgemeine
Einstellungen > Erweitert konfigurieren. Geben Sie als NAS-ID des RADIUS-Servers den Namen des WLAN-Netzwerks ein.
Kennwort/PSK: Nur bei der Verschlüsselungsmethode WPA/WPA2 Personal verfügbar. Geben Sie das Kennwort ein, das das WLAN-Netzwerk vor unautorisiertem
Zugriff schützen soll und wiederholen Sie es im nächsten Feld. Das Kennwort darf aus
8–63 ASCII-Zeichen bestehen.
128-bit WEP-Schlüssel: Nur bei der Verschlüsselungsmethode WEP verfügbar.
Geben Sie hier einen WEP-Schlüssel ein, der aus genau 26 hexadezimalen Zeichen besteht.
Client-Verkehr: Wählen Sie eine Methode, wie Ihr WLAN-Netzwerk in Ihr lokales
Netzwerk integriert werden soll.
l
Getrennte Zone (Standard): Das WLAN-Netzwerk wird als eigenständige Zone behandelt und hat einen eigenen IP-Adressbereich.Wenn Sie diese Option nutzen, müssen Sie, nachdem Sie das WLAN-Netzwerk hinzugefügt haben, mit der Einrichtung wie im Abschnitt unten ( Nächste Schritte für Netzwerk in
1 http://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
386
UTM 9 Administratorhandbuch
12 Wireless Protection
12.2 WLAN-Netzwerke getrennter Zone ) beschrieben fortfahren.
Hinweis – Wenn Sie ein Netzwerk der Art Getrennte Zone zu einem Netzwerk der Art In AP-LAN bridgen oder In VLAN bridgen ändern, werden bereits konfigurierte WLAN-Schnittstellen auf der UTM deaktiviert und das
Schnittstellenobjekt erhält den Status nicht zugewiesen. Sie können dem
Schnittstellenobjekt jedoch eine neue Hardware-Schnittstelle zuweisen, indem
Sie es bearbeiten und dadurch wieder aktivieren.
l
In AP-LAN bridgen: Sie können das WLAN-Netzwerk auch in das Netzwerk des
Access Point bridgen. Das heißt, dass die WLAN-Clients einen gemeinsamen IP-
Adressbereich besitzen.
Hinweis – Wenn VLAN aktiviert ist, werden die WLAN-Clients in das VLAN-
Netzwerk des Access Point gebridged.
l
In VLAN bridgen: Sie können den Verkehr dieses WLAN-Netzwerks in ein
VLAN Ihrer Wahl bridgen.Das ist nützlich, wenn Sie wollen, dass die Access Points in einem gemeinsamen Netzwerk getrennt von den WLAN-Clients sind.
In VLAN-ID bridgen: Geben Sie die VLAN-ID des Netzwerks ein, zu dem die
WLAN-Clients gehören sollen.
Client-VLAN-ID (nur mit einer Enterprise-Verschlüsselungsmethode verfügbar):
Wählen Sie, wie die VLAN-ID definiert ist: l
Statisch: Die VLAN-ID, die im Feld In VLAN-ID bridgen definiert ist, wird verwendet.
l
RADIUS & Statisch: Die VLAN-ID Ihres RADIUS-Servers wird verwendet: Wenn ein Benutzer eine Verbindung mit einem Ihrer WLAN-
Netzwerke herstellt und sich an Ihrem RADIUS-Server authentifiziert, teilt der RADIUS-Server dem Access Point mit, welche VLAN-ID für diesen
Benutzer verwendet werden soll. Wenn Sie mehrere WLAN-Netzwerke verwenden, können Sie den Zugriff auf interne Netzwerke daher nach
Benutzer festlegen.Wenn einem Benutzer kein VLAN-ID-Attribut zugewiesen wurde, wird die VLAN-ID, die im Feld In VLAN-ID bridgen definiert ist, verwendet.
UTM 9 Administratorhandbuch
387
12.2 WLAN-Netzwerke
12 Wireless Protection
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Algorithmus (nur verfügbar bei der Verschlüsselungsmethode WPA/WPA2): Wählen
Sie einen Verschlüsselungsalgorithmus: entweder AES oder TKIP & AES.Aus
Sicherheitsgründen raten wir davon ab, AES zu verwenden.
Frequenzband: Die Access Points, die diesem WLAN-Netzwerk zugewiesen sind, werden auf dem ausgewählten Frequenzband übertragen. Das 5-GHz-Band weist im
Allgemeinen eine höhere Leistung, eine geringere Latenz und weniger Störungen auf.
Daher sollte es z. B. bei VoIP-Kommunikation gewählt werden. Beachten Sie, dass nur
AP 50 auf dem 5-GHz-Band senden kann.
Zeitbasierter Zugriff: Wählen Sie diese Option, wenn Sie das WLAN-Netzwerk automatisch gemäß eines Zeitplans aktivieren und deaktivieren möchten.
Aktive Zeit auswählen: Wählen Sie eine Zeitraumdefinition, die festlegt, wann das WLAN-Netzwerk aktiv ist. Wenn Sie das Plussymbol anklicken, können Sie eine neue Zeitraumdefinition hinzufügen.
Client-Isolation: Clients innerhalb eines Netzwerks können normalerweise miteinander kommunizieren.Falls Sie dies unterbinden möchten, z. B. in einem
Gastnetzwerk, wählen Sie Aktiviert aus der Auswahlliste.
SSID verstecken: Manchmal möchten Sie Ihre SSID nicht anzeigen.Wählen Sie dazu
Ja aus der Auswahlliste. Bitte beachten Sie, dass es sich hierbei um keine
Sicherheitsfunktion handelt.
4.
Klicken Sie auf Speichern.
Ihre Einstellungen werden gespeichert und das WLAN-Netzwerk wird in der Liste
WLAN-Netzwerke angezeigt.
Nächste Schritte für Netzwerke in getrennter Zone
Wenn Sie ein WLAN-Netzwerk mit der Option Getrennte Zone erstellen, wird automatisch eine entsprechende neue virtuelle Hardwareschnittstelle erstellt, z. B. wlan0. Um das WLAN-
Netzwerk nutzen zu können, sind einige weitere manuelle Konfigurationen erforderlich. Gehen
Sie folgendermaßen vor:
388
UTM 9 Administratorhandbuch
12 Wireless Protection
12.3 Access Points
1.
Konfigurieren Sie eine neue Netzwerkschnittstelle.
Erstellen Sie auf der Registerkarte Schnittstellen & Routing > Schnittstellen >
Schnittstellen eine neue Schnittstelle und wählen Sie Ihre WLAN-Schnittstelle (z. B.
wlan0) als Hardware. Stellen Sie sicher, dass Sie „Ethernet“ als Typ gewählt haben und geben Sie die IP-Adresse und Netzmaske Ihres WLAN-Netzwerks an.
2.
Aktivieren Sie DHCP für die WLAN-Clients.
Damit Ihre Clients eine Verbindung zur UTM herstellen können, müssen Sie ihnen eine
IP-Adresse und ein Standard-Gateway zuweisen.Richten Sie hierzu auf der
Registerkarte Netzwerkdienste > DHCP > Server einen DHCP-Server für die
Schnittstelle ein.
3.
Aktivieren Sie DNS für die WLAN-Clients.
Damit Ihre Clients DNS-Namen auflösen können, benötigen Sie Zugriff auf DNS-
Server.Fügen Sie auf der Registerkarte Netzwerkdienste > DNS > Allgemein die
Schnittstelle zur Liste der zugelassenen Netzwerke hinzu.
4.
Erstellen Sie eine NAT-Regel, um das WLAN-Netzwerk zu maskieren.
Wie bei allen anderen Netzwerken müssen Sie auch hier die Adressen des WLAN-
Netzwerks in die Adressen der Uplink-Schnittstelle übersetzen.Erstellen Sie eine NAT-
Regel auf der Registerkarte Network Protection > NAT > Maskierung.
5.
Erstellen Sie eine oder mehrere Paketfilterregeln, um Verkehr vom WLAN-
Netzwerk bzw. dorthin zuzulassen.
Wie bei jedem anderen Netzwerk müssen Sie auch hier eine oder mehrere
Paketfilterregeln erstellen, damit der Verkehr die UTM passieren kann, z. B. Web-
Surfing-Verkehr.Erstellen Sie Paketfilterregeln auf der Registerkarte Network
Protection > Firewall > Regeln.
12.3 Access Points
Die Seiten Wireless Protection > Access Points geben einen Überblick über die Access Points
(AP), die dem System bekannt sind. Sie können AP-Eigenschaften bearbeiten, APs löschen oder gruppieren und APs oder AP-Gruppen WLAN-Netzwerke zuweisen.
Arten von Access Points
Momentan bietet Sophos vier verschiedene Access Points an:
UTM 9 Administratorhandbuch
389
12.3 Access Points
12 Wireless Protection
l
AP 5 (USB-Stick; Zubehörprodukt für RED Rev2/Rev3): Standards 802.11b/g/n,
Frequenzband 2,4 GHz; max. sieben Clients l
AP 10: Standards 802.11b/g/n, Frequenzband 2,4 GHz l
AP 30: Standards 802.11b/g/n, Frequenzband 2,4 GHz l
AP 50: Standards 802.11a/b/g/n, Frequenzbänder 2,4/5 GHz Dualband/Dualfunk
Es gibt zwei verschiedene AP-50-Modelle, bei denen sich die verfügbaren Kanäle unterscheiden.
l
FCC-regulierte Gebiete (hauptsächlich USA): Kanäle 1-11, 36, 40, 44, 48 l
ETSI-regulierte Gebiete (hauptsächlich Europa): Kanäle 1-13, 36, 40, 44, 48
Beachten Sie, dass die Ländereinstellung eines AP reguliert, welche Kanäle zur
Verfügung stehen, um der örtlichen Gesetzeslage zu entsprechen.
12.3.1 Übersicht
Die Seite Wireless Protection > Access Points > Übersicht liefert einen Überblick über die
Access Points (AP), die dem System bekannt sind.Die Sophos UTM unterscheidet zwischen aktiven, inaktiven und ausstehenden APs.Um sicherzustellen, dass sich nur originale APs mit
Ihrem Netzwerk verbinden, müssen die APs zunächst autorisiert werden.
Hinweis – Wenn Sie vorhaben einen AP 5 zu verwenden, müssen Sie zuerst die RED-
Verwaltung aktivieren und ein RED einrichten.Fügen Sie die RED-Schnittstelle anschließend auf der Seite Wireless Protection > Allgemeine Einstellungen zur Liste der zugelassenen
Netzwerke hinzu.Nachdem Sie den AP 5 mit dem RED verbunden haben, sollte der AP 5 unter Ausstehende Access Points angezeigt werden.
Tipp – Alle drei Abschnitte dieser Seite können durch einen Klick auf das Symbol rechts neben der Kopfzeile des Abschnitts geschlossen und wieder geöffnet werden.
Um die Verwaltung zu vereinfachen, können Sie für jeden AP einen Standort angeben.Sie
können hier auch den Kanal ändern.Wenn Sie den Kanal auf Auto lassen, wird der AP automatisch auf dem Kanal senden, der am wenigsten verwendet wird.Klicken Sie auf die
Schaltfläche Bearbeiten, um Änderungen an einem AP vorzunehmen (siehe Ausstehende
Access Points unten).
390
UTM 9 Administratorhandbuch
12 Wireless Protection
12.3 Access Points
Wenn ein AP physikalisch von Ihrem Netzwerk getrennt wird, können Sie ihn hier durch einen
Klick auf die Schaltfläche Löschen entfernen.Solange der AP mit Ihrem Netzwerk verbunden bleibt, wird er nach dem Löschen automatisch wieder mit dem Status Ausstehend angezeigt.
Hinweis – Eine Konfigurationsänderung dauert etwa 15 Sekunden. Danach sind alle
Schnittstellen rekonfiguriert.
Aktive Acce ss Points
Hier werden alle APs aufgeführt, die verbunden, konfiguriert und momentan in Betrieb sind.
I na ktive Acce ss Points
Hier werden alle APs aufgeführt, die bereits einmal konfiguriert wurden, aber momentan nicht mit der UTM verbunden sind. Wenn ein AP länger als fünf Minuten in diesem Status bleibt,
überprüfen Sie bitte die Netzwerkverbindung des AP und Ihre Systemkonfiguration.Bei einem
Neustart des Dienstes Wireless Protection werden die Zeitstempel für Zuletzt gesehen gelöscht.
Ausste he nde Acce ss Points
Hier werden alle APs aufgeführt, die mit dem System verbunden aber noch nicht autorisiert sind. Um einen Access Point zu autorisieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Annehmen des entsprechenden Access
Points.
Das Dialogfenster Edit Device Location wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Standort (optional): Geben Sie einen Standort ein, damit der AP leicht im Netz identifiziert werden kann.
Land: Geben Sie das Land an, in dem sich der AP befindet.
Wichtig – Der Ländercode reguliert, welche Kanäle für die Übermittlung zur
Verfügung stehen.Um nicht gegen örtliche Gesetze zu verstoßen, sollten Sie immer das richtige Land auswählen (siehe Kapitel Access Points).
3.
Nehmen Sie optional folgende erweiterte Einstellungen vor:
UTM 9 Administratorhandbuch
391
12.3 Access Points
12 Wireless Protection
2,4-GHz-Kanal: Sie können die Standardeinstellung Auto beibehalten, welche automatisch einen Übermittlungskanal auswählt. Alternativ können Sie einen festgelegten Kanal auswählen.
5-GHz-Kanal (Nur verfügbar mit AP 50): Sie können die Standardeinstellung Auto beibehalten, welche automatisch einen Übermittlungskanal auswählt. Alternativ können
Sie einen festgelegten Kanal auswählen.
TX Power 2,4 GHz: Sie können die Standardeinstellung von 100 % beibehalten, damit der Access Point mit maximaler Leistung sendet. Sie können die Sendeleistung auch nach unten regeln, um die Reichweite zu verringern und damit zum Beispiel Störungen zu vermeiden.
TX Power 5 GHz (Nur verfügbar mit AP 50): Beim AP 50 können Sie die Sendeleistung für das 5-GHz-Frequenzband separat regeln.
VLAN-Taggen: Um VLAN zu aktivieren, wählen Sie Aktiviert aus der Auswahlliste.
VLAN-Taggen ist standardmäßig ausgeschaltet. Wenn Sie den AP mit einer vorhandenen VLAN-Ethernet-Schnittstelle verbinden möchten, müssen Sie VLAN-
Tagging aktivieren.Stellen Sie sicher, dass die VLAN-Ethernet-Schnittstelle im Feld
Zugelassene Netzwerke auf der Seite Allgemeine Einstellungen > Allgemeine
Einstellungen hinzugefügt wird.
Hinweis – Gehen Sie wie folgt vor, um VLAN mit den Access Points in Ihrem Netzwerk zu nutzen: Verbinden Sie den AP für mindestens eine Minute über das Standard-LAN mit der UTM. Das ist notwendig, damit sich der AP seine Konfiguration abholen kann.Würde der AP gleich über VLAN verbunden, wüsste er nicht, dass er sich in einem VLAN befindet, und könnte sich deshalb nicht mit der UTM verbinden, um seine
Konfiguration zu erhalten. Wenn der AP angezeigt wird, aktivieren Sie VLAN-Tagging und geben Sie die VLAN-ID ein. Verbinden Sie den AP dann mit dem vorgesehenen
VLAN, zum Beispiel einem Switch.
Hinweis – VLAN-Tagging ist mit dem AP 5 nicht möglich.
AP VLAN-ID: Wenn VLAN-Tagging aktiviert ist, geben Sie das VLAN-Tag des VLAN ein, über das der Access Point eine Verbindung mit der UTM herstellen soll.Verwenden
Sie nicht die VLAN-Tags 0 und 1, da diese gewöhnlich eine spezielle Bedeutung für
Netzwerk-Hardware wie Switches haben. 4095 ist zudem per Konvention reserviert.
392
UTM 9 Administratorhandbuch
12 Wireless Protection
12.3 Access Points
Hinweis – Wenn VLAN-Taggen konfiguriert ist, wird der AP auf dem konfigurierten
VLAN 60 Sekunden lang nach DHCP suchen. Wenn er in diesem Zeitraum keine IP-
Adresse erhält, wird der AP ersatzweise auf dem regulären LAN nach DHCP suchen.
Gruppe (optional): Sie können Ihre APs in Gruppen organisieren. Falls bereits eine
Gruppe angelegt wurde, können Sie diese in der Auswahlliste auswählen.Wählen Sie andernfalls Neue Gruppe aus und geben Sie einen Namen für die Gruppe im Textfeld
Name ein, welches dann erscheint.
4.
Klicken Sie auf Speichern.
Der Access Point erhält seine Konfiguration oder seine Konfiguration wird aktualisiert.
Der nun autorisierte Access Point wird sofort in einem der oberen Abschnitte angezeigt, je nachdem ob er aktiv ist oder nicht.
Falls VLAN-Taggen konfiguriert wurde, der AP sich aber nicht mit der UTM über VLAN verbinden kann, wird der AP sich selbst neu starten und es erneut versuchen, nachdem er die Konfiguration erhalten hat.
12.3.2 Gruppierung
Auf der Seite Wireless Protection > Access Points > Gruppierung können Sie Access Points
(APs) auf unterschiedliche Weise verwalten: Zum einen können Sie den Access Points WLAN-
Netzwerke zuweisen, sodass jeder Access Point nur bestimmte WLAN-Netzwerke überträgt.
Dies ist beispielsweise nützlich, wenn Sie ein nur in firmeneigenen Büros verfügbares WLAN-
Firmennetzwerk sowie ein WLAN-Netzwerk für Gäste haben, das nur in den öffentlichen
Bereichen des Gebäudes verfügbar sein soll.
Zum anderen können Sie Access Points gruppieren. Auch diesen Gruppen können WLAN-
Netzwerke zugewiesen werden.
Die Seite zeigt eine Matrix von WLAN-Netzwerken, Access Points und Access-Point-Gruppen
(falls vorhanden) und ihre Beziehungen zueinander.
Neben jedem AP bzw. jeder AP-Gruppe befinden sich zwei Schaltflächen: Bearbeiten und
Löschen.Mit Bearbeiten können Sie die Attribute eines AP bzw. einer Gruppe ändern.Wenn Sie auf Löschen klicken, wird eine Gruppe gelöscht bzw. ein Access Point entfernt.
Sie können auf den Namen eines WLAN-Netzwerks klicken, um die Netzwerkeinstellungen zu bearbeiten.
UTM 9 Administratorhandbuch
393
12.3 Access Points
12 Wireless Protection
Zuweisung von Netzwerken zu APs
Markieren Sie das entsprechende Auswahlkästchen, um einem AP oder einer AP-Gruppe ein
WLAN-Netzwerk zuzuweisen, und klicken Sie danach auf Übernehmen. Ein AP (oder alle APs einer Gruppe) übertragen alle ihnen zugewiesenen WLAN-Netzwerke.
Damit ein Access Point einem WLAN-Netzwerk zugewiesen werden kann, müssen die
Optionen Client-Verkehr des WLAN-Netzwerks und die Option VLAN-Taggen des Access
Points zueinanderpassen. Folgende Regeln gelten: l
WLAN-Netzwerk mit Client-Verkehr Getrennte Zone: VLAN-Taggen für den Access
Point kann eingeschaltet oder ausgeschaltet sein.
l
WLAN-Netzwerk mit Client-Verkehr In AP-LAN bridgen: VLAN-Taggen für den Access
Point muss ausgeschaltet sein.
l
WLAN-Netzwerk mit Client-Verkehr In VLAN bridgen: VLAN-Taggen für den Access
Point muss eingeschaltet sein.Die jeweiligen WLAN-Clients verwenden die für das
WLAN-Netzwerk festgelegte In VLAN-ID bridgen oder erhalten ihre VLAN-ID vom
RADIUS-Server, sofern angegeben.
Hinweis – Einem AP 5 kann nur ein einziges WLAN-Netzwerk mit der Client-Verkehr-Option
In AP-LAN bridgen zugewiesen werden.
Über die Schaltfläche Bearbeiten können Sie ebenfalls die AP-Einstellungen ändern.
Erstellen und Verwenden von Gruppen
Klicken Sie auf die Bearbeiten-Schaltfläche eines AP, um eine AP-Gruppe zu erstellen.Wählen
Sie in der Auswahlliste Gruppe die Option Neue Gruppe aus und geben Sie in das Feld Name einen Namen ein.Klicken Sie auf Speichern. Die neue Gruppe wird in der AP-Liste angezeigt.
Der AP wird nicht mehr in der Liste aufgeführt, da er nun Teil dieser Gruppe ist.
Tipp – Sie erreichen die Dialoge Device Control bearbeiten oder Access-Point-Gruppe
bearbeiten auch, indem Sie auf den Namen eines AP oder einer Gruppe klicken.
Sie können einer Gruppe weitere APs hinzufügen, indem Sie auf die Bearbeiten-Schaltfläche eines AP klicken und in der Auswahlliste Gruppe die entsprechende Gruppe auswählen.
394
UTM 9 Administratorhandbuch
12 Wireless Protection
12.4 WLAN-Clients
Wenn Sie einen AP aus einer Gruppe entfernen möchten, klicken Sie auf die Bearbeiten-
Schaltfläche der entsprechenden Gruppe und klicken Sie dann auf das Papierkorbsymbol neben dem AP, den Sie aus der Gruppe entfernen möchten.
Über den Dialog Access-Point-Gruppe bearbeiten können Sie Gruppen auch umbenennen.
12.4 WLAN-Clients
Die Seite Wireless Protection > WLAN-Clients gibt Ihnen einen Überblick über die Clients, die momentan mit einem Access Point verbunden sind oder in der Vergangenheit verbunden waren.
Da nicht alle Clients ihren Namen übermitteln, können Sie ihnen hier einen Namen geben, damit Sie bekannte Clients in der Übersicht leichter auseinanderhalten können. Falls Clients ihren NetBIOS-Namen während der DHCP-Anfrage übermitteln, wird ihr Name in der Tabelle angezeigt.Andernfalls werden sie als [unknown] aufgeführt. Sie können den Namen von
(unbekannten) Clients ändern, indem Sie auf das Schlüsselsymbol vor dem Namen klicken.Geben Sie dann einen Namen ein und klicken Sie auf Speichern. Es dauert ein paar
Sekunden, bis die Änderung sichtbar wird. Klicken Sie auf das Aktualisieren-Symbol in der rechten oberen Ecke des WebAdmin, um den Namen des Clients zu sehen.
Sie können Clients auch aus der Tabelle löschen, indem Sie auf das Papierkorb-Symbol in der ersten Spalte klicken.
Bei einem Neustart des Dienstes Wireless Protection werden die Zeitstempel für Zuletzt
gesehen gelöscht.
Hinweis – IP-Adressen, die Clients zugewiesen sind, können nur angezeigt werden, wenn die UTM als DHCP-Server für das entsprechende WLAN-Netzwerk fungiert.Zusätzlich wird für statische DHCP-Zuordnungen die IP-Adresse 0.0.0.0 angezeigt.
12.5 Hotspots
Auf den Seiten Wireless Protection > Hotspots verwalten Sie den Zugang zum Hotspotportal.
Die Hotspot-Funktion ermöglicht es, in Gaststätten, Hotels, Unternehmen usw. Gästen einen zeit- und volumenbeschränkten Internetzugang bereitzustellen. Die Funktion ist Teil des
Wireless-Abonnements, funktioniert aber auch in LAN-Netzwerken.
UTM 9 Administratorhandbuch
395
12.5 Hotspots
12 Wireless Protection
Hinweis – Technisch gesehen beschränkt die Hotspot-Funktion Datenverkehr, der von der
Firewall freigegeben ist. Sie müssen daher eine Firewallregel erstellen, die den Datenverkehr
über die Hotspots regelt. Testen Sie den Zugang erst einmal ohne die Hotspot-Funktion.
Wenn alles funktioniert, aktivieren Sie die Hotspots.
Erstellen von Hotspots
In einem ersten Schritt erstellt und aktiviert der Administrator einen Hotspot für einen bestimmten Zugangstyp. Die folgenden Typen sind verfügbar: l
Annahme der Nutzungsbedingungen: Dem Gast werden Nutzungsbedingungen angezeigt, der er akzeptieren muss, um Zugang zu erhalten. Die Bedingungen sind frei definierbar.
l
Tages-Kennwort: Der Gast muss ein Zugangskennwort eingeben. Das Kennwort wird täglich geändert.
l
Voucher: Der Gast erhält einen Voucher mit einem Zugangscode, den er eingeben muss. Der Voucher kann auf eine bestimmte Anzahl Geräte, einen Zeitraum oder ein
Datenvolumen beschränkt sein.
Verteilung der Zugangsdaten an Gäste
Bei den Typen Tages-Kennwort und Voucher müssen die Zugangsdaten den Gästen ausgehändigt werden. Sie können festlegen, welche Benutzer die Zugangsdaten verwalten und verteilen dürfen.Diese Benutzer greifen über die Benutzerportal-Registerkarte Hotspot auf die Daten zu und können sie von dort aus auch verteilen: l
Tages-Kennwort: Benutzer finden das Kennwort im Benutzerportal. Das Kennwort kann per E-Mail versendet werden. Benutzer leiten das Kennwort an die Gäste weiter.
Sie können ein neues Kennwort eingeben oder generieren. In diesem Fall wird das vorhergehende Kennwort sofort ungültig. Alle laufenden Sitzungen werden beendet. Je nach Konfiguration werden auch andere Benutzer über das neue Kennwort in Kenntnis gesetzt, entweder per E-Mail oder über das Benutzerportal.
l
Voucher: Im Benutzerportal können Benutzer Voucher mit einmaligen Zugangscodes erstellen. Der Administrator kann verschiedene Voucher-Typen definieren und bereitstellen. Sie können Voucher ausdrucken, exportieren und den Gästen aushändigen. Die Liste der erstellten Voucher liefert einen Überblick über ihre Nutzung und erleichtert ihre Verwaltung.
396
UTM 9 Administratorhandbuch
12 Wireless Protection
12.5 Hotspots
Rechtliche Hinweise
In vielen Ländern unterliegt der Betrieb eines öffentlichen WLAN gesetzlichen Regelungen, dazu gehören unter anderem Zugriffsbeschränkungen auf Websites mit bestimmten Inhalten
(z. B. File-Sharing-Seiten, Seiten mit extremistischem Hintergrund usw.)Sie können diese
Anforderungen erfüllen, indem Sie den Hotspot mit den Web-Protection-Funktionen der
Sophos UTM kombinieren, um den Webzugriff auf ganze Websites oder bis hinunter auf die
Ebene einzelner URLs zu blockieren oder zuzulassen.Mit der UTM haben Sie volle Kontrolle darüber, wer wann auf welche Seiten zugreifen kann. So ist es auch möglich, für den Hotspot besonders strikte Regeln festzulegen, wenn staatliche oder unternehmensinterne Auflagen dies erfordern.
Der integrierte HTTP-Proxy von Sophos UTM bietet zusätzlich leistungsfähige Protokoll- und
Berichtsfunktionen. Sie können zum Beispiel verfolgen, welche Personen wann und wie oft auch welche Websites zugreifen und so leicht eine unangemessene Nutzung identifizieren, wenn Sie einen Hotspot ohne jegliche Zugangsbeschränkungen betreiben.
In bestimmten Fällen kann es möglich sein, dass Sie Ihren Hotspot bei der staatlichen
Regulierungsbehörde anmelden müssen.
12.5.1 Allgemein
Auf der Registerkarte Wireless Protection > Hotspots > Allgemein können Sie die Hotspots-
Funktion einschalten und angeben, welche Benutzer die Hotspot-Zugangsdaten anzeigen und verteilen können.
Um Hotspots zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Hotspots auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Allgemeine Hotspot-Einstellungen kann nun bearbeitet werden.
2.
Wählen Sie die zugelassenen Benutzer aus.
Wählen Sie die Benutzer aus, denen es möglich sein soll, über das Benutzerportal
Hotspot-Zugangsdaten bereitzustellen. Die hier ausgewählten Benutzer können das
Tages-Kennwort anzeigen und Hotspot-Voucher erstellen.
UTM 9 Administratorhandbuch
397
12.5 Hotspots
12 Wireless Protection
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Live -Pr otokoll
Das Live-Protokoll liefert Informationen über die Hotspot-Nutzung.Klicken Sie auf Live-
Protokoll öffnen, um das Hotspots-Live-Protokoll in einem neuen Fenster zu öffnen.
12.5.2 Hotspots
Auf der Registerkarte Wireless Protection > Hotspots > Hotspots verwalten Sie Ihre Hotspots.
Hinweis – Ein Hotspot muss einer existierenden Schnittstelle zugewiesen sein; in der Regel wird das eine WLAN-Schnittstelle sein. Alle Hosts, die diese Schnittstelle verwenden, unterliegen automatisch den Beschränkungen dieses Hotspots.Bevor Sie einen Hotspot erstellen, würden Sie daher zuerst ein WLAN-Netzwerk mit der Option Getrennte Zone anlegen und danach eine Schnittstelle für die entsprechende WLAN-Schnittstellenhardware definieren.Weitere Informationen hierzu finden Sie unter Wireless Protection >
Um einen Hotspot anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf Hotspot hinzufügen.
Das Dialogfenster Hotspot hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diesen Hotspot ein.
Schnittstellen: Fügen Sie die Schnittstellen hinzu, für die die Zugriffsbeschränkungen des Hotspots gelten sollen. Für die ausgewählten Schnittstellen muss eine Firewallregel existieren, die den gewünschten Datenverkehr zulässt. Eine Schnittstelle kann immer nur von einem Hotspot verwendet werden.
Hinweis – Wählen Sie hier keine Uplink-Schnittstelle aus.
Hotspot-Typ: Wählen Sie den Hotspot-Typ für die ausgewählten Schnittstellen.
l
Tages-Kennwort: Einmal am Tag wird automatisch ein neues Kennwort erstellt.Dieses Kennwort kann im Benutzerportal auf der Registerkarte Hotspots
398
UTM 9 Administratorhandbuch
12 Wireless Protection
12.5 Hotspots von allen auf der Registerkarte Allgemein festgelegten Benutzern eingesehen werden. Außerdem wird das Kennwort an die angegebenen E-Mail-Adressen gesendet.
l
Voucher: Wählen Sie diesen Hotspot-Typ, um im Benutzerportal zeit- oder volumenbeschränkte Gutscheine mit benutzerdefinierten Eigenschaften zu erstellen, die sich ausdrucken und an Gäste verteilen lassen. Nach Eingabe des
Codes erhalten Gäste Zugang zum Internet.
l
Annahme der Nutzungsbedingungen: Gäste erhalten erst nach Annahme der Nutzungsbedingungen Zugang zum Internet.
Kennwort erstellt um (nur bei Hotspot-Typ Tages-Kennwort): Die Tageszeit, zu der das neue Kennwort erstellt wird. Zu dieser Uhrzeit wird das bisherige Kennwort ungültig.
Alle laufenden Sitzungen werden beendet.
Kennwort per E-Mail senden an (nur bei Hotspot-Typ Tages-Kennwort): Geben Sie hier die E-Mail-Adressen ein, an die das Kennwort gesendet werden soll.
Voucher-Definitionen (nur bei Hotspot-Typ Voucher): Die Liste der existierenden
Voucher-Definitionen. Wählen Sie die Definitionen für Ihren Hotspot aus.
Benutzer müssen die Nutzungsbedingungen akzeptieren: Wählen Sie diese
Option, wenn die Hotspot-Nutzer Ihre Nutzungsbedingungen akzeptieren müssen, um
Zugang zum Internet zu erhalten.
l
Nutzungsbedingungen: Geben Sie hier den Text für die
Nutzungsbedingungen ein. Einfache HTML-Befehle und Hyperlinks sind gestattet.
Geräte pro Voucher (nur bei Hotspot-Typ Voucher): Geben Sie an, wie viele Geräte sich maximal mit einem Voucher während seines Gültigkeitszeitraums einloggen können.Die Option unbegrenzt wird nicht empfohlen.
Ablauf der Sitzung (nur bei Hotspot-Typ Annahme der Nutzungsbedingungen):
Geben Sie hier einen Zeitraum für die Gültigkeit des Internetzugangs an. Nach Ablauf dieses Zeitraums muss der Benutzer die Nutzungsbedingungen erneut akzeptieren, um sich wieder einloggen zu können.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Im Abschnitt Anmeldeseite anpassen können Sie die folgenden optionalen
Einstellungen vornehmen:
UTM 9 Administratorhandbuch
399
12.5 Hotspots
12 Wireless Protection
Logo entfernen: Entfernt das Logo von der Anmeldeseite.
Neues Logo hochladen: Legen Sie hier ein Logo für die Anmeldeseite fest.
Titel: Geben Sie hier einen Titel für die Anmeldeseite ein. Einfache HTML-Befehle und
Hyperlinks sind gestattet.
Benutzerdefinierter Text: Geben Sie hier zusätzlichen Text für die Anmeldeseite ein.
Sie können hier zum Beispiel die SSID des WLAN-Netzwerks eingeben. Einfache
HTML-Befehle und Hyperlinks sind gestattet.
Hinweis -Titel und Benutzerdefinierter Text werden auf den Vouchern ausgedruckt, wenn auf der Registerkarte Erweitert die entsprechenden Optionen ausgewählt wurden.
4.
Klicken Sie auf Speichern.
Der Hotspot wird erstellt und in der Hotspot-Liste angezeigt.
Tipp – Nachdem Sie den Hotspot gespeichert haben, können Sie eine Vorschau der
Anmeldeseite anzeigen.Klicken Sie dazu in der Hotspot-Liste auf die Schaltfläche Vorschau
der Anmeldeseite.
Um einen Hotspot zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
12.5.3 Voucher-Definitionen
Auf der Registerkarte Wireless Protection > Hotspots > Voucher-Definitionen verwalten Sie die
Definitionen für den Hotspot-Typ „Voucher“.
Um eine Voucher-Definition anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf Voucher-Definition hinzufügen.
Das Dialogfenster Voucher-Definition hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Voucher-Definition ein.
400
UTM 9 Administratorhandbuch
12 Wireless Protection
12.5 Hotspots
Gültigkeitszeitraum: Geben Sie an, wie lange ein Voucher mit dieser Definition gültig sein soll. Gezählt wird ab der ersten Anmeldung. Die Angabe eines Gültigkeitszeitraums wird empfohlen.
Zeitkontingent: Geben Sie hier die erlaubte Online-Zeit ein. Geben Sie die maximale
Online-Zeit ein, nach deren Erreichen ein Voucher mit dieser Definition abläuft. Gezählt wird ab der Anmeldung bis zur nächsten Abmeldung. Außerdem wird die Zählung nach
5 Minuten Inaktivität angehalten.
Datenmenge: Hier können Sie das Datenvolumen beschränken. Geben Sie eine maximale Datenmenge an, die mit dieser Voucher-Definition übertragen werden kann.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die Voucher-Definition wird erstellt und steht jetzt zur Erstellung eines Hotspots vom Typ
„Voucher“ zur Verfügung.
Um eine Voucher-Definition zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
12.5.4 Erweitert
Dr uckoptione n für Vouche r
Seitenformat: Legen Sie das Druckformat der Voucher fest.
Voucher pro Seite: Legen Sie fest, wie viele Voucher auf eine Seite gedruckt werden sollen.
Titel drucken/Benutzerdefinierten Text drucken: Geben Sie an, ob die Voucher mit einem Titel oder einem benutzerdefinierten Text gedruckt werden sollen.Titel oder Text definieren Sie für jeden Hotspot einzeln unter Anmeldeseite anpassen auf der Registerkarte
Hotspots.
Allge me ine Vouche r -Optione n
Hier können Sie einen Zeitraum angeben, nach dem nicht mehr gültige Voucher aus der
Datenbank gelöscht werden. Im Hotspot-Protokoll bleiben die Informationen über die gelöschten Voucher erhalten.
UTM 9 Administratorhandbuch
401
12.5 Hotspots
12 Wireless Protection
Einge schr ä nkte r Zuga ng zum I nte r ne t
Hier können Sie einzelne Hosts oder Netzwerke hinzufügen, auf die alle Benutzer ohne
Eingabe eines Kennworts oder Voucher-Codes unbeschränkten Zugriff haben.
402
UTM 9 Administratorhandbuch
13 Webserver Protection
In diesem Kapitel wird beschrieben, wie Sie die Web Application Firewall von Sophos UTM konfigurieren, die Ihre Webserver vor Angriffen und schädigendem Verhalten schützt.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
13.1 Web Application Firewall
Mit der Web Application Firewall (WAF), auch bekannt als Reverse Proxy, können Sie dank
Sophos UTM Ihre Webserver vor Angriffen und schädigendem Verhalten wie Cross-Site-
Scripting (XSS), SQL-Injection, Directory-Traversal und anderen gefährlichen Angriffen schützen.Sie können externe Adressen (virtuelle Server) definieren, die in die „echten“ Server
übersetzt werden, anstatt die DNAT-Regeln zu verwenden. Dies ermöglicht es auch, die
Server mit Hilfe verschiedener Muster und Erkennungsmethoden zu schützen.Einfach
ausgedrückt ermöglicht dieser Bereich der UTM die Anwendung von Bedingungen auf
Anfragen, die der Webserver erhält und versendet.Darüber hinaus bietet er Lastausgleich zwischen mehreren Zielen.
13.1.1 Allgemein
Auf der Registerkarte Web Application Firewall > Allgemein können Sie die Web Application
Firewall (WAF) aktivieren und deaktivieren.
Hinweis – Bevor Sie die WAF aktivieren können, müssen Sie mindestens einen virtuellen
Webserver auf der Registerkarte Virtuelle Webserver erstellen.
Um die WAF zu aktivieren, gehen Sie folgendermaßen vor:
1.
Erstellen Sie mindestens einen echten Webserver und einen virtuellen
Webserver.
In den Abschnitten
und
erhalten Sie weitere
Informationen.
13.1 Web Application Firewall
13 Webserver Protection
2.
Aktivieren Sie die Web Application Firewall.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und die Web Application Firewall wird aktiviert.
Live -Pr otokoll
Das WAF-Live-Protokoll liefert Fehlersuche-Informationen zu WAF-Ereignissen.Klicken Sie auf die Schaltfläche Live-Protokoll öffnen, um das WAF-Live-Protokoll in einem neuen Fenster zu öffnen.
13.1.2 Virtuelle Webserver
Auf der Registerkarte Web Application Firewall > Virtuelle Webserver können Sie virtuelle
Webserver anlegen.Als Teil der UTM bilden diese Webserver die Firewall zwischen dem
Internet und Ihren Webservern. Darum wird diese Art der Intervention auch Reverse Proxy genannt.Die UTM nimmt die Anfragen für die Webserver entgegen und schützt die echten
Webserver vor diversen Angriffen. Jeder virtuelle Server entspricht einem echten Webserver und legt die Sicherheitsstufe fest, die angewendet werden soll. Sie können auch mehr als einen echten Webserver in einer virtuellen Webserver-Definition verwenden.Auf diese Weise erzielen Sie einen Lastausgleich für Ihre echten Webserver.
Um einen virtuellen Server hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neuer virtueller Webserver.
Das Dialogfenster Virtuellen Webserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den virtuellen Webserver ein.
Typ: Legen Sie fest, ob die Kommunikation zwischen Client und virtuellem Webserver verschlüsselt (HTTPS) oder unverschlüsselt (HTTP) erfolgen soll.
Domänen (nur bei HTTP): Geben Sie die Domänen, für die der Webserver verantwortlich ist, als FQDN an, z. B. shop.beispiel.de.
Zertifikat (nur bei HTTPS): Wählen Sie aus der Auswahlliste das Zertifikat des
Webservers. Das Zertifikat muss vorher angelegt worden sein.
Domäne: Dieses Feld enthält den Hostnamen, für den das Zertifikat erstellt wurde.
404
UTM 9 Administratorhandbuch
13 Webserver Protection
13.1 Web Application Firewall
Domänen (nur bei SAN-Zertifikaten): Die WAF unterstützt „Subject Alternative
Name“-(SAN-)Zertifikate. Alle Hostnamen, die durch ein Zertifikat abgedeckt sind, werden in diesem Feld aufgelistet. Sie können einen oder mehrere
Hostnamen auswählen, indem Sie das Auswahlkästchen vor einem Hostnamen markieren.
Schnittstelle: Wählen Sie eine Schnittstelle aus der Auswahlliste aus, über die der
Webserver erreicht werden kann.
Port: Geben Sie eine Portnummer an, über die der virtuelle Webserver von außen erreicht werden kann.Der Standard ist Port 80 bei HTTP und Port 443 bei HTTPS.
Echte Webserver: Markieren Sie das Auswahlkästchen vor dem Webserver, dem Sie das Firewall-Profil zuweisen wollen. Wenn Ihre Webserver gespiegelt sind, können Sie auch mehr als einen Webserver auswählen. Auf diese Weise erzielen Sie standardmäßig einen Lastausgleich zwischen den ausgewählten Webservern.Auf der
Registerkarte Site-Pfad-Routing können Sie detaillierte Verteilungsregel festlegen.
Firewall-Profil: Wählen Sie aus der Auswahlliste ein Firewall-Profil aus. Dieses Profil wird angewendet, um die gewählten Webserver zu schützen.Sie können auch Kein Profil auswählen, um kein Firewall-Profil zu verwenden.
HTML-Umschreibung aktivieren (optional): Wählen Sie diese Option, damit die UTM die Links der zurückgegebenen Websites umschreibt, sodass die Links weiterhin funktionieren.Beispiel: Eine Ihrer echten Webserver-Instanzen hat den Hostnamen ihrefirma.local
, aber der Hostname des virtuellen Servers auf der UTM lautet ihrefirma.com
.Daher funktionieren absolute Links wie <a href="http://ihrefirma.local/"> nicht mehr, wenn der Link vor Weitergabe an den Client nicht in <a href="http://ihrefirma.com/"> umgeschrieben wird.Sie
brauchen diese Option jedoch nicht zu aktivieren, wenn ihrefirma.com auf Ihrem
Webserver konfiguriert ist oder wenn interne Links auf Ihren Websites immer als relative
Links geschrieben sind.Es wird empfohlen, die Option zu verwenden, wenn Sie Microsoft
Outlook Web Access und/oder Sharepoint Portal Server einsetzen.
Hinweis – Es ist wahrscheinlich, dass einige Links nicht korrekt umgeschrieben werden können und dadurch nicht funktionieren. Bitten Sie den/die Autor(en) Ihrer
Website, Links einheitlich zu formatieren.
UTM 9 Administratorhandbuch
405
13.1 Web Application Firewall
13 Webserver Protection
Die Funktion HTML-Umschreibung schreibt nicht nur URLs um, sie korrigiert auch fehlerhafte HTML-Syntax, zum Beispiel: o
<title>
-Tags werden im DOM-Baum vom Knoten html > title zum richtigen Knoten html > head > title verschoben verschoben o
Anführungszeichen um HTML-Attribut-Werte werden korrigiert (z. B. wird aus name="value""name="value"
)
Hinweis – HTML-Umschreibung wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere
Dateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch die HTML-Umschreibung beschädigt werden können.
Querverweis – Weitere Informationen finden Sie in der libxml-Dokumentation
( http://xmlsoft.org/html/libxml-HTMLparser.html
).
Host-Header durchreichen (optional): Wenn Sie diese Option wählen, bleibt der Host-
Header (Kopfzeile) so erhalten, wie er vom Client angefragt wurde, und wird mit der
Web-Anfrage an den Webserver weitergeleitet. Ob die Durchreichung des Host-
Headers in Ihrer Umgebung notwendig ist, hängt jedoch von der Konfiguration Ihres
Webservers ab.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der Server wird der Liste Virtuelle Webserver hinzugefügt.
Wenn mehr als ein Webserver für einen virtuellen Server konfiguriert ist, zeigt die Liste Virtuelle
Webserver eine Statusampel für jeden Webserver an. Die Statusampel eines Webservers ist rot, wenn der Server nicht aktiviert wurde.Sie ist gelb, wenn der Webserver nicht hochgefahren oder nicht verfügbar ist, und grün, wenn alles einwandfrei funktioniert.
13.1.3 Echte Webserver
Auf der Registerkarte Web Application Firewall > Echte Webserver können Sie die Webserver hinzufügen, die durch die WAF geschützt werden sollen.
Um einen Webserver hinzuzufügen, gehen Sie folgendermaßen vor:
406
UTM 9 Administratorhandbuch
13 Webserver Protection
13.1 Web Application Firewall
1.
Klicken Sie auf die Schaltfläche Neuer echter Webserver.
Das Dialogfenster Echten Webserver anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den Webserver ein.
Host: Wählen Sie einen Host des Typs Host oder DNS-Host aus oder fügen Sie ihn hinzu. Es ist sehr empfehlenswert, hier den DNS-Hostnamen zu verwenden, weil Hosts, die mit ihrer IP-Adresse aufgeführt sind, leere Host-Header übermitteln, was bei manchen Browsern zu Problemen führen kann.
Typ: Legen Sie fest, ob die Kommunikation zwischen der UTM und dem Webserver verschlüsselt (HTTPS) oder unverschlüsselt (HTTP) stattfinden soll.
Port: Geben Sie eine Portnummer für die Kommunikation zwischen der UTM und dem
Webserver ein.Der Standard ist Port 80 bei HTTP und Port 443 bei HTTPS.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der Server wird der Liste Echte Webserver hinzugefügt.
Wenn Ihre Webserver gefunden wurden, können Sie ihnen auf der Registerkarte Virtuelle
Webserver Firewall-Profile zuweisen.
13.1.4 Firewall-Profile
Auf der Registerkarte Web Application Firewall > Firewall-Profile können Sie WAF-Profile anlegen, die die Sicherheitsmodi und -stufen für Ihre Webserver festlegen.
Um ein WAF-Profil anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neues Firewall-Profil.
Das Dialogfenster Firewall-Profil anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für das Profil ein.
Modus: Wählen Sie einen Modus aus der Auswahlliste: l
Überwachen: HTTP-Anfragen werden überwacht und protokolliert.
l
Ablehnen: HTTP-Anfragen werden abgelehnt.
l
Verwerfen: HTTP-Anfragen werden verworfen.
UTM 9 Administratorhandbuch
407
13.1 Web Application Firewall
13 Webserver Protection
Der gewählte Modus wird angewendet, sobald eine der unten gewählten Bedingungen auf eine HTTP-Anfrage zutrifft.
SQL-Injection-Filter: Schützt einen Webserver vor SQL-Injections. Dafür werden
HTML-Formulare und andere Eingabefelder durch einen Parser und andere Methoden auf SQL-Befehle überprüft.
Cross-Site-Scripting-(XSS)-Filter: Schützt einen Webserver vor Cross-Site-
Scripting.Dafür werden HTML-Formulare und andere Eingabefelder durch einen
Parser und andere Methoden auf HTML- und CSS-Befehle geprüft.
Cookie-Signierung aktivieren: Schützt einen Webserver vor manipulierten
Cookies.Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie zum ersten
Cookie hinzugefügt, welcher einen Hash enthält, der aus dem Namen und dem Wert des ersten Cookies und einem Schlüssel besteht, wobei dieser Schlüssel nur der WAF bekannt ist. Wenn eine Anfrage nicht das richtige Cookie-Paar vorweisen kann, fand irgendeine Manipulation statt und der Cookie wird verworfen.
URL-Hardening aktivieren: Schützt vor URL-Umschreibung. Dafür werden alle URLs einer Website signiert, sobald ein Client diese Website anfordert. Die Vorgehensweise bei der Signierung ähnelt derjenigen bei der Cookie-Signierung. Darüber hinaus wird die
Antwort des Webservers im Hinblick darauf analysiert, welche Links als nächstes gültig angefordert werden können. Derartig „gefestigte“ URLs können des Weiteren als
Lesezeichen abgespeichert und später besucht werden. Wählen Sie eine der folgenden
Methoden, um Einstiegs-URLs zu definieren: l
Manuell definierte Einstiegs-URLs: Geben Sie URLs an, die als Einstiegs-
URLs für eine Website dienen und dadurch nicht signiert werden müssen.Die
Syntax muss einem der folgenden Beispiele entsprechen: http://shop.beispiel.de/produkte/
, https://shop.beispiel.de/produkte/ oder /produkte/.
l
Einstiegs-URLs von hochgeladener Google-Sitemap-Datei: Sie können hier eine Sitemap-Datei hochladen, die Informationen zur Struktur Ihrer Website enthält. Sitemap-Dateien können im XML- oder Nur-Text-Format hochgeladen werden. Letzteres enthält lediglich eine URL-Liste. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von der WAF geparst.
l
Einstiegs-URLs von Google-Sitemap-URL: Sie können die UTM eine
Sitemap-Datei von einer vorgegebenen URL herunterladen lassen, die
Informationen zur Struktur Ihrer Website enthält. Diese Datei kann regelmäßig
408
UTM 9 Administratorhandbuch
13 Webserver Protection
13.1 Web Application Firewall auf Aktualisierungen überprüft werden.Sobald das Profil gespeichert ist, wird die
Sitemap-Datei von der WAF heruntergeladen und geparst.
URL: Geben Sie den Pfad zur Sitemap als absolute URL ein.
Aktualisierung: Wählen Sie ein Aktualisierungsintervall aus dieser
Auswahlliste.Wenn Sie Manuell wählen, wird die Sitemap nur aktualisiert, wenn
Sie das Profil erneut speichern.
Hinweis – URL-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere
Dateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch das URL-Hardening beschädigt werden können.
Form-Hardening aktivieren: Schützt vor Umschreibung von Webformularen. Das
Form-Hardening speichert die ursprüngliche Struktur eines Webformulars und fügt eine
Signatur hinzu. Daher lehnt der Server die Anfrage ab, wenn sich die Struktur eines
Formulars, das an den Server übermittelt wird, geändert hat.
Hinweis – Form-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere
Dateitypen, z. B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch das Form-Hardening beschädigt werden können.
Antiviren-Scan verwenden: Wählen Sie diese Option, um einen Webserver vor Viren zu schützen.
AV-Mechanismen:Sophos UTM bietet mehrere Antiviren-Mechanismen für höchste Sicherheit.
l
Einzelscan: Standardeinstellung; bietet maximale Leistung. Die in der
Registerkarte
festgelegte Engine wird verwendet.
l
Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende
Verkehr von zwei verschiedenen Virenscannern gescannt wird.
Scan: Wählen Sie aus der Auswahlliste, ob nur Up- oder Downloads gescannt werden sollen oder beides.
UTM 9 Administratorhandbuch
409
13.1 Web Application Firewall
13 Webserver Protection
Clients mit schlechtem Ruf blockieren: Anhand von GeoIP- und RBL-
Informationen können Sie Clients blockieren, die laut ihrer Klassifizierung einen schlechten Ruf haben.Sophosverwendet folgende Klassifizierungsanbieter:
RBL-Quellen: l
Commtouch IP Reputation (ctipd.org) l dnsbl.proxybl.org
l http.dnsbl.sorbs.net
Die GeoIP-Quelle ist Maxmind . WAF blockiert Clients, die in eine der folgenden
Maxmind-Kategorien fallen: l
A1: Anonyme Proxies oder VPN-Dienste, die Clients nutzen, um ihre IP-
Adressen oder ihren ursprünglichen geografischen Standort zu verschleiern.
l
A2: Satellitenanbieter sind ISPs, die Benutzern auf der ganzen Welt
Internetzugang über Satellit zur Verfügung stellen, oftmals von Hochrisiko-
Ländern aus.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
WAF-Regeln übergehen: Fügen Sie diesem Feld Nummern von WAF-Regeln hinzu, die für das aktuelle Profil übersprungen werden sollen, z. B. weil sie Falschmeldungen verursachen.Die WAF-Regel-Nummern können Sie auf der Seite Protokolle & Berichte
> Web Application Firewall > Details mithilfe des Filters Top-Regeln abrufen.
Keine Fern-Abfragen für Clients mit schlechtem Ruf: Da Ruf-Anfragen an entfernte Klassifizierungsanbieter gesendet werden müssen, kann die Verwendung von rufbasiertem Blockieren zu Leistungseinbußen Ihres Systems führen. Wählen Sie diese
Option, um nur GeoIP-basierte Klassifizierung zu verwenden, bei der zwischengespeicherte Informationen zum Einsatz kommen, was die Geschwindigkeit deutlich erhöht.
4.
Klicken Sie auf Speichern.
Das WAF-Profil wird der Liste Firewall-Profile hinzugefügt.
410
UTM 9 Administratorhandbuch
13 Webserver Protection
13.1 Web Application Firewall
Weitere Informationen zu URL-Hardening und Form-
Hardening
Am besten wäre es, jederzeit sowohl URL-Hardening als auch Form-Hardening zu nutzen, da sich beide Funktionen gegenseitig ergänzen. Insbesondere verhindern Sie dadurch Probleme, die auftreten können, wenn Sie nur eine Option nutzen.
l
Nur Form-Hardening ist aktiviert: Wenn eine Webseite Hyperlinks enthält, denen
Abfragen angehängt sind (was bei bestimmten CMS der Fall ist), z. B.
http://beispiel.de/?view=article&id=1
, werden solche Seitenabfragen durch
Form-Hardening blockiert, da die Signatur fehlt.
l
Nur URL-Hardening ist aktiviert: Wenn ein Webbrowser Formulardaten an die Aktions-
URL des
form
-Tags eines Webformulars anhängt (was bei GET-Anfragen der Fall ist), werden die Formulardaten in die Anfrage-URL integriert, die an den Webserver gesendet wird, wodurch die URL-Signatur ungültig wird.
Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server die
Anfrage akzeptiert, wenn entweder Form-Hardening oder URL-Hardening die Anfrage für gültig befindet.
Outlook Web Access
Die Konfiguration der WAF für Outlook Web Access (OWA) ist etwas heikel, da OWA Anfragen von einer öffentlichen IP anders behandelt als interne Anfragen von einer internen LAN-IP an die OWA-Website. Es gibt Umleitungen (engl. redirects), die an die OWA-URLs angehängt werden, wobei bei externem Zugriff die externe FQDN verwendet wird, bei internen Anfragen hingegen die interne Server-IP-Adresse.
Zur Lösung muss das OWA-Verzeichnis als Einstiegs-URL im WAF-Profil Ihres OWA-
Webservers eingetragen werden (z. B. http://webserver/exchange/).Zusätzlich müssen
Sie eine Ausnahme anlegen, die URL-Hardening für den Pfad /exchange/* ausnimmt, und
Sie müssen die Cookie-Signierung für den virtuellen Server komplett ausschalten.
13.1.5 Ausnahmen
Auf der Registerkarte Web Application Firewall > Ausnahmen können Sie Webanfragen oder
Quellnetzwerke definieren, die von bestimmten Prüfungen ausgenommen sein sollen.
UTM 9 Administratorhandbuch
411
13.1 Web Application Firewall
13 Webserver Protection
1.
Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.
Das Dialogfenster Ausnahmenliste erstellen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Name: Geben Sie einen aussagekräftigen Namen für die Ausnahme ein.
Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen.
Auf dem virtuellen Webserver: Wählen Sie den virtuellen Webserver aus der
Auswahlliste, der von den gewählten Prüfungen ausgenommen werden soll.
Für alle Anfragen: Wählen Sie aus der Auswahlliste eine Anfragedefinition aus.
Beachten Sie, dass Sie zwei Anfragedefinitionen durch entweder „and“ (und) oder „or“
(oder) logisch kombinieren können.
Netzwerke: Wählen Sie die Quellnetzwerke, aus denen die Client-Anfragen stammen und die von den gewählten Prüfungen ausgenommen werden sollen, oder fügen Sie sie hinzu.
Pfade: Fügen Sie die Pfade in der Form /produkte/bilder/* hinzu, die von den gewählten Prüfungen ausgenommen werden sollen.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
HTML während URL-Hardening oder Form-Hardening nie ändern: Wenn diese
Option ausgewählt ist, werden keine Daten, die mit den festgelegten
Ausnahmeeinstellungen übereinstimmen, von der WAF-Engine geändert. Bei Auswahl dieser Option werden beispielsweise Binärdaten, die vom echten Webserver fälschlicherweise mit Text-/HTML-Inhalten bereitgestellt wurden, nicht beschädigt.
Andererseits können Webanfragen blockiert werden, wenn URL-Hardening, HTML-
Umschreibung oder Form-Hardening aktiviert ist. Diese drei Funktionen nutzen einen
HTML-Parser und hängen daher bis zu einem gewissen Grad von der Änderung von
Website-Inhalten ab. Um unerwünschtes Blockieren zu vermeiden, überspringen Sie
URL- bzw. Form-Hardening bei Anfragen, die von der Blockade betroffen sind.
Möglicherweise müssen Sie dies aufgrund von Abhängigkeiten zwischen Webservern bzw. Websites bei einer weiteren/neuen Ausnahme umsetzen.
4.
Klicken Sie auf Speichern.
Die Ausnahme wird der Liste Ausnahmen hinzugefügt.
412
UTM 9 Administratorhandbuch
13 Webserver Protection
13.1 Web Application Firewall
13.1.6 Site-Pfad-Routing
Auf der Registerkarte Web Application Firewall > Site-Pfad-Routing können Sie festlegen, an welche echten Webserver empfangene Anfragen weitergeleitet werden sollen.Sie können beispielsweise festlegen, dass alle URLs mit einem bestimmten Pfad, z. B. /products an einen bestimmten Webserver weitergeleitet werden. Sie können auch mehr als einen Webserver für eine bestimmte Anfrage konfigurieren und anhand von Regeln festlegen, wie die Anfragen an die Server verteilt werden sollen. Sie können beispielsweise auch festlegen, dass jede Sitzung während ihrer gesamten Dauer an einen bestimmten Webserver gebunden ist (Sitzung mit permanenter Serververbindung). Dies ist beispielsweise erforderlich, wenn Sie einen Online-
Shop betreiben und sicherstellen möchten, dass ein Kunde während eines Einkaufs immer mit demselben Server verbunden ist. Sie können auch einstellen, dass alle Anfragen an einen
Webserver gesendet werden und die anderen nur als Backup dienen.
Für jeden virtuellen Webserver wird eine Standard-Site-Pfad-Route (Mit Pfad /) automatisch erstellt.Die UTM wendet die Site-Pfad-Regeln automatisch in logischer Reihenfolge an: vom strengsten, d. h. längsten Pfad zum Standard-Pfad, der nur verwendet wird, wenn kein anderer, spezifischerer Site-Pfad auf die empfangene Anfrage zutrifft. Die Reihenfolge der
Liste der Site-Pfad-Routen spielt keine Rolle. Wenn keine Route auf eine empfangene Anfrag zutrifft, z. B. weil die Standard-Route gelöscht wurde, wird die Anfrage abgelehnt.
Hinweis – Der Zugriff auf die Registerkarte Site-Pfad-Routing ist erst möglich, wenn mindestens ein echter und ein virtueller Webserver erstellt wurden.
Um eine Site-Pfad-Route anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf die Schaltfläche Neue Site-Pfad-Route.
Das Dialogfenster Site-Pfad-Route anlegen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Für virtuelle Webserver: Wählen Sie den ursprünglichen Zielhost des eingehenden
Datenverkehrs.
alle Anfragen an diesen Pfad senden: Geben Sie den Pfad ein, für den Sie die Site-
Pfad-Route erstellen möchten, z. B. /products.
Echte(r) Webserver: Aktivieren Sie die Auswahlkästchen vor den echten Webservern, die dem jeweiligen Pfad zugeordnet sind.Die Reihenfolge der ausgewählten Server ist
UTM 9 Administratorhandbuch
413
13.1 Web Application Firewall
13 Webserver Protection
nur für die Option Backends im Hot-Standby-Modus betreiben relevant. Mit den
Sortiersymbolen können Sie die Reihenfolge ändern
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Optional können Sie die folgenden erweiterten Einstellungen vornehmen:
Hinweis – Die beiden erweiterten Einstellungen sind nur relevant, wenn Sie mehr als einen echten Webserver für die Site-Pfad-Route auswählen.
Permanenten Sitzungscookie für Backend-Auswahl verwenden: Wählen Sie diese Option, um sicherzustellen, dass jede Sitzung an einen echten Webserver gebunden ist.Wenn diese Option ausgewählt ist, wird ein Cookie im Browser des
Benutzers abgelegt. Daraufhin leitet die UTM alle Anfragen von diesem Browser an denselben echten Webserver weiter. Wenn der Server nicht verfügbar ist, wird das
Cookie aktualisiert und die Sitzung wechselt auf einen anderen Webserver.
Backends im Hot-Standby-Modus betreiben: Wählen Sie diese Option aus, wenn alle Anfragen an den ersten ausgewählten echten Webserver gesendet werden und die anderen Webserver nur als Backup dienen sollen. Die Backup-Server kommen nur zum
Einsatz, wenn der Hauptserver ausfällt.Sobald der Hauptserver wieder in Betrieb ist, wechseln die Sitzungen wieder zum Hauptserver, es sei denn, Sie haben die Option
Permanenten Sitzungscookie für Backend-Auswahl verwenden ausgewählt.
4.
Klicken Sie auf Speichern.
Die Site-Pfad-Route wird zur Liste der Site-Pfad-Routen hinzugefügt.
Um eine Site-Pfad-Route zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
13.1.7 Erweitert
Auf der Registerkarte Web Application Firewall > Erweitert können Sie die Schlüssel definieren, die für die Cookie-Signierung und das URL-Hardening verwendet werden.
C ookie -Signa tur schlüsse l
Hier können Sie einen eigenen Schlüssel angeben, der als Signaturschlüssel für die Cookie-
Signierung verwendet wird.
414
UTM 9 Administratorhandbuch
13 Webserver Protection
13.2 Zertifikatverwaltung
URL-Ha r de ning-Signa tur schlüsse l
Hier können Sie einen eigenen Schlüssel angeben, der als Signaturschlüssel für das URL-
Hardening verwendet wird.
For m-Ha r de ning-Einste llunge n
Hier können Sie einen eigenen Schlüssel angeben, der als Verschlüsselungsschlüssel für das
Form-Hardening-Token verwendet wird.Der Schlüssel muss aus mindestens acht Zeichen bestehen.
13.2 Zertifikatverwaltung
Über das Menü Webserver Protection > Zertifikatverwaltung, das dieselben
Konfigurationsoptionen enthält wie das Menü Site-to-Site-VPN > Zertifikatverwaltung, können
Sie alle zertifikatsbezogenen Vorgänge von Sophos UTM verwalten.Das beinhaltet unter anderem das Anlegen und Importieren von X.509-Zertifikaten ebenso wie das Hochladen sogenannter Zertifikatsperrlisten (CRLs).
13.2.1 Zertifikate
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
13.2.2 CA
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
13.2.3 Sperrlisten (CRLs)
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
13.2.4 Erweitert
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
.
UTM 9 Administratorhandbuch
415
14 RED-Verwaltung
In diesem Kapitel wird beschrieben, wie Sie Sophos RED konfigurieren.RED ist die Abkürzung für Remote Ethernet Device (entferntes Ethernet-Gerät) und bezeichnet eine Methode, räumlich getrennte Zweigniederlassungen und dergleichen mit Ihrer Hauptniederlassung zu verbinden, so als ob die Zweigniederlassung Teil Ihres lokalen Netzwerks sei.
Der Aufbau besteht aus einer Sophos UTM in Ihrer Hauptniederlassung und einem Remote
Ethernet Device (RED) in Ihrer Zweigniederlassung. Die Herstellung einer Verbindung zwischen den beiden ist ausgesprochen einfach, da das RED-Gerät selbst nicht konfiguriert werden muss. Sobald das RED-Gerät mit Ihrer UTM verbunden ist, verhält es sich wie jedes andere Ethernet-Gerät auf Ihrer UTM.Aller Verkehr Ihrer Zweigstelle wird sicher über Ihre
UTM geroutet, das bedeutet, dass Ihre Zweigniederlassung so gesichert ist wie Ihr lokales
Netzwerk.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
Bild 22 RED: Aufbaukonzept
Der Aufbau einer RED-Umgebung umfasst die folgenden Schritte:
1.
Aktivierung der RED-Unterstützung.
2.
Konfiguration des RED-Geräts auf Ihrer UTM.
14.1 Übersicht
14 RED-Verwaltung
3.
Verbindung des RED-Geräts mit dem Internet am entfernten Standort.
Hinweis – Die Übersichtsseite von RED zeigt allgemeine Informationen zur RED-
Architektur, solange noch kein RED-Gerät konfiguriert ist. Wenn ein RED-Gerät konfiguriert wurde, zeigt die Seite Informationen zum Status von RED.
RED-Live -Pr otokoll öffne n
Sie können das Live-Protokoll verwenden, um die Verbindung zwischen Ihrer Sophos UTM und dem RED-Gerät zu überwachen.Klicken Sie auf die Schaltfläche RED-Live-Protokoll
öffnen, um das Live-Protokoll in einem neuen Fenster zu öffnen.
14.1 Übersicht
Die Seite Übersicht bietet allgemeine Informationen darüber, wofür RED gedacht ist, wie es funktioniert und wie ein typischer Einsatz von RED aussieht.
14.2 Allgemeine Einstellungen
Auf der Registerkarte Allgemeine Einstellungen können Sie die Unterstützung für RED einoder ausschalten, das heißt, ob Ihre UTM als RED-Hub agiert.Sie müssen die RED-
Unterstützung einschalten, bevor ein RED-Gerät eine Verbindung mit der UTM herstellen kann.
Um die RED-Unterstützung zu aktivieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die RED-Unterstützung auf der Registerkarte Allgemeine
Einstellungen.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt RED-Hub-Konfiguration kann nun bearbeitet werden.
2.
Geben Sie Informationen zu Ihrer Organisation ein.
Standardmäßig werden die Einstellungen von der Registerkarte Verwaltung >
Systemeinstellungen > Organisatorisches verwendet.
418
UTM 9 Administratorhandbuch
14 RED-Verwaltung
14.3 Clientverwaltung
3.
Klicken Sie auf RED aktivieren.
Die Statusampel wird grün und die RED-Unterstützung wird aktiviert.Ihre UTM registriert sich nun beim RED Provisioning Service (RPS) von Sophos, um als RED-Hub zu agieren.
Sie können nun fortfahren, indem Sie ein oder mehrere RED-Geräte auf der Seite
hinzufügen.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe
Statusampel.
14.3 Clientverwaltung
Auf der Seite RED-Verwaltung > Clientverwaltung können Sie die Verbindung von entfernten
UTMs mit Ihrer UTM über einen Remote Ethernet Device (RED)-Tunnel aktivieren.Die
entfernten UTMs fungieren dann einfach als RED-Geräte.Darüber hinaus können Sie RED-
Geräte manuell konfigurieren (Expertenmodus), anstatt die Einrichtungshilfe zu verwenden.
Die Einrichtungshilfe ist ein bequemerer Weg, RED-Geräte zu konfigurieren, und befindet sich auf der nächsten WebAdmin-Seite.
Jedes RED-Gerät oder jede UTM, das/die hier konfiguriert ist, kann eine Verbindung zu Ihrer
UTM herstellen.
Die Markierung [Server] vor dem Seitennamen gibt an, dass diese Seite nur konfiguriert werden muss, wenn die UTM als Server (RED-Hub) fungieren soll.
Hinweis – Damit sich RED-Geräte verbinden können, müssen Sie zunächst die RED-
Unterstützung auf der Seite Allgemeine Einstellungen aktivieren.
Einrichten eines RED-Tunnels zwischen zwei UTMs
Damit eine weitere UTM über einen RED-Tunnel eine Verbindung mit Ihrer lokalen UTM herstellen kann, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufügen.
Das Dialogfenster RED hinzufügen wird geöffnet.
UTM 9 Administratorhandbuch
419
14.3 Clientverwaltung
14 RED-Verwaltung
2.
Nehmen Sie die folgenden Einstellungen vor:
Zweigstellenname: Geben Sie einen Namen für die Zweigstelle ein, in der sich die
Client-UTM befindet, z. B. „Büro München“.
Client-Typ: Wählen Sie UTM aus der Auswahlliste aus.
Tunnel-ID: Standardmäßig ist Automatisch ausgewählt. Tunnel werden durchnummeriert.Sie müssen sicherstellen, dass die Tunnel-ID beider UTMs eindeutig ist. In diesem Fall kann es sinnvoll sein, eine andere ID aus der Auswahlliste auszuwählen.
3.
Klicken Sie auf Speichern.
Das UTM-Objekt wird erstellt.
4.
Laden Sie die Bereitstellungsdatei herunter.
Um der entfernten (Client-)UTM die Konfigurationsdaten bereitzustellen, laden Sie die
Bereitstellungsdatei mit Hilfe der Schaltfläche Download herunter und übertragen Sie die Datei auf sichere Weise zur entfernten UTM.
Konfiguration eines RED-Geräts
Um ein RED-Gerät mit Ihrer lokalen UTM zu verbinden, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Clientverwaltung auf RED hinzufügen.
Das Dialogfenster RED hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Zweigstellenname: Geben Sie einen Namen für die Zweigstelle ein, in der sich das
RED-Gerät befindet, z. B. „Büro München“.
Client-Typ: Wählen Sie RED 10 oder RED 50 aus der Auswahlliste, je nachdem, mit welchem RED-Typ Sie eine Verbindung herstellen möchten.
RED ID: Geben Sie die ID des RED-Geräts ein, das Sie gerade konfigurieren. Diese ID finden Sie auf der Rückseite des RED-Geräts und auf dessen Verpackung.
Tunnel-ID: Standardmäßig ist Automatisch ausgewählt. Tunnel werden durchnummeriert. Wenn Sie IDs haben, die miteinander in Konflikt stehen, wählen Sie eine andere ID aus der Auswahlliste aus.
Entsperrcode (optional): Während der ersten Einrichtung eines RED-Geräts wird ein
Entsperrcode generiert. Dabei handelt es sich um eine Sicherheitsfunktion, die dafür
420
UTM 9 Administratorhandbuch
14 RED-Verwaltung
14.3 Clientverwaltung sorgt, dass ein RED-Gerät nicht einfach entfernt und woanders installiert werden kann.
In dem Fall, dass das RED-Gerät, die Sie konfigurieren wollen, zuvor bereits einmal eingerichtet wurde, benötigen Sie dessen Entsperrcode.(Wenn Sie nicht im Besitz des
Entsperrcodes sind, ist der einzige Weg, das RED-Gerät zu entsperren, den Sophos-
Support zu kontaktieren.)
UTM-Hostname: Sie müssen eine öffentliche IP-Adresse oder einen Hostnamen eingeben, über den der Zugriff auf Ihre UTM möglich ist.
2. UTM-Hostname: Für RED 50-Appliances können Sie eine weitere öffentliche IP-
Adresse oder einen anderen Hostnamen derselben UTM eingeben.Beachten Sie, dass
Sie keine IP-Adressen oder Hostnamen einer anderen UTM eingeben können.
Uplink-Modus/2. Uplink-Modus: Sie können festlegen, wie das RED-Gerät eine IP-
Adresse erhält, entweder über DHCP oder indem Sie ihm direkt eine statische IP-
Adresse zuweisen. Für RED 50-Geräte legen Sie den Uplink-Modus jedes RED-Uplink-
Ethernet-Anschlusses separat fest.
l
DHCP-Client: Das RED-Gerät bezieht eine IP-Adresse von einem DHCP-
Server.
l
Statische Adresse: Geben Sie eine IPv4-Adresse, eine entsprechende
Netzmaske, ein Standardgateway und einen DNS-Server ein.
Hinweis – Es existiert keine eindeutige Zuordnung zwischen UTM-Hostnamen und
RED-Uplink-Ethernet-Anschlüssen.Jeder RED-Anschluss versucht, eine Verbindung mit jedem definierten UTM-Hostnamen herzustellen. Dies führt zu einer effektiveren
Ausnutzung der Bandbreite und einer erhöhten Zuverlässigkeit.
Betriebsmodus: Sie können festlegen, wie das entfernte Netzwerk in Ihr lokales
Netzwerk integriert werden soll.
l
Standard/Vereint: Die UTM kontrolliert den Netzwerkverkehr des entfernten
Netzwerks vollständig. Darüber hinaus agiert sie als DHCP-Server und als
Standardgateway.Das Routing des gesamten Netzwerkverkehrs des entfernten
Netzwerks erfolgt über die UTM.
l
Standard/Getrennt: Die UTM kontrolliert den Netzwerkverkehr des entfernten
Netzwerks vollständig. Darüber hinaus agiert sie als DHCP-Server und als
Standardgateway.Im Gegensatz zum vereinten Modus wird nur bestimmter
UTM 9 Administratorhandbuch
421
14.3 Clientverwaltung
14 RED-Verwaltung
Verkehr über die UTM geroutet.Legen Sie unten im Feld Getrennte Netzwerke lokale Netzwerke fest, auf die entfernte Clients Zugriff haben sollen.
l
Transparent/Getrennt: Die UTM kontrolliert den Netzwerkverkehr des entfernten Netzwerks nicht, sie dient weder als DHCP-Server noch als
Standardgateway. Im Gegenteil, sie bezieht eine IP-Adresse vom DHCP-Server des entfernten Netzwerks, um ein Teil von jenem Netzwerk zu werden. Dennoch können Sie entfernten Clients Zugriff auf Ihr lokales Netzwerk geben.Dafür müssen Sie Getrennte Netzwerke festlegen, auf die vom entfernten Netzwerk aus zugegriffen werden darf.Darüber hinaus können Sie eine oder mehrere
Getrennte Domänen festlegen, die zugänglich sein sollen.Falls Ihre lokalen
Domänen nicht öffentlich auflösbar sind, müssen Sie einen Getrennten DNS-
Server angeben, der Anfragen von den entfernten Clients entgegennimmt.
Beispiele zu diesen Betriebsmodi finden Sie auf der Registerkarte Einrichtungshilfe.
Hinweis – Die folgenden Konfigurationen müssen Sie immer manuell vornehmen: 1)
Das Anlegen der notwendigen Firewallregeln (Network Protection > Firewall >
Regeln).2) Das Anlegen der notwendigen Maskierungsregeln (Network Protection >
NAT > Maskierung).
3.
Klicken Sie auf Speichern.
Das RED-Gerät wird angelegt und die UTM registriert sich am Sophos RED-
Bereitstellungsdienst (RED Provisioning Service, RPS).
Wichtiger Hinweis – Es ist äußerst wichtig, dass Sie sich den Entsperrcode aufschreiben, der sofort an die E-Mail-Adresse gesendet wird, die auf der
Registerkarte Allgemeine Einstellungen angegeben wurde (während der Aktivierung von RED), sobald sich das RED-Gerät am RPS registriert.Sie benötigen den
Entsperrcode, wenn Sie das RED-Gerät mit einer anderen UTM verwenden wollen.Wenn Sie dann den Entsperrcode nicht parat haben, ist der einzige Weg, das
RED-Gerät zu entsperren, den Sophos-Support zu kontaktieren.
Wenn Sie die notwendigen Firewallregeln (und, falls nötig, Maskierungsregeln) konfiguriert haben, kann das RED-Gerät am entfernten Standort mit dem Internet verbunden werden.Sobald es hochgefahren ist, holt es sich seine Konfiguration vom SophosRED
Provisioning Service (RPS).Danach wird die Verbindung zwischen Ihrer UTM und dem RED-
Gerät aufgebaut.Sie können den Gerätestatus aller konfigurierten RED-Geräte auf der RED-
Übersichtsseite des WebAdmin verfolgen.
422
UTM 9 Administratorhandbuch
14 RED-Verwaltung
14.4 Einrichtungshilfe
Löschung eines RED-Geräts
Um ein RED-Gerät zu löschen, klicken Sie auf die Schaltfläche Löschen neben dem Namen des
Geräts.
Sie werden einen Warnhinweis sehen, dass das RED-Objekt Abhängigkeiten hat.Beachten
Sie, dass beim Löschen eines RED-Geräts dazugehörige Schnittstellen und deren
Abhängigkeiten nicht gelöscht werden. Dieses Verhalten ist bewusst so gewählt, da es Ihnen ermöglicht, eine Schnittstelle von einem RED-Gerät zu einem anderen zu verschieben.
Wenn Sie eine RED-Konfiguration vollständig entfernen wollen, müssen Sie eventuelle
Schnittstellen und andere Definitionen manuell löschen.
14.4 Einrichtungshilfe
Die Registerkarte RED-Verwaltung > Einrichtungshilfe verfügt über einen Assistenten, der das
Einrichten und die Integration einer RED-Umgebung erleichtert.Der Assistent ist als einfache
Alternative zur normalen Konfiguration auf der Registerkarte Clientverwaltung gedacht.Sie
müssen lediglich die erforderlichen Felder ausfüllen, falls notwendig auch Felder, die als
optional gekennzeichnet sind, und dann auf die Schaltfläche RED einrichten klicken.
Die Markierung [Server] vor dem Seitennamen gibt an, dass diese Seite nur konfiguriert werden muss, wenn die UTM als Server (RED-Hub) fungieren soll.
Hinweis – Der Einfachheit halber erstellt die Einrichtungshilfe in den Modi Standard/Vereint und Standard/Getrennt im Gegensatz zur Registerkarte Clientverwaltung folgende Objekte automatisch: eine lokale Schnittstelle mit der festgelegten IP-Adresse; einen DHCP-Server für das entfernte Netzwerk, der die Hälfte des verfügbaren IP-Adressbereichs abdeckt;
Zugriff auf die lokale DNS-Auflösung.Für den Modus Transparent/Getrennt legt die
Einrichtungshilfe nur eine DHCP-Client-Schnittstelle an (Kabelmodem (DHCP)).
Die Einrichtungshilfe bietet eine Kurzbeschreibung zu jeder Option und eine schematische
Darstellung für jeden der drei Betriebsmodi, die mit der RED-Technologie möglich sind.
Unten finden Sie eine Beschreibung und Anwendungsfälle für die drei Betriebsmodi von RED.
UTM 9 Administratorhandbuch
423
14.4 Einrichtungshilfe
14 RED-Verwaltung
Standard/Vereint
Die UTM verwaltet das gesamte entfernte Netzwerk.Sie fungiert als DHCP-Server und als
Standardgateway.
Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle des RED-Geräts und dessen Uplink-Schnittstelle zu Ihrer lokalen UTM in diesem Modus.
Beispiel: Sie haben eine Zweigstelle und möchten aus Sicherheitsgründen, dass sämtlicher
Verkehr der Zweigstelle über die im Hauptsitz befindliche UTM geleitet wird. Auf diese Weise wird die Zweigstelle Teil Ihres lokalen Netzwerks als ob Sie über LAN verbunden wäre.
Standard/Getrennt
Wie im Modus Standard/Vereint verwaltet die UTM das gesamte entfernte Netzwerk.Sie
fungiert als DHCP-Server und als Standardgateway.Der Unterschied besteht darin, dass nur
Netzwerkverkehr, der an Netzwerke weitergeleitet wird, die im Feld Getrennte Netzwerke aufgeführt sind, zu Ihrer lokalen UTM umgeleitet wird.
Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle des RED-Geräts und dessen Uplink-Schnittstelle zu Ihrer lokalen UTM in diesem Modus. Verkehr, der nicht von den aufgeführten getrennten Netzwerken stammt, wird direkt ins Internet geroutet.
Beispiel: Sie haben eine Zweigstelle und möchten für sie Zugriff auf Ihr lokales Intranet einrichten oder den Datenverkehr des entfernten Netzwerks aus Sicherheitsgründen über Ihre
UTM leiten, z. B. um die Daten auf Viren zu überprüfen oder um einen HTTP-Proxy einzusetzen.
Transparent/Getrennt
Das entfernte Netzwerk bleibt unabhängig, die UTM ist Teil dieses Netzwerks, da sie eine IP-
Adresse vom entfernten DHCP Server erhält. Nur bestimmter Verkehr des entfernten
Netzwerks hat Zugriff auf bestimmte Netzwerke oder lokale Domänen von Ihnen.Da die UTM keine Kontrolle über das entfernte Netzwerk hat, können lokale Domänen, die nicht öffentlich aufgelöst werden können, nicht vom entfernten Router aufgelöst werden. Zu diesem Zweck müssen Sie einen Getrennten DNS-Server definieren. Das ist ein lokaler DNS-Server von
Ihnen, der Anfragen von den entfernten Clients entgegennimmt.
Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle des RED-Geräts und dessen Uplink-Schnittstelle zu Ihrer lokalen UTM sowie eine Bridge zum entfernten
424
UTM 9 Administratorhandbuch
14 RED-Verwaltung
14.5 Tunnelverwaltung
Router.Da die UTM nur ein Client des entfernten Netzwerks ist, ist es nicht möglich, die getrennten Netzwerke auf die gleiche Weise zu routen wie in den anderen Modi.Daher liest das
RED-Gerät allen Verkehr mit: Verkehr, der für ein Netzwerk bestimmt ist, das im Feld
Getrennte Netzwerke aufgeführt ist, oder zu einer Domäne geht, die im Feld Getrennte
Domänen aufgeführt ist, wird zur Schnittstelle von UTM umgeleitet.Dies wird erreicht, indem die MAC-Adresse des Standardgateways in den betreffenden Datenpaketen durch die MAC-
Adresse der UTM ersetzt wird.
Beispiel: Sie haben einen Partner oder einen Dienstleister, der Zugang zu Ihrem Intranet oder einem bestimmten Server in Ihrem lokalen Netzwerk haben soll. Durch die Verwendung eines
RED-Geräts bleibt das Netzwerk Ihres Partners vollständig unabhängig von Ihrem Netzwerk, aber er kann auf einen festgelegten Teil Ihres Netzwerks zu bestimmten Zwecken zugreifen, so als wäre er über LAN verbunden.
Hinweis – Bei Verwendung der Einrichtungshilfe ist der Uplink-Modus des RED-Geräts in jedem Betriebsmodus DHCP-Client.Wenn es notwendig ist, stattdessen eine statische IP-
Adresse zu benutzen, müssen Sie das RED-Gerät über die Registerkarte Clientverwaltung konfigurieren.
14.5 Tunnelverwaltung
Auf der Seite RED-Verwaltung > Tunnelverwaltung können Sie Ihre UTM so konfigurieren, dass sie sich wie ein RED-Gerät verhält, um so einen RED-Tunnel zu einer anderen UTM aufbauen zu können.Die entfernte Host-UTM dient dann als RED-Hub für Ihre UTM.
Die Markierung [Client] vor dem Seitennamen gibt an, dass diese Seite nur konfiguriert werden muss, wenn die UTM als RED-Client fungieren soll.
Um Ihre UTM mit der Host-UTM zu verbinden, benötigen Sie eine Bereitstellungsdatei.Diese
Datei muss auf der Host-UTM generiert werden (siehe
Um Ihre UTM mit der Host-UTM zu verbinden, gehen Sie folgendermaßen vor:
1.
Fügen Sie auf der Host-UTM Ihre lokale UTM zur Liste Clientverwaltung hinzu.
2.
Laden Sie auf der Host-UTM die Bereitstellungsdatei für Ihre UTM herunter.
3.
Klicken Sie auf Ihrer lokalen UTM auf Tunnel hinzufügen.
Das Dialogfenster Tunnel hinzufügen wird geöffnet.
UTM 9 Administratorhandbuch
425
14.5 Tunnelverwaltung
14 RED-Verwaltung
4.
Nehmen Sie die folgenden Einstellungen vor:
Tunnelname: Geben Sie einen aussagekräftigen Namen für diesen Tunnel ein.
UTM-Host: Wählen Sie den entfernten UTM-Host.
Prov.- Datei: Klicken Sie auf das Ordnersymbol, wählen Sie die Bereitstellungsdatei
(provisioning file) aus, die Sie hochladen wollen und klicken Sie auf Hochladen starten.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
5.
Klicken Sie auf Speichern.
Der RED-Tunnel wird aufgebaut und in der Liste Tunnelverwaltung angezeigt.
426
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
In diesem Kapitel wird die Konfiguration der Site-to-Site-VPN-Einstellungen von Sophos UTM beschrieben.Site-to-Site-VPNs werden in Sophos UTM über sogenannte Virtual Private
Networks (VPNs, dt. virtuelle private Netzwerke) realisiert. Diese sind ein kostengünstiger und sicherer Weg für räumlich getrennte Netzwerke, um miteinander über ein öffentliches
Netzwerk wie das Internet vertraulich zu kommunizieren.Sie verwenden das kryptografische
Tunnelprotokoll IPsec, um Vertraulichkeit und Datenschutz für die übertragenen Daten zu gewährleisten.
Querverweis – Weitere Informationen zur Konfiguration von Site-to-Site-VPN-
Verbindungen finden Sie in der
Sophos Wissensdatenbank
.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
Die Site-to-Site-VPN-Übersichtsseite in WebAdmin zeigt alle konfigurierten Amazon-VPC-,
IPsec- und SSL-Verbindungen sowie deren augenblicklichen Zustand. Der Zustand einer
Verbindung wird durch die Farbe ihrer Statusampel wiedergegeben. Es gibt zwei Arten von
Statusampeln. Die größeren neben dem Verbindungsnamen informieren Sie über den
Gesamtzustand einer Verbindung. Die verschiedenen Farben bedeuten Folgendes: l
Grün – Alle SAs (Security Association, dt. Sicherheitsverbindung) wurden hergestellt.
Die Verbindung ist voll funktionsfähig.
l
Gelb – Nicht alle SAs wurden hergestellt. Die Verbindung ist nur eingeschränkt funktionsfähig.
l
Rot – Keine SAs wurden hergestellt. Die Verbindung ist nicht funktionsfähig.
Die kleineren Statusampeln neben der Information zum Tunnel geben den Zustand des
Tunnels wieder. Hier bedeuten die Farben Folgendes:
15.1 Amazon VPC
15 Site-to-Site-VPN
l
Grün – Alle SAs wurden hergestellt. Der Tunnel ist voll funktionsfähig.
l
Gelb – Die IPsec-SA wurde hergestellt, die ISAKMP-SA (Internet Security Association
and Key Management Protocol) hingegen wurde nicht hergestellt. Der Tunnel ist voll funktionsfähig.
l
Rot – Keine SAs wurden hergestellt. Die Verbindung ist nicht funktionsfähig.
15.1 Amazon VPC
Die Amazon Virtual Private Cloud (VPC) ist ein kommerzieller Cloud-Computing-Dienst. Ein
Benutzer kann virtuelle private Clouds anlegen, welche danach mit einem lokalen Netzwerk verbunden und zentral über IPsec-Tunnel verwaltet werden können.
Sie können Ihre Amazon VPC mit Ihrer Sophos UTM verbinden, falls die UTM eine statische
öffentliche IP-Adresse besitzt.Die gesamte Konfiguration der VPN-Verbindungen muss in der
Amazon-Umgebung durchgeführt werden. Danach können Sie die Verbindungsdaten einfach mit Hilfe Ihrer Amazon-Zugangsdaten oder einer Konfigurationsdatei importieren.
15.1.1 Status
Auf der Seite Site-to-Site-VPN > Amazon VPC > Status wird eine Liste mit allen Verbindungen zu Ihren Amazon VPCs angezeigt.
Hier können Sie die Verbindungen aktivieren und deaktivieren.
Um Verbindungen zur Amazon VPC zu aktivieren, gehen Sie folgendermaßen vor:
1.
Wählen Sie auf der Seite Einrichtung mindestens eine VPC-Verbindung.
2.
Aktivieren Sie Amazon VPC auf der Status-Seite.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel zeigt Grün und die importierten VPC-Verbindungen werden angezeigt.
3.
Aktivieren Sie die gewünschte Verbindung.
Klicken Sie auf die Statusampel der Verbindung, die Sie aktivieren wollen.
Die Statusampel zeigt Grün und die beiden Tunnel der VPC-Verbindung werden angezeigt.
428
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.1 Amazon VPC
Hinweis – Aus Redundanzgründen besteht jede Verbindung aus zwei Tunneln: einem aktiven und einem Ersatztunnel (Backup). Aktive Tunnel können anhand des
Vorhandenseins einer Netzmaske am Ende Ihrer BGP-Zeile erkannt werden. Die
Statusampeln der Tunnel werden lediglich zur Überwachung der Tunnel angezeigt –
Sie können Tunnel darüber nicht aktivieren oder deaktivieren.
Um alle Amazon-VPC-Verbindungen zu deaktivieren, klicken Sie auf die oberste Statusampel oder die Schaltfläche Disable. Um eine einzelne Verbindung zu deaktivieren, klicken Sie auf die
Statusampel der jeweiligen Verbindung.
Um eine Verbindung zu schließen oder aus der Liste zu löschen, klicken Sie auf das rote
Löschen-Symbol der jeweiligen Verbindung.
Hinweis – Da die Verbindungen auf der Amazon-VPC-Seite konfiguriert werden, können
Sie eine gelöschte Verbindung in Sophos UTM mit den ursprünglichen Daten neu importieren.
15.1.2 Einrichtung
Auf der Seite Site-to-Site-VPN > Amazon VPC > Einrichtung können Sie Verbindungen zu Ihrer
Amazon Virtual Private Cloud (VPC) hinzufügen.Sie können entweder alle Verbindungen importieren, die gemeinsam in einem Amazon-Web-Service-(AWS)-Konto konfiguriert wurden und die IP-Adresse Ihrer Sophos UTM als Customer Gateway (Amazon-Ausdruck für Ihren
Endpunkt einer VPC-VPN-Verbindung) verwenden. Oder Sie können Verbindungen nacheinander hinzufügen, indem Sie die Konfigurationsdatei verwenden, die Sie von Amazon herunterladen können.
I mpor t übe r Ama zon-Zuga ngsda te n
Sie können alle Verbindungen auf einmal importieren, die mit einem einzigen AWS-Konto konfiguriert wurden und die IP-Adresse Ihrer Sophos UTM als Customer Gateway verwenden.
Geben Sie einfach die AWS-Benutzerdaten ein, die Sie erhalten haben, als Sie Ihr Amazon-
Web-Service-Konto eingerichtet haben.
Hinweis – Alle vorhandenen Verbindungen, die auf der Registerkarte Status aufgeführt sind, werden während des Imports gelöscht.
Um Verbindungen zu importieren, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
429
15.2 IPsec
15 Site-to-Site-VPN
1.
Nehmen Sie die folgenden Einstellungen vor:
Access Key: Geben Sie Ihren Amazon Access Key ein. Dabei handelt es sich um eine
Folge von 20 alphanumerischen Zeichen.
Secret Key: Geben Sie Ihren Secret Key ein. Dabei handelt es sich um eine Folge von
40 Zeichen.
2.
Klicken Sie auf Übernehmen.
Die Verbindungen werden importiert und danach auf der Seite Status angezeigt.
I mpor t übe r Ama zon-VPC -Konfigur a tion
Um eine einzelne Verbindung zu einer vorhandenen Liste an Verbindungen hinzuzufügen, müssen Sie die Konfigurationsdatei der entsprechenden Verbindung hochladen.
Um eine einzelne Verbindung zu importieren, gehen Sie folgendermaßen vor:
1.
Laden Sie die Konfigurationsdatei Ihrer Amazon-VPC-Verbindung herunter.
Stellen Sie im Dialogfenster von Amazon sicher, dass Sie Sophos aus der Auswahlliste
Vendor auswählen.
2.
Öffnen Sie das Dialogfenster Hochladen starten.
Klicken Sie auf das Ordnersymbol neben dem Feld VPC-Konfigdatei.
3.
Wählen Sie die Konfigurationsdatei aus und laden Sie sie hoch.
Um die gewählte Datei hochzuladen, klicken Sie auf die Schaltfläche Hochladen starten.
Der Dateiname wird im Feld VPC-Konfigdatei angezeigt.
4.
Klicken Sie auf Übernehmen.
Die Verbindung wird importiert und danach auf der Seite Status angezeigt.
15.2 IPsec
IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)
Kommunikationen durch Verschlüsselung- und/oder Authentifizierung aller IP-Pakete.
Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle: l
Transportmodus (engl. Transport Mode) l
Tunnelmodus (engl. Tunnel Mode) l
Authentication Header (AH): Protokoll für Authentifizierung
430
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec l
Encapsulated Security Payload (ESP): Protokoll für Verschlüsselung (und
Authentifizierung)
Des Weiteren bietet IPsec Methoden für die manuelle und die automatische Verwaltung von
Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlüsselverteilung.Alle
diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.
IPsec-Modi
IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-
Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden
Tunnelendpunkte jedoch um ein Astaro Security Gateway handelt, muss der Tunnelmodus verwendet werden.Die IPsec-VPN-Verbindungen auf dieser UTM arbeiten immer im
Tunnelmodus.
Im Transportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket eingepackt. Der ursprüngliche IP-Header wird beibehalten und das übrige Paket wird entweder im Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschlüsselt und authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über das WAN geschickt.
Im Tunnelmodus wird das komplette Paket – Header und Payload – in ein neues IP-Paket gekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse auf den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes bleiben unverändert. Das Originalpaket kann dann mit AH authentifiziert oder mit ESP authentifiziert und verschlüsselt werden.
IPsec-Protokolle
IPsec verwendet für die sichere Kommunikation auf IP-Ebene zwei Protokolle: l
Authentication Header (AH): Ein Protokoll für die Authentifizierung von Absendern eines Pakets sowie zur Überprüfung der Integrität des Paketinhalts.
l
Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung des gesamten Pakets sowie für die Authentifizierung seines Inhalts.
UTM 9 Administratorhandbuch
431
15.2 IPsec
15 Site-to-Site-VPN
Das Authentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität des
Paketinhalts. Des Weiteren überprüft es, ob die Sender- und Empfänger-IP-Adressen während der Übertragung geändert wurden. Die Authentifizierung des Pakets erfolgt anhand einer Prüfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in
Verbindung mit einem Schlüssel und einem Hash-Algorithmus berechnet wurde. Einer der folgenden Hash-Algorithmen wird verwendet: l
Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht mit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie ein
Fingerabdruck des Paketinhalts und ändert sich, wenn die Nachricht verändert wird.
Dieser Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeichnet.
l
Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zum MD5 einen 160-Bitlangen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer als MD5.
Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-
Algorithmus etwas höher.Die Berechnungsgeschwindigkeit hängt natürlich von der
Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf Sophos
UTM verwendet werden.
Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.
Wenn ESP im Tunnelmodus verwendet wird, wird das komplette IP-Paket (Header und
Payload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IPund ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse des Empfänger-
Gateways und die Adresse des Absender-Gateway. Diese IP-Adressen entsprechen denen des VPN-Tunnels.
Für ESP mit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet: l
Triple Data Encryption Standard (3DES) l
Advanced Encryption Standard (AES)
Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit.Sophos UTMunterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der
SHA-1-Algorithmus verwendet werden.
432
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec
NAT-Traversal (NAT-T)
NAT-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungen
über NAT-Geräte aufzubauen. Dies wird erreicht, indem UDP-Verkapselung der ESP-Pakete benutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wird nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls werden normale ESP-Pakete verwendet.
Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway oder ein Road Warrior hinter einem NAT-Router befindet. Wenn Sie diese Funktion nutzen wollen, müssen allerdings beide IPsec-Endpunkte NAT-Traversal unterstützen – das wird automatisch ausgehandelt. Zusätzlich muss auf dem NAT-Gerät der IPsec-Passthrough
(IPsec-Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeinträchtigen kann.
Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes
Benutzerobjekt im WebAdmin eine Statische Fernzugriffs-IP-Adresse (RAS, engl. remote static IP address) besitzen (siehe auch Statische Fernzugriffs-IP verwenden auf der Seite
im WebAdmin).
Um zu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten übermittelt werden, sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zur
Aufrechterhaltung (engl. keep alive).Durch dieses Aufrechterhaltungssignal wird sichergestellt, dass der NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.
TOS
Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header.Diese Bits werden Type-
of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird.
Bei der IPsec-Implementierung von Sophos UTM wird der TOS-Wert immer kopiert.
15.2.1 Verbindungen
Auf der Registerkarte Site-to-Site-VPN > IPsec > Verbindungen können Sie IPsec-
Verbindungen anlegen und bearbeiten.
Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:
UTM 9 Administratorhandbuch
433
15.2 IPsec
15 Site-to-Site-VPN
1.
Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Verbindung.
Das Dialogfenster IPsec-Verbindung hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.
Entferntes Gateway: Wählen Sie eine Gateway-Definition für das entfernte
Gateway.Entfernte Gateways werden auf der Registerkarte Site-to-Site-VPN > IPsec >
Entfernte Gateways definiert.
Lokale Schnittstelle: Wählen Sie den Namen der Schnittstelle aus, die als lokaler
Endpunkt für den IPsec-Tunnel dienen soll.
Richtlinie: Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus.IPsec-
Richtlinien können auf der Registerkarte Site-to-Site-VPN > IPsec > Richtlinien definiert werden.
Lokale Netzwerke: Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnel erreichbar sein sollen.
Automatische Firewallregeln: Wählen Sie diese Option, um automatisch
Firewallregeln hinzuzufügen, die Datenverkehr für diese VPN-Verbindung zulassen. Die
Regeln werden hinzugefügt, sobald die VPN-Verbindung erfolgreich aufgebaut wurde und sie werden entfernt, wenn die Verbindung beendet wurde.Wenn Sie eine striktere
IPsec-Verbindung wünschen, deaktivieren Sie die Option Automatische Firewallregeln und verwenden Sie stattdessen IPsec-Objekte im Firewallregelwerk.
Striktes Routing: Wenn diese Funktion eingeschaltet ist, erfolgt das VPN-Routing nicht nur anhand der Zieladresse, sondern anhand von Quell- und Zieladresse. Auf diese Weise werden nur Datenpakete durch den VPN-Tunnel geleitet, die mit der
Tunneldefinition exakt übereinstimmen.Als Folge davon können Sie kein SNAT verwenden, um Netzwerke oder Hosts zum VPN-Tunnel hinzuzufügen, die nicht von vornherein Teil der Tunneldefinition sind. Andererseits können Sie, wenn striktes
Routing ausgeschaltet ist, keine gemischte unverschlüsselte/verschlüsselte
Konfiguration für dasselbe Netzwerk je nach Quelladresse haben.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Verbindung wird in der IPsec-Liste Verbindungen angezeigt.
434
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec
Um eine Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Live-Protokoll öffnen: Das IPsec-VPN-Live-Protokoll dient zur Überwachung der aufgebauten IPsec-Verbindungen.Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.
15.2.2 Entfernte Gateways
Auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways können Sie die entfernten Gateways (engl. remote gateways) für Ihre Site-to-Site-VPN-Tunnel definieren.Diese Remote-Netzwerk-Definitionen stehen dann für die Konfiguration der IPsec-
Verbindungen auf der Registerkarte IPsec > Verbindungen zur Verfügung.
Um ein entferntes Gateway hinzuzufügen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Entfernte Gateways auf Neues entferntes
Gateway.
Das Dialogfenster Entferntes Gateway hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für das entfernte Gateway ein.
Gateway-Typ: Wählen Sie den Gateway-Typ aus. Die folgenden Typen sind verfügbar: l
Verbindung initiieren: Wählen Sie diesen Typ aus, wenn der entfernte
Endpunkt eine statische IP-Adresse besitzt, sodass das Gateway eine Verbindung zum entfernten Gateway initiieren kann.Wenn Sie diese Option gewählt haben, geben Sie im Feld Gateway das entfernte Gateway an. Beachten Sie, dass Sie diesen Typ auch wählen können, wenn das entfernte Gateway über DynDNS aufgelöst werden kann.
l
Nur antworten: Wählen Sie diesen Typ aus, wenn die IP-Adresse des entfernten
Endpunkts unbekannt ist oder nicht über DynDNS aufgelöst werden kann. Das
Gateway ist nicht in der Lage, eine Verbindung zu dem entfernten Gateway aufzubauen und wartet deshalb auf eingehende Verbindungen, auf die es lediglich antworten muss.
Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für diese
Definition des entfernten Gateways aus.Die folgenden Typen sind verfügbar: l
Verteilter Schlüssel: Authentifizierung mit Verteilten Schlüsseln (PSK, engl.
Preshared Keys) verwendet geheime Kennwörter als Schlüssel. Diese
UTM 9 Administratorhandbuch
435
15.2 IPsec
15 Site-to-Site-VPN
Kennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindung aufgebaut wird. Wenn ein neuer VPN-Tunnel aufgebaut ist, überprüft jede Seite, ob die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hängt von der Qualität der verwendeten Kennwörter ab: Normale Wörter und
Ausdrücke fallen schnell Wörterbuchangriffen zum Opfer. Permanente oder längerfristige IPsec-Verbindungen sollten stattdessen Zertifikate oder RSA-
Schlüssel verwenden.
l
RSA-Schlüssel: Authentifizierung mit RSA-Schlüsseln ist technisch ausgefeilter.
Bei dieser Methode erzeugt jede Seite der Verbindung ein Schlüsselpaar, das aus einem öffentlichen (engl. public key) und einem privaten Schlüssel (engl. private key) besteht. Der private Schlüssel wird zur Verschlüsselung und
Authentifizierung während des Schlüsselaustauschs benötigt.Beide Endpunkte einer IPsec-VPN-Verbindung benötigen bei dieser Authentifizierungsmethode ihr eigenes Schlüsselpaar.Kopieren Sie den öffentlichen RSA-Schlüssel der
Gegenstelle (Site-to-Site-VPN > IPsec > Lokaler RSA-Schlüssel) in das Feld
Öffentlicher Schlüssel auf dem lokalen System und andersherum. Geben Sie darüber hinaus die VPN-ID-Typen und die VPN-IDs an, die zu den entsprechenden RSA-Schlüsseln gehören.
l
Lokales X.509-Zertifikat: Das X.509-Zertifikat basiert ähnlich wie die
Authentifizierung mit RSA-Schlüsseln auf öffentlichen Schlüsseln und privaten
Schlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüssel zusammen mit zusätzlichen Informationen über den Besitzer des Schlüssels.Solche Zertifikate sind von einer CA (Zertifizierungsinstanz, engl. Certificate Authority) signiert und ausgestellt, der der Besitzer vertraut. Während des Schlüsselaustauschs werden die Zertifikate ausgetauscht und mit Hilfe lokal gespeicherter CA-Zertifikate authentifiziert. Wählen Sie diese Authentifizierungsmethode aus, wenn das
X.509-Zertifikat des entfernten VPN-Gateways auf dem lokalen System gespeichert ist.
l
Remote-X.509-Zertifikat: Wählen Sie diese Authentifizierungsmethode aus, wenn das X.509-Zertifikat des entfernten VPN-Gateways nicht auf dem lokalen
System gespeichert ist.In diesem Fall müssen Sie den VPN-ID-Typ und die VPN-
ID des Zertifikats angeben, das auf dem entfernten VPN-Gateway genutzt wird, d.
h. das Zertifikat, das im Bereich Lokales X.509-Zertifikat auf der Registerkarte
Site-to-Site-VPN > IPsec > Erweitert ausgewählt ist.
VPN-ID-Typ: Abhängig von der ausgewählten Authentifizierungsmethode müssen Sie einen VPN-ID-Typ und eine VPN-ID angeben. Die hier angegebene VPN-ID muss mit
436
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec dem Wert auf der Gegenstelle übereinstimmen.Angenommen, Sie verwenden zwei
UTM Appliances, um einen Site-to-Site-VPN-Tunnel aufzubauen.Wenn Sie dann als
Authentifizierungsmethode RSA-Schlüssel auf dem lokalen System auswählen, müssen der VPN-ID-Typ und die VPN-ID mit dem übereinstimmen, was auf der Registerkarte
Site-to-Site-VPN > IPsec > Lokale RSA-Schlüssel im WebAdmin der Gegenstelle konfiguriert ist.Sie können zwischen den folgenden VPN-ID-Typen wählen: l
IP-Adresse
l
Hostname
l
E-Mail-Adresse
l
Distinguished Name: Nur bei der Authentifizierungsmethode Remote-X.509-
Zertifikat verfügbar.
l
Any: Standard beim Gateway-Typ Nur antworten.
Entfernte Netzwerke: Wählen Sie die entfernten Netzwerke aus, die über das entfernte Gateway erreichbar sein sollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Nehmen Sie gegebenenfalls erweiterte Einstellungen vor.
Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen die
Auswirkungen bekannt sind:
Pfad-MTU-Ermittlung zulassen:PMTU (Path Maximum Transmission Unit) bezeichnet die Größe der übermittelten Datenpakete. Die gesendeten IP-Datenpakete sollten so groß sein, dass sie gerade noch ohne Fragmentierung entlang der Strecke zum Ziel transportiert werden können.Zu große Datenpakete werden von den Routern auf der Strecke verworfen, wenn diese Pakete ohne Fragmentierung nicht weitergeleitet werden können. An die Absender werden dann ICMP-Pakete mit der Nachricht ICMP
Destination Unreachable (dt. ICMP-Ziel nicht erreichbar) sowie einem Code gesendet, der „Fragmentierung benötigt und DF gesetzt“ bedeutet. Aufgrund dieser Nachricht setzt der Quellhost seinen angenommenen PMTU-Wert für die Strecke herab.
Wenn Sie diese Option aktivieren, aktiviert UTM PMTU, wenn dies auf Serverseite aktiviert ist.
Überlastkontrolle (ECN) unterstützen: ECN (Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermöglicht End-to-End-
UTM 9 Administratorhandbuch
437
15.2 IPsec
15 Site-to-Site-VPN
Benachrichtigungen über Netzwerküberlastungen, ohne dass Pakete verworfen werden. Wählen Sie diese Option, wenn Sie ECN-Daten aus dem ursprünglichen IP-
Paket-Header in den IPsec-Paket-Header kopieren möchten. Beachten Sie, dass der entfernte Endpunkt ECN ebenso unterstützen muss wie das zugrunde liegende
Netzwerk und die beteiligten Router.
XAUTH-Client-Modus aktivieren: XAUTH ist eine Erweiterung von IPsec-IKE, um
Benutzer über Benutzername und Kennwort auf einem VPN-Gateway zu authentifizieren. Um XAUTH für die Authentifizierung auf diesem entfernten Gateway zu verwenden, wählen Sie die Option aus und geben Sie den Benutzernamen und das
Kennwort (zweimal) an, das vom entfernten Gateway erwartet wird.
4.
Klicken Sie auf Speichern.
Die Gateway-Definition wird in der Liste Entfernte Gateways angezeigt.
Um eine Definition eines entfernten Gateway zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
15.2.3 Richtlinien
Auf der Registerkarte IPsec > Richtlinien können Sie die Parameter für IPsec-Verbindungen definieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinie legt die
Internet-Schlüsselaustausch-Methode (IKE, Internet Key Exchange) und die IPsec-
Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eine
IPsec-Richtlinie.
Hinweis - Sophos UTM unterstützt in IKE-Phase 1 nur den Hauptmodus (engl. main mode).
Der aggressive Modus (engl. aggressive mode) wird nicht unterstützt.
Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.
Das Dialogfenster IPsec-Richtlinie hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.
IKE-Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den
Algorithmus fest, der für die Verschlüsselung der IKE-Nachrichten verwendet wird. Die folgenden Algorithmen werden unterstützt:
438
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec l
DES (56 Bit) l
3DES (168 Bit) l
AES 128 (128 Bit) l
AES 192 (192 Bit) l
AES 256 (256 Bit) l
Blowfish (128 Bit) l
Twofish (128 Bit) l
Serpent (128 Bit)
IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest, welcher Algorithmus verwendet wird, um die Intaktheit der IKE-Nachrichten zu prüfen.
Die folgenden Algorithmen werden unterstützt: l
MD5 (128 Bit) l
SHA1 (160 Bit) l
SHA2 256 (256 Bit) l
SHA2 384 (384 Bit) l
SHA2 512 (512 Bit)
IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die die
IKE-SA (Security Association, dt. Sicherheitsverbindung) gültig ist und wann die nächste
Schlüsselerneuerung stattfindet. Gültige Werte liegen zwischen 60 und 28800 Sekunden
(8 Std.). Als Standardwert sind 7800 Sekunden voreingestellt.
IKE-DH-Gruppe: Während der Aushandlung einer Verbindung gleichen die beiden
Gegenstellen auch die aktuellen Schlüssel für die Datenverschlüsselung ab. Für die
Generierung des Sitzungsschlüssels (session key) nutzt IKE den Diffie-Hellman-(DH-)
Algorithmus. Dieser Algorithmus generiert den Schlüssel per Zufallsprinzip basierend auf sogenannten Pool Bits. Die IKE-Gruppe gibt hauptsächlich Aufschluss über die
Anzahl der Pool Bits. Je mehr Pool Bits, umso länger ist die zufällige Zahlenkette – je größer die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmus geknackt werden. Folglich bedeuten mehr Pool Bits höhere Sicherheit, was allerdings auch bedeutet, dass mehr CPU-Leistung für die Generierung benötigt wird. Momentan werden die folgenden Diffie-Hellman-Gruppen unterstützt:
UTM 9 Administratorhandbuch
439
15.2 IPsec
15 Site-to-Site-VPN
l
Gruppe 1: MODP 768 l
Gruppe 2: MODP 1024 l
Gruppe 5: MODP 1536 l
Gruppe 14: MODP 2048 l
Gruppe 15: MODP 3072 l
Gruppe 16: MODP 4096
Hinweis – Gruppe 1 (MODP 768) wird allgemein als sehr schwach eingestuft und wird hier nur aus Kompatibilitätsgründen unterstützt.
IPsec-Verschlüsselungsalgorithmus: Die gleichen Verschlüsselungsalgorithmen wie für IKE.
IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmen wie für IKE. Zusätzlich werden noch folgende Algorithmen unterstützt:
SHA2 256 (96 Bit)
SHA2 384 (96 Bit)
SHA2 512 (96 Bit)
Diese sind für die Kompatibilität mit Tunnelendpunkten verfügbar, die nicht RFC 4868 entsprechen, beispielsweise frühere UTM-Versionen (d. h. ASG-Versionen) als V8, und deshalb keine abgeschnittenen Prüfsummen länger als 96 Bit unterstützen.
IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die die
IPsec-SA (Security Association, dt. Sicherheitsverbindung) gültig ist und wann die nächste Schlüsselerneuerung stattfindet. Gültige Werte liegen zwischen 60 und 86400
Sekunden (1 Tag). Als Standardwert sind 7800 Sekunden voreingestellt.
IPsec-PFS-Gruppe:Perfect Forward Secrecy (PFS) ist eine Eigenschaft von
Verschlüsselungsverfahren, die sicherstellt, dass aus einem geknackten Schlüssel nicht auf vorhergehende oder nachfolgende Sitzungsschlüssel einer
Kommunikationsverbindung geschlossen werden kann. Damit PFS besteht, darf der zum Schutz der IPsec-SA-Verbindung genutzte Schlüssel nicht von demselben zufällig erzeugten Verschlüsselungsmaterial hergeleitet worden sein wie die Schlüssel für die
IKE-SA-Verbindung. Daher initiiert PFS einen zweiten Diffie-Hellman-
440
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec
Schlüsselaustausch mit der Absicht, der ausgewählten DH-Gruppe für die IPsec-
Verbindung einen neuen zufällig erzeugten Schlüssel zu übergeben. Es werden die gleichen DH-Gruppen wie bei IKE unterstützt.
Die Aktivierung von PFS wird als sicherer eingestuft, aber es benötigt auch mehr Zeit bei der Aushandlung. Es wird davon abgeraten, PFS auf langsamer Hardware einzusetzen.
Hinweis – PFS ist nicht immer gänzlich kompatibel mit den verschiedenen Herstellern.
Wenn Sie Probleme während der Aushandlung feststellen, schalten Sie diese Funktion aus.
Strikte Richtlinie: Wenn ein IPsec-Gateway eine Anfrage hinsichtlich eines
Verschlüsselungsalgorithmus und der Verschlüsselungsstärke unternimmt, kann es vorkommen, dass das Gateway des Empfängers diese Anfrage akzeptiert, obwohl das nicht mit der entsprechenden IPsec-Richtlinie übereinstimmt. Wenn Sie diese Option wählen und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameter verwenden will, kommt keine IPsec-Verbindung zustande.Angenommen die IPsec-
Richtlinie Ihrer UTM verlangt AES-256-Verschlüsselung, wohingegen ein Road Warrior mit SSH-Sentinel sich mit AES-128 verbinden will – wenn die Option für die strikte
Richtlinie aktiviert ist, wird die Verbindung abgewiesen.
Hinweis – Die Komprimierungseinstellung wird durch Aktivierung der Option Strikte
Richtlinie nicht erzwungen.
Komprimierung: Diese Option legt fest, ob IP-Pakete vor der Verschlüsselung mit dem
IP Payload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert die
Größe von IP-Paketen, indem es sie komprimiert, um die allgemeine
Kommunikationsleistung zwischen einem Paar von kommunizierenden Hosts oder
Gateways zu erhöhen. Komprimierung ist standardmäßig ausgeschaltet.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Richtlinie wird in der Liste Richtlinien angezeigt.
Um eine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
441
15.2 IPsec
15 Site-to-Site-VPN
15.2.4 Lokaler RSA-Schlüssel
Bei der RSA-Authentifizierung werden zur Authentifizierung der VPN-Endpunkte RSA-
Schlüssel verwendet. Die öffentlichen Schlüssel der Endpunkte werden manuell ausgetauscht, bevor die Verbindung aufgebaut wird.Wenn Sie diese Authentifizierungsmethode verwenden möchten, müssen Sie eine VPN-ID definieren und einen lokalen RSA-Schlüssel generieren.Der öffentliche RSA-Schlüssel des Gateways muss anschließend den IPsec-
Geräten der Gegenstelle zugänglich gemacht werden, die IPsec-RSA-Authentifizierung für
Sophos UTM verwenden.
Aktue lle r loka le r öffe ntliche r RSA-Schlüsse l
In diesem Feld wird der öffentliche Teil des aktuell installierten RSA-Schlüsselpaares angezeigt.Um den Schlüssel in die Zwischenablage zu kopieren, klicken Sie in das Feld, drücken Sie STRG-A und anschließend STRG-C.
VPN-Optione n für loka le n RSA-Schlüsse l
Wählen Sie den VPN-ID-Typ entsprechend Ihren Anforderungen aus. Standardmäßig ist der
Hostname des Gateways als VPN-ID voreingestellt.Wenn Sie eine statische IP-Adresse als
VPN-Endpunkt haben, wählen Sie IP-Adresse. Verwenden Sie alternativ eine E-Mail-Adresse als VPN-ID für mobile IPsec-Road-Warriors.
l
Hostname: Standardeinstellung; der Hostname des Gateways. Sie können jedoch auch einen anderen Hostnamen eingeben.
l
E-Mail-Adresse: Standardmäßig ist die E-Mail-Adresse des Admin-Kontos des
Gateways voreingestellt. Sie können aber eine beliebige andere E-Mail-Adresse eingeben.
l
IP-Adresse: Die IP-Adresse der externen Schnittstelle des Gateways.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.Änderungen haben keine
Auswirkungen auf den RSA-Schlüssel.
Loka le n RSA-Schlüsse l ne u e r ste lle n
Um einen neuen RSA-Schlüssel zu generieren, wählen Sie die gewünschte Schlüssellänge aus und klicken auf die Schaltfläche Übernehmen. Anschließend wird der Generierungsprozess gestartet, der – abhängig von der Schlüssellänge und der verwendeten Hardware – zwischen ein paar Minuten und zwei Stunden benötigen kann. Die Schlüssellänge ist ein Maß für die
442
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec
Anzahl der Schlüssel, die bei einer Chiffre möglich sind. Die Länge wird üblicherweise in Bit angegeben. Die folgenden Schlüssellängen werden unterstützt: l
1024 Bit l
2048 Bit l
4096 Bit
Sobald der neue RSA-Schlüssel generiert wurde, wird der zugehörige öffentliche Schlüssel im
Feld Aktueller lokaler öffentlicher RSA-Schlüssel angezeigt.Die Generierung eines neuen
RSA-Schlüssels überschreibt den alten Schlüssel.
15.2.5 Erweitert
Auf der Registerkarte Site-to-Site-VPN > IPsec > Erweitert können Sie die erweiterten
Einstellungen für IPsec-VPN vornehmen.Abhängig von Ihrer bevorzugten
Authentifizierungsmethode können Sie unter anderem das lokale Zertifikat (für X.509-
Authentifizierung) und den lokalen RSA-Schlüssel (für RSA-Authentifizierung) festlegen. Diese
Einstellungen sollten nur von erfahrenen Benutzern durchgeführt werden.
Loka le s X.50 9-Ze r tifika t
Bei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüssel der VPN-Endpunkte zu überprüfen.Wenn Sie diese Authentifizierungsmethode verwenden wollen, müssen Sie im Abschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der
Auswahlliste wählen. Das ausgewählte Zertifikat bzw. Schlüssel wird anschließend dafür genutzt, um das Gateway gegenüber Gegenstellen zu authentifizieren, falls X.509-
Authentifizierung ausgewählt ist.
Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhanden ist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.
Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines im Menü
Zertifikatverwaltung hinzufügen, entweder indem Sie ein neues erzeugen oder indem Sie eines
über die Upload-Funktion importieren.
Nachdem Sie das Zertifikat ausgewählt haben, geben Sie das Kennwort ein, mit dem der private Schlüssel geschützt ist. Während des Speichervorgangs wird das Kennwort verifiziert und eine Fehlermeldung angezeigt, falls das Kennwort nicht zum verschlüsselten Schlüssel passt.
UTM 9 Administratorhandbuch
443
15.2 IPsec
15 Site-to-Site-VPN
Sobald ein aktiver Schlüssel oder ein Zertifikat ausgewählt ist, wird er/es im Abschnitt Lokales
X.509-Zertifikat angezeigt.
De a d Pe e r De te ction ( DPD)
Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenn das VPN-Gateway oder der Client auf der Gegenseite nicht erreichbar ist. Bei Verbindungen mit statischen Endpunkten wird der Tunnel nach einem Ausfall automatisch neu ausgehandelt.
Für Verbindungen mit dynamischen Endpunkten wird für eine neue Aushandlung des Tunnels die Anfrage seitens der Gegenstelle benötigt. In der Regel ist diese Funktion betriebssicher und kann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob die
Gegenstelle Dead Peer Detection unterstützt oder nicht, und verwenden den normalen Modus, falls nötig.
NAT-Tr a ve r sa l ( NAT-T)
NAT-Traversal verwenden: Wählen Sie diese Option, um zu ermöglichen, dass IPsec-
Verkehr Upstream-Systeme passieren kann, die Network Address Translation (NAT, dt.
Netzwerkadressumsetzung) verwenden. Zusätzlich können Sie das Intervall für die
Aufrechterhaltung (engl. keep-alive) für NAT-Traversal festlegen.Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
C RL-Ha ndha bung
Es sind Situationen denkbar, in denen ein Zertifikataussteller noch während der
Gültigkeitsdauer eines Zertifikats die darin gegebene Bestätigung für ungültig erklären möchte, z. B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vom Zertifikatnehmer unter
Angabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifizierten
öffentlichen Schlüssel gehörende private Schlüssel einem Angreifer in die Hände gefallen ist.Zu
diesem Zweck werden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate Revocation
Lists) verwendet. Diese enthalten üblicherweise die Seriennummern derjenigen Zertifikate einer Zertifizierungsinstanz, die für ungültig erklärt werden und deren regulärer
Gültigkeitszeitraum noch nicht abgelaufen ist.
Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedem Fall keine Gültigkeit mehr und muss daher auch nicht weiter auf der Zertifikatsperrliste geführt werden.
Automatische Abholung: Mit dieser Funktion wird die CRL automatisch über die URL abgeholt, die im Partnerzertifikat angegeben ist, via HTTP, anonymes FTP (Anonymous FTP) oder LDAP Version 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert und aktualisiert werden, sobald der Gültigkeitszeitraum abgelaufen ist. Wenn Sie diese Funktion
444
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.2 IPsec nutzen (jedoch nicht über Port 80 oder 443), achten Sie darauf, dass die Firewallregeln so gesetzt sind, dass auf den CRL-Distributionsserver zugegriffen werden kann.
Strikte Richtlinie: Wenn Sie diese Option auswählen, werden alle Partnerzertifikate ohne eine zugehörige CRL zurückgewiesen.
Pr obing von ve r te ilte n Schlüsse ln
Für IPsec-Verbindungen, die im Nur-Antworten-Modus (engl. respond-only) arbeiten, können
Sie festlegen, dass mehrere verteilte Schlüssel (PSK, engl. preshared keys) für jede IPsec-
Verbindung zugelassen sind.
Probing von verteilten Schlüsseln: Markieren Sie das Auswahlkästchen, um die Funktion zu aktivieren. Diese Option betrifft L2TP-über-IPsec-, IPsec-Fernzugriff- und IPsec-Site-to-
Site-Verbindungen.
15.2.6 Fehlersuche
I KE-Fe hle r suche
Im Abschnitt IKE-Fehlersuche können Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe der
Auswahlkästchen legen Sie fest, für welche Arten von IKE-Nachrichten oder -Kommunikation zusätzliche Informationen in das Fehlerprotokoll geschrieben werden.
Hinweis – Der Abschnitt IKE-Fehlersuche ist für die Registerkarten Fehlersuche der Menüs
Site-to-Site VPN IPsec, Fernzugriff IPsec, L2TP über IPsec und Cisco VPN Client identisch.
Die folgenden Flags können protokolliert werden: l
Kontrollverlauf: Kontrollnachrichten zum IKE-Status l
Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten l
Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten l
Kernel-Messaging: Kommunikationsnachrichten mit dem Kernel l
Hochverfügbarkeit: Kommunikation mit anderen Hochverfügbarkeitsknoten
UTM 9 Administratorhandbuch
445
15.3 SSL
15 Site-to-Site-VPN
15.3 SSL
Site-to-Site-VPN-Tunnel können über eine SSL-Verbindung aufgebaut werden. SSL-VPN-
Verbindungen benutzen dabei eindeutige Rollen: Die Tunnelendpunkte agieren entweder als
Client oder als Server. Es ist stets der Client, der die Verbindung initiiert, während der Server auf Client-Anfragen antwortet. Denken Sie daran, dass hierin der Unterschied zu IPsec liegt, wo beide Endpunkte normalerweise eine Verbindung initiieren können.
Hinweis – Wenn beim Verbindungsaufbau Probleme auftreten, überprüfen Sie, ob SSL-
Scanning auf dem Webfilter, der sich im Transparenzmodus befindet, aktiviert ist.Wenn das der Fall ist, stellen Sie sicher, dass der Zielhost der VPN-Verbindung zu den
Transparenzmodus-Ausnahmen unter Web Protection > Webfilter >
hinzugefügt wurde.
15.3.1 Verbindungen
Wenn Sie einen SSL-VPN-Site-to-Site-Tunnel anlegen, müssen Sie zuerst die
Serverkonfiguration anlegen. Die Konfiguration des Clients muss immer erst der zweite Schritt sein.
Um eine Serverkonfiguration anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfenster SSL-Verbindung hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Verbindungstyp: Wählen Sie Server aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.
Statische virtuelle IP-Adresse verwenden (optional): Wählen Sie diese Option nur, wenn der IP-Adressenpool nicht mit der Netzwerkumgebung des Clients kompatibel ist:
Standardmäßig erhalten Clients eine IP-Adresse aus dem Virtuellen IP-Pool
(konfigurierbar auf der Registerkarte Einstellungen). In Ausnahmefällen kann es passieren, dass eine solche IP-Adresse auf dem Host des Clients bereits in Benutzung ist.Geben Sie in diesem Fall eine passende IP-Adresse in das Feld Statische Peer-IP ein, welche daraufhin dem Client während des Tunnelaufbaus zugewiesen wird.
446
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.3 SSL
Lokale Netzwerke: Fügen Sie ein oder mehrere lokale Netzwerke hinzu, die für den
Fernzugriff zugelassen sein sollen.
Entfernte Netzwerke: Fügen Sie ein oder mehrere Netzwerke der Gegenstelle hinzu, die sich mit dem/den lokalen Netzwerk(en) verbinden dürfen.
Hinweis – Sie können die lokalen Netzwerke und die entfernten Netzwerke auch später noch konfigurieren, ohne dass Sie den Client neu konfigurieren müssten.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, gewährt die
UTM automatisch Zugriff auf die gewählten lokalen Netzwerke für alle SSL-VPN-Clients.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue SSL-Serververbindung wird in der Liste Verbindungen angezeigt.
4.
Laden Sie die Konfigurationsdatei herunter.
Klicken Sie auf die Schaltfläche Download, die sich im Feld der neuen SSL-
Serververbindung befindet, um die Client-Konfigurationsdatei für diese Verbindung herunterzuladen.
Konfigurationsdatei verschlüsseln (optional): Es wird empfohlen, die
Konfigurationsdatei aus Sicherheitsgründen zu verschlüsseln. Geben Sie ein Kennwort zweimal ein.
Klicken Sie auf Peer-Konfig. herunterladen, um die Datei zu speichern.
Diese Datei wird vom Administrator der Client-Seite benötigt, um in der Lage zu sein, den Client-Endpunkt des Tunnels zu konfigurieren.
Der nächste Schritt ist die Client-Konfiguration, die Client-seitig und nicht Server-seitig erfolgen muss.Stellen Sie sicher, dass die Client-Konfigurationsdatei bereitliegt.
Um eine Client-Konfiguration anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfenster SSL-Verbindung hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Verbindungstyp: Wählen Sie Client aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.
UTM 9 Administratorhandbuch
447
15.3 SSL
15 Site-to-Site-VPN
Konfigurationsdatei: Klicken Sie auf das Ordnersymbol, wechseln Sie zur Client-
Konfigurationsdatei und klicken Sie auf Save.
Kennwort (optional): Wenn die Datei verschlüsselt ist, geben Sie das Kennwort ein.
HTTP-Proxy-Server verwenden (optional): Wählen Sie diese Option, wenn sich der
Client hinter einem Proxy befindet, und geben Sie die Einstellungen für den Proxy ein.
Proxy-Authentifizierung verwenden: (optional): Wählen Sie diese Option, wenn sich der Client am Proxy authentifizieren muss, und geben Sie
Benutzername und Kennwort ein.
Peer-Hostnamen übergehen (optional): Wählen Sie diese Option und geben Sie einen Hostnamen ein, wenn der reguläre Hostname des Serversystems (oder sein
DynDNS-Hostname) nicht vom Clienthost aufgelöst werden kann.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, lässt die UTM automatisch Verkehr zwischen Hosts der zum Tunnel gehörenden lokalen und entfernten Netzwerke zu.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue SSL-VPN-Clientverbindung wird in der Liste Verbindungen angezeigt.
Um eine Client-Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
Klicken Sie auf den Menüpunkt Site-to-Site-VPN, um den Status der SSL-VPN-Verbindung auf der Übersichtsseite zu sehen. Die Statusampel dort wird grün, wenn die Verbindung aufgebaut ist.Dann werden auch Informationen zu den miteinander verbundenen Subnetzen beider
Seiten des Tunnels angezeigt.
15.3.2 Einstellungen
Auf der Registerkarte SSL > Einstellungen können Sie die Grundeinstellungen für SSL-VPN-
Serververbindungen konfigurieren.
Hinweis – Diese Registerkarte ist identisch für Site-to-Site-VPN > SSL und Fernzugriff >
SSL. Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.
448
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.3 SSL
Se r ve r e inste llunge n
Sie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen: l
Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application
Firewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresse angeben, die auf SSL-Verbindungen lauscht. Das ist für die Site-to-Site/Fernzugriff-
SSL-Verbindungsverwaltung und die Web Application Firewall notwendig, damit diese die eingehenden SSL-Verbindungen auseinanderhalten können.
l
Protokoll: Wählen Sie das Protokoll aus, das verwendet werden soll.Sie können entweder TCP oder UDP auswählen.
l
Port: Sie können den Port ändern.Der Standardport ist 443.Sie können jedoch nicht den
Port 10443, den ACC-Gateway-Manager-Port 4422 oder den Port der WebAdmin-
Schnittstelle verwenden.
l
Hostnamen übergehen: Der Wert im Feld Hostnamen übergehen wird als
Zielhostname für Client-VPN-Verbindungen verwendet und ist standardmäßig der
Hostname des Gateways. Ändern Sie den voreingestellten Wert nur, wenn der reguläre
Hostname (oder DynDNS-Hostname) nicht unter diesem Namen aus dem Internet erreichbar ist.
Vir tue lle r I P-Pool
Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressen aus einem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.Standardmäßig ist VPN
Pool (SSL) ausgewählt.Falls Sie einen anderen Adressenpool auswählen, darf die Netzmaske nicht größer als 29 Bits sein, da OpenVPN nicht mit Adressenpools umgehen kann, deren
Netzmaske /30, /31 oder /32 ist.
Doppe lte C N
Wählen Sie Mehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassen wollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen aus verbinden können. Wenn diese Option deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-
Verbindung pro Benutzer erlaubt.
15.3.3 Erweitert
Auf der Registerkarte SSL > Erweitert können Sie diverse erweiterte Serveroptionen konfigurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zur
UTM 9 Administratorhandbuch
449
15.3 SSL
15 Site-to-Site-VPN
Fehlersuche.
Hinweis – Diese Registerkarte ist identisch für Site-to-Site-VPN > SSL und Fernzugriff >
SSL.Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.
Kr yptogr a fische Einste llunge n
Diese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL-VPN-
Fernzugriff-Clients: l
Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den
Algorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden.Die folgenden Algorithmen werden unterstützt, welche alle im CBC-Modus (Cipher Block Chaining) sind: l
DES-EDE3-CBC
l
AES-128-CBC (128 Bit) l
AES-192-CBC (192 Bit) l
AES-256-CBC (256 Bit) l
BF-CBC (Blowfish (128 Bit)) l
Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt den
Algorithmus fest, der für die Integritätsprüfung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden.Die folgenden Algorithmen werden unterstützt: l
MD5 (128 Bit) l
SHA-1 (160 Bit) l
Schlüssellänge: Die Schlüssellänge ist die Länge des Diffie-Hellman-
Schlüsselaustauschs. Je länger der Schlüssel ist, desto sicherer sind die symmetrischen
Schlüssel. Die Länge wird in Bits angegeben. Sie können zwischen einer Schlüssellänge von 1024 und 2048 Bits wählen.
l
Serverzertifikat: Wählen Sie ein lokales SSL-Zertifikat, das der SSL-VPN-Server verwenden soll, um sich gegenüber Clients zu identifizieren.
l
Schlüsselgültigkeit: Geben Sie einen Zeitraum an, nach dem der Schlüssel abläuft.
Standardmäßig sind 28.800 Sekunden voreingestellt.
Kompr imie r ungse inste llunge n
SSL-VPN-Verkehr komprimieren: Wenn diese Option aktiviert ist, werden alle Daten, die durch SSL-VPN-Tunnel geschickt werden, vor der Verschlüsselung komprimiert.
450
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.4 Zertifikatverwaltung
Fe hle r suche -Einste llunge n
Fehlersuche-Modus aktivieren: Wenn Sie den Fehlersuche-Modus aktivieren, enthält die
SSL-VPN-Protokolldatei zusätzliche Informationen, die nützlich für die Fehlersuche sind.
15.4 Zertifikatverwaltung
Das Menü Site-to-Site-VPN > Zertifikatverwaltung ist der zentrale Ort, an dem alle zertifikatsbezogenen Vorgänge verwaltet werden, die bei Sophos UTM erforderlich sind.Das
beinhaltet unter anderem das Anlegen und Importieren von X.509-Zertifikaten ebenso wie das
Hochladen sogenannter Zertifikatsperrlisten (CRLs).
15.4.1 Zertifikate
Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > Zertifikate können Sie
öffentliche Schlüssel-Zertifikate im X.509-Standard erstellen oder importieren.Solche
Zertifikate sind digital signierte Bescheinigungen, die üblicherweise von einer
Zertifizierungsinstanz (CA, Certificate Authority) ausgestellt werden und einen öffentlichen
Schlüssel mit einem bestimmten Distinguished Name (DN) in X.500-Schreibweise verknüpfen.
Alle Zertifikate, die Sie auf dieser Registerkarte erzeugen, sind selbst von der
Zertifizierungsinstanz (CA) signiert, die automatisch mit den Informationen erstellt wurde, die
Sie während der ersten Anmeldung am WebAdmin angegeben haben.
Um ein Zertifikat neu zu generieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfenster Zertifikat hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.
Methode: Um ein Zertifikat zu erstellen, wählen Sie Generieren aus (weitere
Informationen zum Hochladen von Zertifikaten finden Sie weiter unten).
Geben Sie die folgenden Informationen an: l
VPN-ID-Typ: Legen Sie eine einzigartige Identifikation (engl. identifier) für das
Zertifikat fest.Die folgenden Identifikationsarten sind verfügbar:
UTM 9 Administratorhandbuch
451
15.4 Zertifikatverwaltung
15 Site-to-Site-VPN
l
E-Mail-Adresse l
Hostname l
IP-Adresse l
Distinguished Name l
VPN-ID: Tragen Sie abhängig von der gewählten Identifikationsart (VPN-ID-Typ) den passenden Wert in das Feld ein.Beispiel: Wenn Sie eine IP-Adresse aus der
Liste VPN-ID-Typ gewählt haben, geben Sie eine IP-Adresse in dieses Textfeld ein.Beachten Sie, dass dieses Textfeld verborgen ist, wenn Sie den Distinguished
Name aus der Liste VPN-ID-Typ gewählt haben.
Verwenden Sie die Auswahllisten und Textfelder Land bis E-Mail, um die
Informationen zum Zertifikatsinhaber einzutragen.Diese Informationen werden verwendet, um den Distinguished Name zu erstellen, das heißt den Namen der
Instanz, deren öffentlichen Schlüssel das Zertifikat identifiziert. Dieser Name enthält viele persönliche Informationen im X.500-Standard, weswegen davon ausgegangen wird, dass dieser Name im gesamten Internet einzigartig ist.Falls
das Zertifikat für eine Fernzugriffsverbindung verwendet wird, geben Sie den
Namen des Benutzers in das Feld Allgemeiner Name ein. Wenn das Zertifikat für einen Host ist, geben Sie einen Hostnamen ein.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen des entsprechenden
Zertifikats.
Um alternativ ein Zertifikat hochzuladen (zu importieren), gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Zertifikate auf Neues Zertifikat.
Das Dialogfenster Zertifikat hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für dieses Zertifikat ein.
Methode: Um ein Zertifikat zu importieren, wählen Sie Hochladen aus.
Dateityp: Wählen Sie den Dateityp des Zertifikats aus. Sie können Zertifikate der folgenden Dateitypen hochladen:
452
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.4 Zertifikatverwaltung l
PKCS#12 Container: PKCS bezieht sich auf eine Gruppe von Public Key
Cryptography Standards (dt. etwa Standards für die Kryptografie öffentlicher
Schlüssel), die von den RSA Laboratories entwickelt und veröffentlicht wurden.Das Dateiformat PKCS#12 wird gemeinhin dafür benutzt, private
Schlüssel mit dem zugehörigen öffentlichen Schlüsselzertifikat zu speichern und mit einem Kennwort zu schützen. Sie müssen dieses Container-Kennwort kennen, um Dateien in diesem Format hochladen zu können (geben Sie das
Kennwort ein zweites Mal zur Bestätigung ein).
l
PEM: Ein Base64-kodiertes Format (Privacy Enhanced Mail, PEM), das kein
Kennwort erfordert.
Datei: Klicken Sie auf das Ordnersymbol neben dem Feld Datei und wählen Sie das
Zertifikat aus, das hochgeladen werden soll.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Das Zertifikat wird in der Liste Zertifikate angezeigt.
Um ein Zertifikat zu löschen, klicken Sie auf die Schaltfläche Löschen des entsprechenden
Zertifikats.
Sie können das Zertifikat entweder im PKCS#12- oder PEM-Format herunterladen.Die PEM-
Datei enthält nur das Zertifikat selbst, wohingegen die PKCS#12-Datei auch noch den privaten
Schlüssel sowie das CA-Zertifikat enthält, mit dem das Zertifikat signiert wurde.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
15.4.2 CA
Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > CA können Sie neue
Zertifizierungsinstanzen importieren.Eine Zertifizierungsinstanz (CA, engl. Certificate
Authority) ist eine Organisation, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur der
UTM 9 Administratorhandbuch
453
15.4 Zertifikatverwaltung
15 Site-to-Site-VPN
Person, Organisation, Host oder anderen Instanz gehört, die im Zertifikat aufgeführt ist. Dies wird erreicht, indem bei der Signierungsanfrage das Zertifikat mit dem privaten Schlüssel des
CA-eigenen Zertifikats signiert wird.Solch eine CA wird deshalb auch als Signierungs-CA bezeichnet.
Auf der UTM wurde die Signierungs-CA automatisch während der ersten Anmeldung an der
UTM generiert, wobei die angegeben Informationen verwendet wurden.Dadurch sind alle
Zertifikate, die Sie auf der Registerkarte Zertifikate erzeugen, selbst-signierte Zertifikate, das bedeutet, dass der Aussteller und der Inhaber identisch sind. Alternativ können Sie jedoch eine
Signierungs-CA eines Drittanbieters importieren.Darüber hinaus können Sie auch andere CA-
Zertifikate verwenden, deren private Schlüssel unbekannt sind, um die Authentizität eines
Hosts oder Benutzers zu überprüfen, der versucht, sich über IPsec zu verbinden.Diese CA-
Zertifikate wiederum werden als Verifizierungs-CAs bezeichnet und können auch auf dieser
Registerkarte importiert werden.
Wichtiger Hinweis – Auf dem Sicherheitssystem können mehrere Verifizierungs-CAs vorhanden sein, allerdings nur eine Signierungs-CA. Wenn Sie also eine neue Signierungs-
CA hochladen, wird die zuvor installierte Signierungs-CA automatisch in eine Verifizierungs-
CA umgewandelt.
Um eine CA zu importieren, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte CA auf CA importieren.
Das Dialogfenster CA importieren wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese CA ein.
Typ: Wählen Sie den CA-Typ, den Sie importieren werden. Sie können zwischen
Verifizierungs-CA und Signierungs-CA wählen.Eine Verifizierungs-CA muss im PEM-
Format vorliegen, wohingegen eine Signierungs-CA im PKCS#12-Format vorliegen muss.
CA-Zertifikat: Klicken Sie auf das Ordnersymbol neben dem Feld CA-Zertifikat und wählen Sie die zu importierende Datei aus. Wenn Sie eine neue Signierungs-CA hochladen, beachten Sie, dass Sie das Kennwort eingeben müssen, mit dem der
PKCS#12
-Container gesichert wurde.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
454
UTM 9 Administratorhandbuch
15 Site-to-Site-VPN
15.4 Zertifikatverwaltung
3.
Klicken Sie auf Speichern.
Das neue CA-Zertifikat wird in der Liste CA angezeigt.
Um eine CA zu löschen, klicken Sie auf die Schaltfläche Löschen der entsprechenden CA.
Die Signierungs-CA kann im PKCS#12-Format heruntergeladen werden.Sie werden daraufhin aufgefordert, ein Kennwort einzugeben, das zur Sicherung des PKCS#12-Containers benutzt wird.Außerdem können Sie Verifizierungs-CAs im PEM-Format herunterladen.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
15.4.3 Sperrlisten (CRLs)
Eine Zertifikatsperrliste (CRL, engl. Certificate Revocation List) (auch Widerrufsliste) ist eine
Liste von Zertifikaten (genauer: ihren Seriennummern), die widerrufen wurden, d. h. die nicht länger gültig und aus diesem Grund nicht vertrauenswürdig sind.Auf der Registerkarte Site-to-
Site-VPN > Zertifikatverwaltung > Sperrlisten (CRLs) können Sie eine Zertifikatsperrliste importieren, die sich auf Ihre Public-Key-Infrastruktur (PKI, dt. Infrastruktur für öffentliche
Schlüssel) bezieht.
Um eine Zertifikatsperrliste (CRL) hochzuladen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Sperrlisten (CRLs) auf CRL hochladen.
Das Dialogfenster CRL hochladen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese CRL ein.
CRL-Datei: Klicken Sie auf das Ordner-Symbol neben dem Feld CRL-Datei und wählen
Sie die zu importierende Datei aus.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue CRL wird in der Liste der Sperrlisten angezeigt.
UTM 9 Administratorhandbuch
455
15.4 Zertifikatverwaltung
15 Site-to-Site-VPN
Um eine Sperrliste zu löschen, klicken Sie auf die Schaltfläche Löschen der entsprechenden
Sperrliste.
15.4.4 Erweitert
Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > Erweitert können Sie die VPN-
Signierungs-CA neu generieren, die während der ersten Anmeldung am Sicherheitssystem automatisch generiert wurde. Mit der VPN-Signierungs-CA werden die Zertifikate für die
Fernzugriffs- und Site-to-Site-VPN-Verbindungen digital signiert.
Signie r ungs-C A ne u e r ste lle n
Sie können alle Benutzerzertifikate mit der aktuellen Signierungs-CA erneuern.Das wird dann notwendig, wenn Sie eine alternative VPN-Signierungs-CA auf der Registerkarte CA installiert haben.
456
UTM 9 Administratorhandbuch
16 Fernzugriff
In diesem Kapitel wird beschrieben, wie Sie den Fernzugriff (engl. Remote Access) für Sophos
UTM konfigurieren.Der Fernzugriff wird in Sophos UTM mittels virtuellen privaten Netzwerken
(engl. Virtual Private Networks (VPNs), realisiert. Diese sind ein kostengünstiger und sicherer
Weg, entfernten Benutzern wie Angestellten, die von unterwegs und von zu Hause aus arbeiten, den Zugang zum Firmennetzwerk zu ermöglichen.VPNs verwenden kryptografische
Tunnelprotokolle wie IPsec und PPTP, um Vertraulichkeit und Datenschutz für die
übertragenen Daten zu gewährleisten..
Querverweis – Weitere Informationen zur Konfiguration von Fernzugriff-VPN-
Verbindungen finden Sie in der
Sophos Wissensdatenbank
.
Die UTM generiert automatisch die notwendigen Installations- und Konfigurationsdateien für die jeweilige Verbindungsart des Fernzugriffs.Diese Dateien können direkt über das
Benutzerportal heruntergeladen werden. Es sind jedoch nur jene Dateien für einen Benutzer verfügbar, die mit den Verbindungsarten übereinstimmen, die für ihn aktiviert sind. Beispiel: Ein
Benutzer, für den der SSL-Fernzugriff aktiviert ist, findet nur eine SSL-Installationsdatei vor.
Hinweis – Sie können die Konfigurationsdateien für den Fernzugriff für alle oder ausgewählte Benutzer über die Registerkarte Definitionen & Benutzer > Benutzer & Gruppen
>
herunterladen.
Die Seite Fernzugriffsstatus enthält eine Übersicht mit allen Online-Benutzern.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
l
l
16.1 SSL
16 Fernzugriff
16.1 SSL
Die Fernzugriff-SSL-Funktion von Sophos UTM wird durch OpenVPN realisiert, einer umfassenden SSL-VPN-Lösung. Sie bietet die Möglichkeit, zwischen entfernten Mitarbeitern und dem Unternehmensnetzwerk Punkt-zu-Punkt-verschlüsselte Tunnel aufzubauen, wobei
SSL-Zertifikate und eine Benutzer-Kennwort-Kombination benötigt werden, um sich für den
Zugriff auf interne Ressourcen zu authentifizieren.Zusätzlich bietet es ein sicheres
Benutzerportal , das von jedem autorisierten Benutzer erreicht werden kann, um ein
maßgeschneidertes SSL-VPN-Client-Software-Paket herunterzuladen.Dieses Paket beinhaltet einen kostenlosen SSL-VPN-Client, SSL-Zertifikate und eine Konfiguration, die sich
über ein einfaches Installationsverfahren mit nur einem Mausklick durchführen lässt. Der SSL-
VPN-Client unterstützt die gängigsten Geschäftsanwendungen wie natives Outlook, native
Windows-Dateifreigabe und viele weitere.
Querverweis – Weitere Informationen zur Nutzung des SSL-VPN-Clients finden Sie in der
Sophos Wissensdatenbank
.
16.1.1 Allgemein
Auf der Registerkarte Fernzugriff > SSL > Allgemein können Sie die Grundeinstellungen für den VPN-Zugang vornehmen.Standardmäßig setzt die SSL-VPN-Lösung von Sophos UTM sogenanntes Split Tunneling (dt. etwa geteiltes Tunneln) ein. Das bedeutet, dass ein entfernter
Benutzer Zugang zu einem öffentlichen Netzwerk (z. B. dem Internet) hat und gleichzeitig auf
Ressourcen im VPN zugreifen kann.Split-Tunneling kann jedoch auch umgangen werden, indem Sie Any unten im Feld Lokale Netzwerke auswählen. Dadurch wird der gesamte
Verkehr durch den VPN-SSL-Tunnel geroutet. Ob Benutzer dann noch auf ein öffentliches
Netzwerk zugreifen dürfen oder nicht, hängt von Ihren Firewall-Einstellungen ab.
Um die allgemeinen SSL-VPN-Optionen zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den SSL-Fernzugriff auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Fernzugriffseinstellungen kann nun bearbeitet werden.
458
UTM 9 Administratorhandbuch
16 Fernzugriff
16.1 SSL
2.
Nehmen Sie die folgenden Einstellungen vor:
Benutzer und Gruppen: Wählen Sie die für den SSL-VPN-Fernzugriff zugelassenen
Benutzer und Benutzergruppen aus. Solange keine entsprechenden Benutzerkonten ausgewählt sind, kann der SSL-Fernzugriff nicht eingeschaltet werden.
Hinweis – Das SSL-VPN-Client-Software-Paket im
ist nur für
Benutzer verfügbar, die im Feld Benutzer und Gruppen ausgewählt wurden und für die ein Benutzerkonto auf der UTM existiert (siehe Definitionen & Benutzer > Benutzer &
Gruppen >
). Dennoch haben sie Zugang zum Benutzerportal.
Lokale Netzwerke: Wählen Sie das/die lokale(n) Netzwerk(e) aus, die für SSL-Clients erreichbar sein soll(en).
Automatische Firewallregeln: Wählen Sie diese Option, damit die notwendigen
Firewallregeln automatisch angelegt werden.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Live -Pr otokoll öffne n
Im OpenVPN-Live-Protokoll werden die Fernzugriff-Aktivitäten protokolliert.Klicken Sie auf die
Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.
16.1.2 Einstellungen
Auf der Registerkarte SSL > Einstellungen können Sie die Grundeinstellungen für SSL-VPN-
Serververbindungen konfigurieren.
Hinweis – Diese Registerkarte ist identisch für Site-to-Site-VPN > SSL und Fernzugriff >
SSL. Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.
Se r ve r e inste llunge n
Sie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen: l
Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application
Firewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresse angeben, die auf SSL-Verbindungen lauscht. Das ist für die Site-to-Site/Fernzugriff-
SSL-Verbindungsverwaltung und die Web Application Firewall notwendig, damit diese
UTM 9 Administratorhandbuch
459
16.1 SSL
16 Fernzugriff
die eingehenden SSL-Verbindungen auseinanderhalten können.
l
Protokoll: Wählen Sie das Protokoll aus, das verwendet werden soll.Sie können entweder TCP oder UDP auswählen.
l
Port: Sie können den Port ändern.Der Standardport ist 443.Sie können jedoch nicht den
Port 10443, den ACC-Gateway-Manager-Port 4422 oder den Port der WebAdmin-
Schnittstelle verwenden.
l
Hostnamen übergehen: Der Wert im Feld Hostnamen übergehen wird als
Zielhostname für Client-VPN-Verbindungen verwendet und ist standardmäßig der
Hostname des Gateways. Ändern Sie den voreingestellten Wert nur, wenn der reguläre
Hostname (oder DynDNS-Hostname) nicht unter diesem Namen aus dem Internet erreichbar ist.
Vir tue lle r I P-Pool
Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressen aus einem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.Standardmäßig ist VPN
Pool (SSL) ausgewählt.Falls Sie einen anderen Adressenpool auswählen, darf die Netzmaske nicht größer als 29 Bits sein, da OpenVPN nicht mit Adressenpools umgehen kann, deren
Netzmaske /30, /31 oder /32 ist.
Doppe lte C N
Wählen Sie Mehrere gleichzeitige Verbindungen pro Benutzer zulassen, wenn Sie zulassen wollen, dass Ihre Benutzer sich zur gleichen Zeit von verschiedenen IP-Adressen aus verbinden können. Wenn diese Option deaktiviert ist, ist nur eine gleichzeitige SSL-VPN-
Verbindung pro Benutzer erlaubt.
16.1.3 Erweitert
Auf der Registerkarte SSL > Erweitert können Sie diverse erweiterte Serveroptionen konfigurieren, wie z.B. Einstellungen zur Kryptografie, zur Komprimierung und zur
Fehlersuche.
Hinweis – Diese Registerkarte ist identisch für Site-to-Site-VPN > SSL und Fernzugriff >
SSL.Hier vorgenommene Änderungen wirken sich auf beide SSL-Konfigurationen aus.
460
UTM 9 Administratorhandbuch
16 Fernzugriff
16.1 SSL
Kr yptogr a fische Einste llunge n
Diese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL-VPN-
Fernzugriff-Clients: l
Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den
Algorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden.Die folgenden Algorithmen werden unterstützt, welche alle im CBC-Modus (Cipher Block Chaining) sind: l
DES-EDE3-CBC
l
AES-128-CBC (128 Bit) l
AES-192-CBC (192 Bit) l
AES-256-CBC (256 Bit) l
BF-CBC (Blowfish (128 Bit)) l
Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt den
Algorithmus fest, der für die Integritätsprüfung der Daten verwendet wird, die durch den
VPN-Tunnel gesendet werden.Die folgenden Algorithmen werden unterstützt: l
MD5 (128 Bit) l
SHA-1 (160 Bit) l
Schlüssellänge: Die Schlüssellänge ist die Länge des Diffie-Hellman-
Schlüsselaustauschs. Je länger der Schlüssel ist, desto sicherer sind die symmetrischen
Schlüssel. Die Länge wird in Bits angegeben. Sie können zwischen einer Schlüssellänge von 1024 und 2048 Bits wählen.
l
Serverzertifikat: Wählen Sie ein lokales SSL-Zertifikat, das der SSL-VPN-Server verwenden soll, um sich gegenüber Clients zu identifizieren.
l
Schlüsselgültigkeit: Geben Sie einen Zeitraum an, nach dem der Schlüssel abläuft.
Standardmäßig sind 28.800 Sekunden voreingestellt.
Kompr imie r ungse inste llunge n
SSL-VPN-Verkehr komprimieren: Wenn diese Option aktiviert ist, werden alle Daten, die durch SSL-VPN-Tunnel geschickt werden, vor der Verschlüsselung komprimiert.
Fe hle r suche -Einste llunge n
Fehlersuche-Modus aktivieren: Wenn Sie den Fehlersuche-Modus aktivieren, enthält die
SSL-VPN-Protokolldatei zusätzliche Informationen, die nützlich für die Fehlersuche sind.
UTM 9 Administratorhandbuch
461
16.2 PPTP
16 Fernzugriff
16.2 PPTP
PPTP (Point-to-Point Tunneling Protocol) ermöglicht einzelnen Hosts mit Hilfe eines verschlüsselten Tunnels den Zugriff über das Internet auf interne Netzwerkdienste. PPTP ist einfach einzurichten und benötigt auf Microsoft Windows-Systemen keine spezielle Software.
PPTP ist in Microsoft Windows ab Version 95 enthalten.Um PPTP mit Sophos UTM verwenden zu können, muss der Client das MSCHAPv2-Authentifizierungsprotokoll unterstützen.
Benutzer von Windows 95 und 98 müssen ein Update aufspielen, damit dieses Protokoll unterstützt wird.
16.2.1 Allgemein
Um die allgemeinen Optionen für PPTP zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie den PPTP-Fernzugriff auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Haupteinstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Authentifizierung über: Wählen Sie die Authentifizierungsmethode.PPTP-
Fernzugriff unterstützt nur die lokale und die RADIUS-Authentifizierung.
l
Lokal: Wenn Sie Lokal wählen, geben Sie die Benutzer und Benutzergruppen an, die sich per PPTP-Fernzugriff verbinden dürfen. Es ist nicht möglich, Backend-
Benutzergruppen in das Feld zu ziehen. Solange kein Benutzerkonto ausgewählt ist, kann der PPTP-Fernzugriff nicht eingeschaltet werden.
Hinweis – Ähnlich wie bei SSL-VPN kann auf den Menüpunkt Fernzugriff im
Benutzerportal nur von Benutzern zugegriffen werden, die im Feld Benutzer
und Gruppen eingetragen sind und für die eine Benutzerdefinition auf der UTM existiert. Autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, finden einen Link zu einer Installationsanleitung, die in der
Sophos Knowledgebase
verfügbar ist.
462
UTM 9 Administratorhandbuch
16 Fernzugriff
16.2 PPTP l
RADIUS: RADIUS kann nur ausgewählt werden, wenn zuvor ein RADIUS-
Server konfiguriert wurde.Bei dieser Authentifizierungsmethode werden
Benutzer an einem externen RADIUS-Server authentifiziert, welcher auf der
Registerkarte Definitionen & Benutzer > Authentifizierungsserver >
konfiguriert werden kann.Das Feld Benutzer und Gruppen wird dann ausgegraut; seine Einstellungen können zwar noch geändert werden, haben aber keinen
Effekt mehr.Der RADIUS-Server muss MSCHAPv2-Challenge-Response-
Authentifizierung unterstützen.Der Server kann Parameter wie die Client-IP-
Adresse und die DNS/WINS-Serveradressen zurückgeben.Das PPTP-Modul sendet die folgende NAS-ID an den RADIUS-Server: pptp. Wenn RADIUS-
Authentifizierung gewählt ist, beachten Sie, dass lokale Benutzer nicht länger mit
PPTP authentifiziert werden können. Des Weiteren müssen auch Clients die
MSCHAPv2-Authentifizierung unterstützen.
IP-Adressen zuweisen durch: IP-Adressen können Sie entweder aus einem festgelegen IP-Adressenpool zuweisen oder von einem DHCP-Server verteilen lassen: l
IP-Adressenpool: Wählen Sie diese Option aus, wenn Sie IP-Adressen aus einem bestimmten IP-Adressbereich an Clients zuweisen wollen, die sich per
Fernzugriff über PPTP verbinden.Standardmäßig werden Adressen aus dem privaten IP-Raum 10.242.1.0/24 zugewiesen.Diese Netzwerkdefinition heißt
VPN Pool (PPTP) und kann in allen Netzwerk-spezifischen
Konfigurationsoptionen verwendet werden.Wenn Sie ein anderes Netzwerk verwenden möchten, ändern Sie einfach die Definition von VPN Pool (PPTP) auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen.Alternativ können Sie auch einen anderen IP-Adressenpool anlegen, indem Sie auf das Plussymbol neben dem Textfeld Pool-Netzwerk klicken.
l
DHCP-Server: Wenn Sie DHCP-Server auswählen, geben Sie auch die
Netzwerkschnittstelle an, über die der DHCP-Server erreichbar ist.Der DHCP-
Server muss nicht direkt mit der Schnittstelle verbunden sein – der Zugriff ist auch
über einen Router möglich.Beachten Sie, dass der lokale DHCP-Server nicht unterstützt wird; der hier gewählte DHCP-Server muss auf einem physikalisch anderen System laufen.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Live -Pr otokoll
Im PPTP Daemon Live-Protokoll werden die Aktivitäten des PPTP-Fernzugriffs protokolliert.
Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.
UTM 9 Administratorhandbuch
463
16.2 PPTP
16 Fernzugriff
16.2.2 iOS-Geräte
Sie können ermöglichen, dass Benutzern von iOS-Geräten eine automatische PPTP-
Konfiguration im Benutzerportal angeboten wird.
Allerdings werden nur Benutzer, die im Feld Benutzer und Gruppen auf der Registerkarte
Allgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.Der
iOS-Geräte-Status ist standardmäßig aktiviert.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die PPTP-Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriff sind aufzubauen.Der Name Ihrer Firma gefolgt vom Protokoll PPTP ist voreingestellt.
Hinweis - Der Verbindungsname muss für alle iOS-Verbindungseinstellungen (PPTP, L2TP
über IPsec, Cisco VPN Client) einzigartig sein.
Hostnamen übergehen: Im Falle, dass der Systemhostname vom Client nicht öffentlich aufgelöst werden kann, können Sie hier einen Server-Hostnamen eingeben, der die interne
Präferenz übergeht, bei der der DynDNS-Hostname dem System-DNS-Hostnamen vorgezogen wird.
Um die automatische iOS-Konfiguration auszuschalten, klicken Sie auf die Statusampel oder auf Disable oben in der Registerkarte.
Die Statusampel wird rot.
16.2.3 Erweitert
Auf der Registerkarte Fernzugriff > PPTP > Erweitert können Sie die Verschlüsselungsstärke und die Menge an Fehlersuchemeldungen für PPTP-Fernzugriff konfigurieren.Die erweiterten
PPTP-Einstellungen können nur konfiguriert werden, wenn PPTP auf der Registerkarte
Allgemein aktiviert ist.
Ve r schlüsse lungsstä r ke
Sie können zwischen einer starken (128 Bit) Tunnel-Verschlüsselung und einer schwachen (40
Bit) (MPPE) wählen. Verwenden Sie nach Möglichkeit nicht die schwache Verschlüsselung, außer Sie haben Gegenstellen, die die 128-Bit-Verschlüsselung nicht unterstützen.
464
UTM 9 Administratorhandbuch
16 Fernzugriff
16.3 L2TP über IPsec
Fe hle r suche -Modus
Fehlersuche-Modus aktivieren: Diese Option kontrolliert die Menge an
Fehlersuchemeldungen, die im PPTP-Protokoll erzeugt wird. Aktivieren Sie diese Option, wenn
Sie Verbindungsprobleme haben und detaillierte Informationen über beispielsweise die
Aushandlung der Client-Parameter benötigen.
16.3 L2TP über IPsec
L2TP ist die Kurzform für Layer 2 Tunneling Protocol und ist ein Datenlink-Ebene-Protokoll
(Ebene 2 des OSI-Modells) für das Tunneln von Netzwerkverkehr zwischen zwei Peers über ein existierendes Netzwerk (meistens das Internet), auch bekannt als Virtuelles Privates
Netzwerk (Virtual Private Network, VPN).Da das L2TP-Protokoll allein keine Vertraulichkeit mitbringt, wird es oft mit IPsec kombiniert, das Vertraulichkeit, Authentifizierung und Integrität bietet. Die Kombination dieser beiden Protokolle ist auch als L2TP über IPsec bekannt (engl.
L2TP over IPsec). Mit L2TP über IPsec können Sie mit der gleichen Funktionalität wie PPTP einzelnen Hosts über einen verschlüsselten IPsec-Tunnel den Zugang zum
Unternehmensnetzwerk ermöglichen.
16.3.1 Allgemein
Auf der Registerkarte L2TP über IPsec > Allgemein können Sie die grundlegenden Optionen für den Fernzugriff über L2TP über IPsec konfigurieren.
Um L2TP über IPsec zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie L2TP über IPsec auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Servereinstellungen und IP-
Adressenzuweisung kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Wählen Sie die Netzwerkschnittstelle, die für den L2TP-VPN-Zugang verwendet werden soll.
Auth.-Methode: Sie können zwischen den folgenden Authentifizierungsmethoden wählen:
UTM 9 Administratorhandbuch
465
16.3 L2TP über IPsec
16 Fernzugriff
l
Verteilter Schlüssel: Geben Sie ein Kennwort ein, das als verteilter Schlüssel dient.Die Authentifizierung mit verteilten Schlüsseln (PSK, engl. preshared keys) erfolgt durch Schlüssel mit einem geheimen Kennwort, die vor der eigentlichen
Verbindung unter den Beteiligten ausgetauscht werden. Um zu kommunizieren, weisen beide Gegenstellen nach, dass sie das Kennwort kennen. Der verteilte
Schlüssel ist ein Kennwort, das dazu benutzt wird, den Datenverkehr mit dem
Verschlüsselungsalgorithmus von L2TP zu verschlüsseln. Um die höchstmögliche
Sicherheit zu gewährleisten, sollten Sie sich an den gängigen Maßstäben für die
Stärke des Kennwortes orientieren. Wie sicher solche verteilten Schlüssel sind, hängt davon ab, wie sicher das Kennwort gewählt wurde und wie sicher es
übertragen wurde. Kennwörter, die aus allgemeinen Wörter bestehen, sind sehr anfällig für Wörterbuchangriffe. Daher sollte ein Kennwort ziemlich lang sein und eine Reihe von Buchstaben, Großbuchstaben und Zahlen enthalten. Folglich sollte ein verteilter Schlüssel auch nicht als Authentifizierungsmethode verwendet, sondern durch Zertifikate ersetzt werden, wo immer dies möglich ist.
Hinweis – Wenn Sie den Zugang für iOS-Geräte ermöglichen wollen, müssen
Sie Verteilter Schlüssel wählen, da iOS-Geräte nur PSK-Authentifizierung unterstützen.
l
X.509-CA-Prüfung: Die Authentifizierung durch X.509-Zertifikate erleichtert den
Austausch des öffentlichen Schlüssels in großen VPN-Installationen mit vielen
Teilnehmern.Eine sogenannte CA (engl. Certificate Authority,
Zertifizierungsinstanz) erfasst und überprüft die öffentlichen Schlüssel der VPN-
Endpunkte und stellt für jeden Teilnehmer ein Zertifikat aus. Dieses Zertifikat enthält Informationen zur Identität des Teilnehmers und den zugehörigen
öffentlichen Schlüssel. Da das Zertifikat digital signiert ist, kann niemand anderes ein gefälschtes Zertifikat verteilen, ohne entdeckt zu werden.
Während des Schlüsselaustauschs werden die X.509-Zertifikate ausgetauscht und mithilfe der lokal installierten CAs beglaubigt. Die eigentliche Authentifizierung der VPN-Endpunkte wird dann durch die öffentlichen und privaten Schlüssel durchgeführt. Wenn Sie diese Authentifizierungsmethode verwenden wollen, wählen Sie ein X.509-Zertifikat.
Beachten Sie, dass Sie für die X.509-Authentifizierungsmethode auf der
Registerkarte Fernzugriff > Zertifikatverwaltung > CA eine gültige CA konfiguriert haben müssen.
466
UTM 9 Administratorhandbuch
16 Fernzugriff
16.3 L2TP über IPsec
IP-Adressen zuweisen durch: IP-Adressen können Sie entweder aus einem festgelegen IP-Adressenpool zuweisen oder von einem DHCP-Server verteilen lassen: l
Pool-Netzwerk: Standardmäßig ist IP-Adressenpool für die IP-
Adressenzuweisung ausgewählt, wobei die Netzwerkdefinition VPN Pool (L2TP) als Pool-Netzwerk voreingestellt ist.Der VPN Pool (L2TP) ist ein zufällig generiertes Netzwerk aus dem IP-Adressbereich 10.x.x.x für private
Netzwerke, für das ein Klasse-C-Subnetz verwendet wird. Normalerweise ist es nicht notwendig, das zu ändern, da es sicherstellt, dass die Benutzer einen bestimmten Adressenpool haben, von dem aus sie Verbindungen aufbauen können.Wenn Sie ein anderes Netzwerk verwenden wollen, können Sie einfach die Definition des VPN Pool (L2TP) ändern oder hier ein anderes Netzwerk als IP-
Adressenpool angeben.
Hinweis – Wenn Sie private IP-Adressen für Ihren L2TP-VPN-Pool verwenden und wollen, dass IPsec-Hosts auf das Internet zugreifen dürfen, legen Sie entsprechende Maskierungs- oder NAT-Regeln für den IP-Adressenpool an.
l
DHCP-Server: Wenn Sie DHCP-Server auswählen, geben Sie auch die
Netzwerkschnittstelle an, über die der DHCP-Server erreichbar ist.Der DHCP-
Server muss nicht direkt mit der Schnittstelle verbunden sein – der Zugriff ist auch
über einen Router möglich. Beachten Sie, dass der lokale DHCP-Server nicht unterstützt wird; der hier gewählte DHCP-Server muss auf einem physikalisch anderen System laufen.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe Statusampel.
Zugr iffskontr olle
Authentifizierung über: L2TP-Fernzugriff unterstützt nur die lokale und RADIUS-
Authentifizierung.
l
Lokal: Wenn Sie Lokal wählen, geben Sie die Benutzer und Benutzergruppen an, die sich per L2TP-Fernzugriff verbinden dürfen. Es ist nicht möglich, Backend-
Benutzergruppen in das Feld zu ziehen. Lokale Benutzer müssen Sie auf dem
UTM 9 Administratorhandbuch
467
16.3 L2TP über IPsec
16 Fernzugriff
herkömmlichen Weg hinzufügen und L2TP für sie aktivieren. Wenn keine Benutzer oder
Gruppen ausgewählt sind, wird L2TP-Fernzugriff ausgeschaltet.
Hinweis – Ähnlich wie bei SSLVPN steht das Menü Fernzugriff des
nur Benutzern zur Verfügung, die im Feld Benutzer und Gruppen ausgewählt sind und für die in der UTM eine Benutzerdefinition existiert.In Abhängigkeit von der
Authentifizierungsmethode liegt für autorisierte Benutzer, die sich erfolgreich am
Benutzerportal angemeldet haben, der verteilte Schlüssel für IPsec
(Authentifizierungsmethode Verteilter Schlüssel) oder die Datei PKCS#12
(Authentifizierungsmethode X.509-CA-Prüfung) sowie ein Link zur
Installationsanleitung bereit, die in der
Sophos Wissensdatenbank
zur Verfügung steht.
l
RADIUS: Wenn Sie RADIUS auswählen, werden die Authentifizierungsanfragen an den RADIUS-Server weitergeleitet.Das L2TP-Modul sendet die folgende NAS-ID an den RADIUS-Server: l2tp.
Der Authentifizierungsalgorithmus wird automatisch zwischen dem Client und dem Server ausgehandelt.Für lokale Benutzer unterstützt Sophos UTM die folgenden
Authentifizierungsprotokolle: l
MSCHAPv2 l
PAP
Standardmäßig handelt ein Windows-Client MSCHAPv2 aus.
Für RADIUS-Benutzer unterstützt Sophos UTM folgende Authentifizierungsprotokolle: l
MSCHAPv2 l
MSCHAP l
CHAP l
PAP
16.3.2 iOS-Geräte
Sie können ermöglichen, dass Benutzern von iOS-Geräten eine automatische L2TP-über-
IPsec-Konfiguration im Benutzerportal angeboten wird.
468
UTM 9 Administratorhandbuch
16 Fernzugriff
16.3 L2TP über IPsec
Allerdings werden nur Benutzer, die im Feld Benutzer und Gruppen auf der Registerkarte
Allgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.Der
iOS-Geräte-Status ist standardmäßig aktiviert.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die L2TP über IPsec-
Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriff sind aufzubauen.Der Name Ihrer Firma gefolgt vom Protokoll L2TP über IPsec ist voreingestellt.
Hinweis - Der Verbindungsname muss für alle iOS-Verbindungseinstellungen (PPTP, L2TP
über IPsec, Cisco VPN Client) einzigartig sein.
Hostnamen übergehen: Im Falle, dass der Systemhostname vom Client nicht öffentlich aufgelöst werden kann, können Sie hier einen Server-Hostnamen eingeben, der die interne
Präferenz übergeht, bei der der DynDNS-Hostname dem System-DNS-Hostnamen vorgezogen wird.
Um die automatische iOS-Konfiguration auszuschalten, klicken Sie auf die Statusampel oder auf Disable oben in der Registerkarte.
Die Statusampel wird rot.
16.3.3 Fehlersuche
I KE-Fe hle r suche
Im Abschnitt IKE-Fehlersuche können Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe der
Auswahlkästchen legen Sie fest, für welche Arten von IKE-Nachrichten oder -Kommunikation zusätzliche Informationen in das Fehlerprotokoll geschrieben werden.
Hinweis – Der Abschnitt IKE-Fehlersuche ist für die Registerkarten Fehlersuche der Menüs
Site-to-Site VPN IPsec, Fernzugriff IPsec, L2TP über IPsec und Cisco VPN Client identisch.
Die folgenden Flags können protokolliert werden: l
Kontrollverlauf: Kontrollnachrichten zum IKE-Status l
Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten l
Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten
UTM 9 Administratorhandbuch
469
16.4 IPsec
16 Fernzugriff
l
Kernel-Messaging: Kommunikationsnachrichten mit dem Kernel l
Hochverfügbarkeit: Kommunikation mit anderen Hochverfügbarkeitsknoten
L2TP-Fe hle r suche
Wenn die Option Fehlersuche-Modus aktivieren ausgewählt ist, enthält die Protokolldatei
IPsec-VPN weitere Informationen zur Aushandlung von L2TP- oder PPP-Verbindungen.
16.4 IPsec
IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)
Kommunikationen durch Verschlüsselung- und/oder Authentifizierung aller IP-Pakete.
Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle: l
Transportmodus (engl. Transport Mode) l
Tunnelmodus (engl. Tunnel Mode) l
Authentication Header (AH): Protokoll für Authentifizierung l
Encapsulated Security Payload (ESP): Protokoll für Verschlüsselung (und
Authentifizierung)
Des Weiteren bietet IPsec Methoden für die manuelle und die automatische Verwaltung von
Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlüsselverteilung.Alle
diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.
IPsec-Modi
IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-
Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden
Tunnelendpunkte jedoch um ein Astaro Security Gateway handelt, muss der Tunnelmodus verwendet werden.Die IPsec-VPN-Verbindungen auf dieser UTM arbeiten immer im
Tunnelmodus.
Im Transportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket eingepackt. Der ursprüngliche IP-Header wird beibehalten und das übrige Paket wird entweder im Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschlüsselt und
470
UTM 9 Administratorhandbuch
16 Fernzugriff
16.4 IPsec authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über das WAN geschickt.
Im Tunnelmodus wird das komplette Paket – Header und Payload – in ein neues IP-Paket gekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse auf den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes bleiben unverändert. Das Originalpaket kann dann mit AH authentifiziert oder mit ESP authentifiziert und verschlüsselt werden.
IPsec-Protokolle
IPsec verwendet für die sichere Kommunikation auf IP-Ebene zwei Protokolle: l
Authentication Header (AH): Ein Protokoll für die Authentifizierung von Absendern eines Pakets sowie zur Überprüfung der Integrität des Paketinhalts.
l
Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung des gesamten Pakets sowie für die Authentifizierung seines Inhalts.
Das Authentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität des
Paketinhalts. Des Weiteren überprüft es, ob die Sender- und Empfänger-IP-Adressen während der Übertragung geändert wurden. Die Authentifizierung des Pakets erfolgt anhand einer Prüfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in
Verbindung mit einem Schlüssel und einem Hash-Algorithmus berechnet wurde. Einer der folgenden Hash-Algorithmen wird verwendet: l
Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht mit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie ein
Fingerabdruck des Paketinhalts und ändert sich, wenn die Nachricht verändert wird.
Dieser Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeichnet.
l
Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zum MD5 einen 160-Bitlangen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer als MD5.
Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-
Algorithmus etwas höher.Die Berechnungsgeschwindigkeit hängt natürlich von der
Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf Sophos
UTM verwendet werden.
Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.
UTM 9 Administratorhandbuch
471
16.4 IPsec
16 Fernzugriff
Wenn ESP im Tunnelmodus verwendet wird, wird das komplette IP-Paket (Header und
Payload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IPund ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse des Empfänger-
Gateways und die Adresse des Absender-Gateway. Diese IP-Adressen entsprechen denen des VPN-Tunnels.
Für ESP mit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet: l
Triple Data Encryption Standard (3DES) l
Advanced Encryption Standard (AES)
Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit.Sophos UTMunterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der
SHA-1-Algorithmus verwendet werden.
NAT-Traversal (NAT-T)
NAT-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungen
über NAT-Geräte aufzubauen. Dies wird erreicht, indem UDP-Verkapselung der ESP-Pakete benutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wird nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls werden normale ESP-Pakete verwendet.
Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway oder ein Road Warrior hinter einem NAT-Router befindet. Wenn Sie diese Funktion nutzen wollen, müssen allerdings beide IPsec-Endpunkte NAT-Traversal unterstützen – das wird automatisch ausgehandelt. Zusätzlich muss auf dem NAT-Gerät der IPsec-Passthrough
(IPsec-Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeinträchtigen kann.
Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes
Benutzerobjekt im WebAdmin eine Statische Fernzugriffs-IP-Adresse (RAS, engl. remote static IP address) besitzen (siehe auch Statische Fernzugriffs-IP verwenden auf der Seite
im WebAdmin).
Um zu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten übermittelt werden, sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zur
Aufrechterhaltung (engl. keep alive).Durch dieses Aufrechterhaltungssignal wird sichergestellt, dass der NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.
472
UTM 9 Administratorhandbuch
16 Fernzugriff
16.4 IPsec
TOS
Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header.Diese Bits werden Type-
of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird.
Bei der IPsec-Implementierung von Sophos UTM wird der TOS-Wert immer kopiert.
16.4.1 Verbindungen
Auf der Registerkarte IPsec > Verbindungen können Sie IPsec-Verbindungen anlegen und bearbeiten.
Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-
Fernzugriffsregel.
Das Dialogfenster IPsec-Fernzugriffsregel hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.
Schnittstelle: Wählen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt für den IPsec-Tunnel dienen soll.
Lokale Netzwerke: Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnel erreichbar sein sollen.
Virtueller IP-Pool: Dies ist der IP-Adressenpool, aus dem die Clients eine IP-Adresse erhalten, falls sie keine statische IP-Adresse haben.Der Standardpool ist VPN Pool
(IPsec), der den privaten IP-Bereich 10.242.4.0/24 umfasst. Sie können jedoch auch einen anderen IP-Adressenpool auswählen.
Richtlinie: Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus.IPsec-
Richtlinien können auf der Registerkarte Fernzugriff > IPsec > Richtlinien definiert werden.
Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für diese
Remote-Gateway-Definition aus.Die folgenden Typen sind verfügbar:
UTM 9 Administratorhandbuch
473
16.4 IPsec
16 Fernzugriff
l
Verteilter Schlüssel: Die Authentifizierung mit verteilten Schlüsseln (PSK, engl.
Preshared Keys) verwendet geheime Kennwörter als Schlüssel. Diese
Kennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindung aufgebaut wird.Wenn ein neuer VPN-Tunnel aufgebaut ist, überprüft jede Seite, ob die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hängt von der Qualität der verwendeten Kennwörter ab: Normale Wörter und
Ausdrücke fallen schnell Wörterbuchangriffen zum Opfer. Permanente oder längerfristige IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.
l
X.509-Zertifikat: Das X.509-Zertifikat basiert auf öffentlichen Schlüsseln und privaten Schlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüssel zusammen mit zusätzlichen Informationen über den Besitzer des
Schlüssels.Solche Zertifikate sind von einer CA (Zertifizierungsinstanz, engl.
Certificate Authority) signiert und ausgestellt, der der Besitzer vertraut. Wenn Sie diese Authentifizierungsmethode wählen, geben Sie die Benutzer an, die diese
IPsec-Verbindung benutzen dürfen.Es ist nicht möglich, Backend-
Benutzergruppen in das Feld Zugelassene Benutzer zu ziehen.Wenn Sie die
Option Automatische Firewallregeln nicht auswählen, müssen Sie entsprechende
Firewallregeln manuell im Menü Netzwerksicherheit anlegen.
Hinweis – Auf das
kann nur von Benutzern zugegriffen werden, die im Feld Zugelassene Benutzer ausgewählt sind und für die eine
Benutzerdefinition auf der UTM existiert.Autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, finden den Sophos IPsec
Client (SIC) vor, dessen Konfigurationsdatei, die PKCS#12-Datei sowie einen
Link zur Installationsanleitung, die in der
UTM Knowledgebase
zur Verfügung stehen.
l
CA-DN-Vergleich: Bei dieser Authentifizierungsmethode (engl. CA DN Match) wird ein Vergleich des Distinguished Name (DN) der CA-Zertifikate gemacht, um die Schlüssel der VPN-Endpunkte zu verifizieren.Wenn Sie diese
Authentifizierungsmethode wählen, wählen Sie eine Zertifizierungsinstanz und eine DN-Maske, die zu den DNs der Fernzugriff-Clients passt.Wählen Sie danach einen Peer-Subnetzbereich aus oder fügen Sie einen hinzu. Clients ist es nur gestattet sich zu verbinden, wenn die DN-Maske zu derjenigen in ihrem Zertifikat passt.
474
UTM 9 Administratorhandbuch
16 Fernzugriff
16.4 IPsec
XAUTH aktivieren (optional): XAUTH, erweiterte Authentifizierung (engl. extended authentication), sollte aktiviert werden, um von Benutzern eine Authentifizierung gegen konfigurierte Backends zu verlangen.
Automatische Firewallregeln (optional): Diese Funktion steht nur bei der
Authentifizierungsmethode X.509-Zertifikat zur Verfügung.
Sobald die IPsec-Verbindung erfolgreich aufgebaut wurde, werden die Firewallregeln für den Datenverkehr automatisch hinzugefügt. Beim Beenden der Verbindung werden die Paketfilterregeln wieder entfernt.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Fernzugriffsregel wird in der Liste Verbindungen angezeigt.
Um eine Fernzugriffsregel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
16.4.2 Richtlinien
Auf der Registerkarte Fernzugriff > IPsec > Richtlinien können Sie die Parameter für IPsec-
Verbindungen definieren und in einer Richtlinie (Policy) zusammenfassen. Eine IPsec-Richtlinie legt die Internet-Schlüsselaustausch-Methode (IKE, Internet Key Exchange) und die IPsec-
Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eine
IPsec-Richtlinie.
Hinweis - Sophos UTM unterstützt in IKE-Phase 1 nur den Hauptmodus (engl. main mode).
Der aggressive Modus (engl. aggressive mode) wird nicht unterstützt.
Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Richtlinien auf Neue IPsec-Richtlinie.
Das Dialogfenster IPsec-Richtlinie hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.
UTM 9 Administratorhandbuch
475
16.4 IPsec
16 Fernzugriff
IKE-Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den
Algorithmus fest, der für die Verschlüsselung der IKE-Nachrichten verwendet wird. Die folgenden Algorithmen werden unterstützt: l
DES (56 Bit) l
3DES (168 Bit) l
AES 128 (128 Bit) l
AES 192 (192 Bit) l
AES 256 (256 Bit) l
Blowfish (128 Bit) l
Twofish (128 Bit) l
Serpent (128 Bit)
IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest, welcher Algorithmus verwendet wird, um die Intaktheit der IKE-Nachrichten zu prüfen.
Die folgenden Algorithmen werden unterstützt: l
MD5 (128 Bit) l
SHA1 (160 Bit) l
SHA2 256 (256 Bit) l
SHA2 384 (384 Bit) l
SHA2 512 (512 Bit)
IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die die
IKE-SA (Security Association, dt. Sicherheitsverbindung) gültig ist und wann die nächste
Schlüsselerneuerung stattfindet. Gültige Werte liegen zwischen 60 und 28800 Sekunden
(8 Std.). Als Standardwert sind 7800 Sekunden voreingestellt.
IKE-DH-Gruppe: Während der Aushandlung einer Verbindung gleichen die beiden
Gegenstellen auch die aktuellen Schlüssel für die Datenverschlüsselung ab. Für die
Generierung des Sitzungsschlüssels (session key) nutzt IKE den Diffie-Hellman-(DH-)
Algorithmus. Dieser Algorithmus generiert den Schlüssel per Zufallsprinzip basierend auf sogenannten Pool Bits. Die IKE-Gruppe gibt hauptsächlich Aufschluss über die
Anzahl der Pool Bits. Je mehr Pool Bits, umso länger ist die zufällige Zahlenkette – je größer die Zahlenkette, umso schwerer kann der Diffie-Hellman-Algorithmus geknackt
476
UTM 9 Administratorhandbuch
16 Fernzugriff
16.4 IPsec werden. Folglich bedeuten mehr Pool Bits höhere Sicherheit, was allerdings auch bedeutet, dass mehr CPU-Leistung für die Generierung benötigt wird. Momentan werden die folgenden Diffie-Hellman-Gruppen unterstützt: l
Gruppe 1: MODP 768 l
Gruppe 2: MODP 1024 l
Gruppe 5: MODP 1536 l
Gruppe 14: MODP 2048 l
Gruppe 15: MODP 3072 l
Gruppe 16: MODP 4096
Hinweis – Gruppe 1 (MODP 768) wird allgemein als sehr schwach eingestuft und wird hier nur aus Kompatibilitätsgründen unterstützt.
IPsec-Verschlüsselungsalgorithmus: Die gleichen Verschlüsselungsalgorithmen wie für IKE.
IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmen wie für IKE. Zusätzlich werden noch folgende Algorithmen unterstützt:
SHA2 256 (96 Bit)
SHA2 384 (96 Bit)
SHA2 512 (96 Bit)
Diese sind für die Kompatibilität mit Tunnelendpunkten verfügbar, die nicht RFC 4868 entsprechen, beispielsweise frühere UTM-Versionen (d. h. ASG-Versionen) als V8, und deshalb keine abgeschnittenen Prüfsummen länger als 96 Bit unterstützen.
IPsec-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die die
IPsec-SA (Security Association, dt. Sicherheitsverbindung) gültig ist und wann die nächste Schlüsselerneuerung stattfindet. Gültige Werte liegen zwischen 60 und 86400
Sekunden (1 Tag). Als Standardwert sind 7800 Sekunden voreingestellt.
IPsec-PFS-Gruppe:Perfect Forward Secrecy (PFS) ist eine Eigenschaft von
Verschlüsselungsverfahren, die sicherstellt, dass aus einem geknackten Schlüssel nicht auf vorhergehende oder nachfolgende Sitzungsschlüssel einer
Kommunikationsverbindung geschlossen werden kann. Damit PFS besteht, darf der
UTM 9 Administratorhandbuch
477
16.4 IPsec
16 Fernzugriff
zum Schutz der IPsec-SA-Verbindung genutzte Schlüssel nicht von demselben zufällig erzeugten Verschlüsselungsmaterial hergeleitet worden sein wie die Schlüssel für die
IKE-SA-Verbindung. Daher initiiert PFS einen zweiten Diffie-Hellman-
Schlüsselaustausch mit der Absicht, der ausgewählten DH-Gruppe für die IPsec-
Verbindung einen neuen zufällig erzeugten Schlüssel zu übergeben. Es werden die gleichen DH-Gruppen wie bei IKE unterstützt.
Die Aktivierung von PFS wird als sicherer eingestuft, aber es benötigt auch mehr Zeit bei der Aushandlung. Es wird davon abgeraten, PFS auf langsamer Hardware einzusetzen.
Hinweis – PFS ist nicht immer gänzlich kompatibel mit den verschiedenen Herstellern.
Wenn Sie Probleme während der Aushandlung feststellen, schalten Sie diese Funktion aus.
Strikte Richtlinie: Wenn ein IPsec-Gateway eine Anfrage hinsichtlich eines
Verschlüsselungsalgorithmus und der Verschlüsselungsstärke unternimmt, kann es vorkommen, dass das Gateway des Empfängers diese Anfrage akzeptiert, obwohl das nicht mit der entsprechenden IPsec-Richtlinie übereinstimmt. Wenn Sie diese Option wählen und der entfernte Endpunkt nicht exakt die von Ihnen festgelegten Parameter verwenden will, kommt keine IPsec-Verbindung zustande.Angenommen die IPsec-
Richtlinie Ihrer UTM verlangt AES-256-Verschlüsselung, wohingegen ein Road Warrior mit SSH-Sentinel sich mit AES-128 verbinden will – wenn die Option für die strikte
Richtlinie aktiviert ist, wird die Verbindung abgewiesen.
Hinweis – Die Komprimierungseinstellung wird durch Aktivierung der Option Strikte
Richtlinie nicht erzwungen.
Komprimierung: Diese Option legt fest, ob IP-Pakete vor der Verschlüsselung mit dem
IP Payload Compression Protocol (IPComp) komprimiert werden. IPComp reduziert die
Größe von IP-Paketen, indem es sie komprimiert, um die allgemeine
Kommunikationsleistung zwischen einem Paar von kommunizierenden Hosts oder
Gateways zu erhöhen. Komprimierung ist standardmäßig ausgeschaltet.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Die neue Richtlinie wird in der Liste Richtlinien angezeigt.
478
UTM 9 Administratorhandbuch
16 Fernzugriff
Um eine Richtlinie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
16.4 IPsec
16.4.3 Erweitert
Auf der Registerkarte Fernzugriff > IPsec > Erweitert können Sie die erweiterten Einstellungen für IPsec-VPN vornehmen.Abhängig von Ihrer bevorzugten Authentifizierungsmethode können Sie unter anderem das lokale Zertifikat (für X.509-Authentifizierung) und den lokalen
RSA-Schlüssel (für RSA-Authentifizierung) festlegen. Diese Einstellungen sollten nur von erfahrenen Benutzern durchgeführt werden.
Loka le s X.50 9-Ze r tifika t
Bei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüssel der VPN-Endpunkte zu überprüfen.Wenn Sie diese Authentifizierungsmethode verwenden wollen, müssen Sie im Abschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der
Auswahlliste wählen. Das ausgewählte Zertifikat bzw. Schlüssel wird anschließend dafür genutzt, um das Gateway gegenüber Gegenstellen zu authentifizieren, falls X.509-
Authentifizierung ausgewählt ist.
Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhanden ist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.
Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines im Menü
Zertifikatverwaltung hinzufügen, entweder indem Sie ein neues erzeugen oder indem Sie eines
über die Upload-Funktion importieren.
Nachdem Sie das Zertifikat ausgewählt haben, geben Sie das Kennwort ein, mit dem der private Schlüssel geschützt ist. Während des Speichervorgangs wird das Kennwort verifiziert und eine Fehlermeldung angezeigt, falls das Kennwort nicht zum verschlüsselten Schlüssel passt.
Sobald ein aktiver Schlüssel oder ein Zertifikat ausgewählt ist, wird er/es im Abschnitt Lokales
X.509-Zertifikat angezeigt.
De a d Pe e r De te ction ( DPD)
Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenn das VPN-Gateway oder der Client auf der Gegenseite nicht erreichbar ist. Bei Verbindungen mit statischen Endpunkten wird der Tunnel nach einem Ausfall automatisch neu ausgehandelt.
Für Verbindungen mit dynamischen Endpunkten wird für eine neue Aushandlung des Tunnels
UTM 9 Administratorhandbuch
479
16.4 IPsec
16 Fernzugriff
die Anfrage seitens der Gegenstelle benötigt. In der Regel ist diese Funktion betriebssicher und kann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob die
Gegenstelle Dead Peer Detection unterstützt oder nicht, und verwenden den normalen Modus, falls nötig.
NAT-Tr a ve r sa l ( NAT-T)
NAT-Traversal verwenden: Wählen Sie diese Option, um zu ermöglichen, dass IPsec-
Verkehr Upstream-Systeme passieren kann, die Network Address Translation (NAT, dt.
Netzwerkadressumsetzung) verwenden. Zusätzlich können Sie das Intervall für die
Aufrechterhaltung (engl. keep-alive) für NAT-Traversal festlegen.Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
C RL-Ha ndha bung
Es sind Situationen denkbar, in denen ein Zertifikataussteller noch während der
Gültigkeitsdauer eines Zertifikats die darin gegebene Bestätigung für ungültig erklären möchte, z. B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vom Zertifikatnehmer unter
Angabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifizierten
öffentlichen Schlüssel gehörende private Schlüssel einem Angreifer in die Hände gefallen ist.Zu
diesem Zweck werden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate Revocation
Lists) verwendet. Diese enthalten üblicherweise die Seriennummern derjenigen Zertifikate einer Zertifizierungsinstanz, die für ungültig erklärt werden und deren regulärer
Gültigkeitszeitraum noch nicht abgelaufen ist.
Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedem Fall keine Gültigkeit mehr und muss daher auch nicht weiter auf der Zertifikatsperrliste geführt werden.
Automatische Abholung: Mit dieser Funktion wird die CRL automatisch über die URL abgeholt, die im Partnerzertifikat angegeben ist, via HTTP, anonymes FTP (Anonymous FTP) oder LDAP Version 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert und aktualisiert werden, sobald der Gültigkeitszeitraum abgelaufen ist. Wenn Sie diese Funktion nutzen (jedoch nicht über Port 80 oder 443), achten Sie darauf, dass die Firewallregeln so gesetzt sind, dass auf den CRL-Distributionsserver zugegriffen werden kann.
Strikte Richtlinie: Wenn Sie diese Option auswählen, werden alle Partnerzertifikate ohne eine zugehörige CRL zurückgewiesen.
Pr obing von ve r te ilte n Schlüsse ln
Für IPsec-Verbindungen, die im Nur-Antworten-Modus (engl. respond-only) arbeiten, können
Sie festlegen, dass mehrere verteilte Schlüssel (PSK, engl. preshared keys) für jede IPsec-
480
UTM 9 Administratorhandbuch
16 Fernzugriff
16.5 HTML5-VPN-Portal
Verbindung zugelassen sind.
Probing von verteilten Schlüsseln: Markieren Sie das Auswahlkästchen, um die Funktion zu aktivieren. Diese Option betrifft L2TP-über-IPsec-, IPsec-Fernzugriff- und IPsec-Site-to-
Site-Verbindungen.
16.4.4 Fehlersuche
I KE-Fe hle r suche
Im Abschnitt IKE-Fehlersuche können Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe der
Auswahlkästchen legen Sie fest, für welche Arten von IKE-Nachrichten oder -Kommunikation zusätzliche Informationen in das Fehlerprotokoll geschrieben werden.
Hinweis – Der Abschnitt IKE-Fehlersuche ist für die Registerkarten Fehlersuche der Menüs
Site-to-Site VPN IPsec, Fernzugriff IPsec, L2TP über IPsec und Cisco VPN Client identisch.
Die folgenden Flags können protokolliert werden: l
Kontrollverlauf: Kontrollnachrichten zum IKE-Status l
Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten l
Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten l
Kernel-Messaging: Kommunikationsnachrichten mit dem Kernel l
Hochverfügbarkeit: Kommunikation mit anderen Hochverfügbarkeitsknoten
16.5 HTML5-VPN-Portal
Das HTML5-VPN-Portal ermöglicht Benutzern in externen Netzwerken den Zugriff auf interne
Ressourcen über vorkonfigurierte Verbindungsarten und einen normalen Webbrowser ohne zusätzliche Plug-ins.Der Benutzer meldet sich dafür am Benutzerportal der UTM an. Auf der
Registerkarte HTML5-VPN-Portal wird eine Liste aller Verbindungen angezeigt, die für diesen
Benutzer definiert sind.Wenn der Benutzer auf die Schaltfläche Verbinden klickt, wird eine
Verbindung zur festgelegten internen Ressource hergestellt. Als Administrator müssen Sie diese Verbindungen erst erstellen sowie zugelassene Benutzer, die Verbindungsart und andere Einstellungen festlegen. Der Zugriff auf interne Ressourcen kann über verschiedene
Verbindungsarten erfolgen: Remote Desktop Protocol (RDP) oder Virtual Network Computing
UTM 9 Administratorhandbuch
481
16.5 HTML5-VPN-Portal
16 Fernzugriff
(VNC) für den Zugriff auf entfernte Computer, einen Browser für Webanwendungen
(HTTP/HTTPS) oder Telnet/Secure Shell (SSH) für Terminal-Sitzungen.
Mit dieser Funktion können Sie mehreren Benutzern Zugriff auf interne Ressourcen geben, auch wenn diese von sich aus keinen Mehrbenutzerzugriff unterstützen (z. B.
Netzwerkhardware wie Switches). Auch lässt sich damit der Zugriff auf einen bestimmten
Dienst beschränken, anstatt Vollzugriff auf ganze Systeme oder Netzwerke zu gewähren.
Beispiele: l
Geben Sie einem Telekommunikationsanbieter beschränkten Zugriff, damit er Ihre
Telefoninfrastruktur warten kann.
l
Erlauben Sie den Zugriff auf eine bestimmte interne Website, z. B. das Intranet.
Hinweise zur Verwendung im Benutzerportal
Hinweis – Der Browser des Benutzers muss HTML5 und WebSocket unterstützen. Andere
Browser können Flash verwenden, was jedoch die Installation des Flash-Plug-ins voraussetzt. Ab den folgenden Browser-Versionen muss kein Flash-Plug-in installiert sein: Firefox 6.0, Internet Explorer 10, Chrome, Safari 5 (nicht beim Betriebssystem
Windows).
Im Benutzerportal kann der Benutzer eine Verbindung beenden oder trennen, indem er die entsprechende Option in einem Menü auswählt, das eingeblendet wird, sobald er den
Mauszeiger über den oberen Fensterrand bewegt.
l
Mit dem Befehl Sitzung beenden im Menü Verbindung oder durch Schließen des
Browser-Fensters (x-Symbol in der Titelleiste) wird die Verbindung geschlossen. Der
Benutzer kann über den Link im Benutzerportal eine neue Sitzung starten.
l
Der Befehl Trennen im Menü Verbindung trennt die Verbindung. Der Sitzungsstatus wird für die Dauer von fünf Minuten gespeichert. Meldet sich der Benutzer während dieses Zeitraums wieder an, kann er die letzte Sitzung fortsetzen.
Das zusätzliche Tastatur-Menü bietet Zugriff auf hilfreiche Funktionstasten und
Tastenkürzel.Im Menü Tastatur > Tastatur-Layout können Sie das Tastatur-Layout für
Remotedesktopsitzungen mit einem Windows-Host ändern. Besonders für die Windows-
Anmeldung gilt, dass die ausgewählte Sprache mit dem Tastatur-Layout des Windows-
Systems übereinstimmen sollte, um eine korrekte Kennworteingabe zu ermöglichen.
482
UTM 9 Administratorhandbuch
16 Fernzugriff
16.5 HTML5-VPN-Portal
16.5.1 Allgemein
Auf der Registerkarte Fernzugriff > HTML5-VPN-Portal > Allgemein können Sie das HTML5-
VPN-Portal einschalten und die VPN-Portal-Verbindungen verwalten.Zugelassene Benutzer können auf der Registerkarte HTML5-VPN-Portal im Benutzerportal auf die für sie freigegebenen Verbindungen zugreifen.
Um das HTML5-VPN-Portal zu aktivieren und eine neue HTML5-VPN-Verbindung zu erstellen, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie das HTML5-VPN-Portal.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und der Abschnitt Verbindungen kann nun bearbeitet werden. Jetzt können zugelassene Benutzer alle vorhandenen, für sie freigegebenen
Verbindungen im Benutzerportal sehen.
2.
Klicken Sie auf die SchaltflächeNeue HTML5-VPN-Portal-Verbindung.
Das Dialogfenster HTML5-VPN-Portal-Verbindung hinzufügen wird geöffnet.
3.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.
Verbindungstyp: Wählen Sie den Verbindungstyp aus. Je nachdem, welchen
Verbindungstyp Sie auswählen, werden verschiedene Einstellungen angezeigt. Die folgenden Typen sind verfügbar: l
Remotedesktop: Fernzugriff über Remote Desktop Protocol (RDP), z. B. für eine Remotedesktopsitzung auf einem Windows-Host.
l
Webapp (HTTP): Browserbasierter Zugriff auf Webanwendungen über HTTP.
l
Webapp (HTTPS): Browserbasierter Zugriff auf Webanwendungen über
HTTPS.
Hinweis – Die für die HTTP/HTTPS-Verbindung verwendete URL setzt sich aus den Verbindungsoptionen Ziel, Port und Pfad zusammen.
l
Telnet: Terminalzugriff über das Telnet-Protokoll, z. B. für den Zugriff auf einen
Switch oder einen Drucker.
l
SSH: Terminalzugriff über SSH.
UTM 9 Administratorhandbuch
483
16.5 HTML5-VPN-Portal
16 Fernzugriff
l
VNC: Terminalzugriff über Virtual Network Computing (VNC), z. B. für eine
Remotedesktopverbindung mit einem Linux/Unix-Host.
Ziel: Geben Sie hier den Host an, mit dem sich zugelassene Benutzer verbinden dürfen.
Hinweis – Wenn der ausgewählte Zielhost ein selbstsigniertes Zertifikat bereitstellt, muss der CN (Common Name) des Zertifikats mit dem Namen Ihres Zielhosts
übereinstimmen. Andernfalls wird dem Benutzer im Portal-Browser ein Warnhinweis angezeigt.Wenn Sie zum Beispiel den DNS-Host www.meinedomaene.de verwenden, muss dieser Name im selbstsignierten Zertifikat enthalten sein.Wenn Sie anstelle eines DNS-Hosts einen Host verwenden, muss das selbstsignierte Zertifikat die IP-Adresse des Hosts als Subject Alternative Name enthalten.
Pfad (nur bei den Webapp-Verbindungstypen): Geben Sie hier den Pfad ein, mit dem sich zugelassene Benutzer verbinden dürfen.
Benutzername (nur beim Verbindungstyp SSH): Geben Sie den Benutzernamen ein, den der Benutzer für die Verbindung verwenden soll.
Automatisch anmelden/Automatisch anmelden (einfache Auth.): Wenn aktiviert, können sich Benutzer ohne Kenntnis der Authentifizierungsdaten anmelden. In diesem
Fall müssen Sie die Authentifizierungsdaten bereitstellen. Je nach Verbindungstyp werden unterschiedliche Optionen angezeigt: l
Benutzername: Geben Sie den Benutzernamen ein, den Benutzer für die
Verbindung verwenden sollen.
l
Kennwort: Geben Sie das Kennwort ein, das Benutzer für die Verbindung verwenden sollen.
l
Authentifizierungsmethode (nur beim Verbindungstyp SSH): Wählen Sie die
SSH-Authentifizierungsmethode. Sie können entweder das Kennwort für den ausgewählten Benutzernamen angeben oder den Privaten SSH-Schlüssel für die
SSH-Verbindung.
SSL-Hostzertifikat (nur beim Verbindungstyp HTTPS): Fügen Sie das SSL-Host-
Sicherheitszertifikat hinzu, mit dem der Zielhost identifiziert wird.
l
SSL-Zertifikat: Klicken Sie auf die Schaltfläche Abrufen, um das Zertifikat automatisch zum ausgewählten Zielhost hinzuzufügen.
484
UTM 9 Administratorhandbuch
16 Fernzugriff
16.5 HTML5-VPN-Portal
Öffentlicher Host-Schlüssel (nur beim Verbindungstyp SSH): Fügen Sie den
öffentlichen Schlüssel des SSH-Hosts hinzu.
l
Öffentlicher SSH-Schlüssel: Klicken Sie auf die Schaltfläche Abrufen, um den
öffentlichen SSH-Schlüssel des ausgewählten Zielhosts automatisch abzurufen.
Zugelassene Benutzer (Benutzerportal): Wählen Sie die Benutzer oder Gruppen aus, die Zugriff auf die VPN-Portal-Verbindung haben sollen. Standardmäßig kann eine
Verbindung immer nur von einem Benutzer gleichzeitig verwendet werden.Wenn Sie möchten, dass eine Verbindung von mehreren Benutzern gleichzeitig verwendet werden kann, aktivieren Sie das Auswahlfeld Shared session im Abschnitt Erweitert.
Hinweis – Wenn Sie eine Gruppe mit Backend-Mitgliedschaft hinzufügen, muss diese
Gruppe für das Benutzerportal zugelassen sein.Auf der Registerkarte Verwaltung >
Benutzerportal >
wählen Sie dafür entweder Alle Benutzer zulassen oder
Nur bestimmte Benutzer zulassen und fügen Sie die fragliche Gruppe explizit hinzu.
Wenn Sie nur einzelne Gruppenmitglieder für das Benutzerportal zulassen, erhalten diese keinen Zugriff auf dieselben Verbindungen wie die Gruppe.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
4.
The options displayed depend on the selected Type above.
Port: Geben Sie eine Portnummer für die Verbindung ein. Standardmäßig ist dies der
Standardport des ausgewählten Verbindungstyps.
Shared session: Wählen Sie diese Option, damit eine Verbindung von mehreren
Benutzern gleichzeitig verwendet werden kann. Den Benutzern wird derselbe Bildschirm angezeigt.
5.
Klicken Sie auf Speichern.
Die neue Verbindung wird in der Liste Verbindungen angezeigt.
6.
Aktivieren Sie die Verbindung.
Aktivieren Sie die Verbindung durch einen Klick auf die Statusampel.
Die Verbindung kann jetzt von den zugelassenen Benutzern verwendet werden.Sie
finden sie auf der Registerkarte HTML5-VPN-Portal des Benutzerportals.
Um eine Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden
Schaltflächen.
UTM 9 Administratorhandbuch
485
16.6 Cisco VPN Client
16 Fernzugriff
16.6 Cisco VPN Client
Sophos UTMunterstützt IPsec-Fernzugriff über Cisco VPN Client.Der Cisco VPN Client ist ein ausführbares Programm von Cisco Systems, das es ermöglicht, entfernte Computer auf sichere Weise mit einem virtuellen privaten Netzwerk (VPN, Virtual Private Network) zu verbinden.
16.6.1 Allgemein
Auf der Registerkarte Fernzugriff > Cisco VPN Client > Allgemein können Sie die grundlegenden Optionen für den Fernzugriff über Cisco VPN Client konfigurieren.
Um Sophos UTM so zu konfigurieren, dass Cisco-VPN-Client-Verbindungen zulässig sind, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Cisco VPN Client auf der Registerkarte Allgemein.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Servereinstellungen kann nun bearbeitet werden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Schnittstelle: Wählen Sie eine Schnittstelle, die für Cisco-VPN-Client-Verbindungen verwendet werden soll.
Serverzertifikat: Wählen Sie das Zertifikat, mit dem sich der Server gegenüber dem
Client identifizieren soll.
Pool-Netzwerk: Wählen Sie einen Netzwerk-Pool, dessen virtuelle Netzwerkadressen den Clients zugewiesen werden sollen, wenn sie sich verbinden.VPN Pool (Cisco) ist vorausgewählt.
Benutzer und Gruppen: Wählen Sie Benutzer und/oder Gruppen, die sich mit UTM
über Cisco VPN Client verbinden dürfen. Es ist jedoch nicht möglich, Backend-
Mitgliedschaftsgruppen in das Feld zu ziehen, weil zum Zeitpunkt der IPsec-
Konfiguration ein Benutzerzertifikat benötigt wird. Dieses Zertifikat wird aber nur erzeugt, wenn sich ein Benutzer zum ersten Mal erfolgreich angemeldet hat.
486
UTM 9 Administratorhandbuch
16 Fernzugriff
16.6 Cisco VPN Client
Lokale Netzwerke: Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnel erreichbar sein sollen.
Automatische Firewallregeln (optional): Sobald die IPsec-Verbindung erfolgreich aufgebaut wurde, werden die Firewallregeln für den betreffenden Datenverkehr automatisch hinzugefügt. Beim Beenden der Verbindung werden die Paketfilterregeln wieder entfernt.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Live -Pr otokoll
Verwenden Sie das Live-Protokoll, um die Verbindungs-Protokolleinträge des IPsec-IKE-
Daemon-Protokolls zu verfolgen. Es zeigt Informationen zum Aufbau, der Aufrechterhaltung und der Beendigung von Verbindungen an.
16.6.2 iOS-Geräte
Sie können ermöglichen, dass Benutzern von iOS-Geräten eine automatische Cisco-IPsec-
Konfiguration im Benutzerportal angeboten wird.
Allerdings werden nur Benutzer, die im Feld Benutzer und Gruppen auf der Registerkarte
Allgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.Der
iOS-Geräte-Status ist standardmäßig aktiviert.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Cisco IPsec-
Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriff sind aufzubauen.Der Name Ihrer Firma gefolgt vom Protokoll Cisco IPsec ist voreingestellt.
Hinweis - Der Verbindungsname muss für alle iOS-Verbindungseinstellungen (PPTP, L2TP
über IPsec, Cisco VPN Client) einzigartig sein.
Hostnamen übergehen: Im Falle, dass der Systemhostname vom Client nicht öffentlich aufgelöst werden kann, können Sie hier einen Server-Hostnamen eingeben, der die interne
Präferenz übergeht, bei der der DynDNS-Hostname dem System-DNS-Hostnamen vorgezogen wird.
Um die automatische iOS-Konfiguration auszuschalten, klicken Sie auf die Statusampel oder auf Disable oben in der Registerkarte.
Die Statusampel wird rot.
UTM 9 Administratorhandbuch
487
16.7 Erweitert
16 Fernzugriff
Eine VPN-Verbindung auf Anfrage aufbauen: Wählen Sie diese Option, um automatisch eine Verbindung aufzubauen, sobald es eine Übereinstimmung mit einem der Hostnamen oder einer der Domänen gibt.
Beachten Sie, dass iOS-Geräten, die sich verbinden, das Serverzertifikat gezeigt wird, das auf der Registerkarte Allgemein definiert ist.Das iOS-Gerät überprüft dann, ob die VPN-ID dieses
Zertifikats mit dem Server-Hostnamen übereinstimmt, und lehnt die Verbindung ab, wenn es keine Übereinstimmung gibt.Wenn das Serverzertifikat einen Distinguished Name als VPN-ID verwendet, vergleicht das iOS-Gerät den Server-Hostnamen stattdessen mit dem Feld
Allgemeiner Name (Common Name).Sie müssen sicherstellen, dass das Server-Zertifikat diese Bedingungen erfüllt.
16.6.3 Fehlersuche
I KE-Fe hle r suche
Im Abschnitt IKE-Fehlersuche können Sie die IKE-Fehlersuche konfigurieren. Mit Hilfe der
Auswahlkästchen legen Sie fest, für welche Arten von IKE-Nachrichten oder -Kommunikation zusätzliche Informationen in das Fehlerprotokoll geschrieben werden.
Hinweis – Der Abschnitt IKE-Fehlersuche ist für die Registerkarten Fehlersuche der Menüs
Site-to-Site VPN IPsec, Fernzugriff IPsec, L2TP über IPsec und Cisco VPN Client identisch.
Die folgenden Flags können protokolliert werden: l
Kontrollverlauf: Kontrollnachrichten zum IKE-Status l
Ausgehende Pakete: Inhalte von ausgehenden IKE-Nachrichten l
Eingehende Pakete: Inhalte von eingehenden IKE-Nachrichten l
Kernel-Messaging: Kommunikationsnachrichten mit dem Kernel l
Hochverfügbarkeit: Kommunikation mit anderen Hochverfügbarkeitsknoten
16.7 Erweitert
Auf der Seite Fernzugriff > Erweitert können Sie die erweiterten Einstellungen für die
Fernzugriff-Clients durchführen.Die IP-Adressen der DNS- und WINS-Server, die Sie hier angeben, werden für die Benutzung durch Fernzugriff-Clients während des
488
UTM 9 Administratorhandbuch
16 Fernzugriff
16.8 Zertifikatverwaltung
Verbindungsaufbaus mit dem Gateway zur Verfügung gestellt, wodurch eine vollständige
Namensauflösung für Ihre Domäne gewährleistet wird.
DNS-Server: Sie können bis zu zwei DNS-Server für Ihr Unternehmen definieren.
WINS-Server: Sie können bis zu zwei WINS-Server für Ihr Unternehmen definieren.Windows
Internet Naming Service (WINS, dt. Windows Internet Namensdienst) ist Microsofts
Implementierung des NetBIOS Name Server (NBNS) für Windows-Betriebssysteme. Unterm
Strich macht WINS für NetBIOS-Namen das, was DNS für Domänennamen macht: einen zentralen Abgleich zwischen Hostnamen und IP-Adressen.
Domänenname: Geben Sie den Fully Qualified Domain Name (FQDN) Ihres Unternehmens ein.Dies ist ein eindeutiger Domänenname, der in einer DNS-Baumstruktur die absolute
Position des Knotens spezifiziert, z. B. intranet.beispiel.de.
Hinweis – Bei PPTP und L2TP über IPsec kann der Domänenname nicht automatisch verteilt werden – er muss auf dem Client manuell konfiguriert werden.
Bei iOS-Geräten, die Cisco VPN Client verwenden, wird der oben angegebene DNS-Server
nur dazu verwendet, Hosts aufzulösen, die zu der definierten Domäne gehören.
16.8 Zertifikatverwaltung
Über das Menü Fernzugriff > Zertifikatverwaltung, das dieselben Konfigurationsoptionen enthält wie das Menü Site-to-Site-VPN > Zertifikatverwaltung, können Sie alle zertifikatbezogenen Vorgänge von Sophos UTM verwalten.Das beinhaltet unter anderem das
Anlegen und Importieren von X.509-Zertifikaten ebenso wie das Hochladen sogenannter
Zertifikatsperrlisten (CRLs).
16.8.1 Zertifikate
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
16.8.2 CA
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
16.8.3 Sperrlisten (CRLs)
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
UTM 9 Administratorhandbuch
489
16.8 Zertifikatverwaltung
16.8.4 Erweitert
Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung >
.
16 Fernzugriff
490
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
Dieses Kapitel beschreibt die Protokoll- und Berichtsfunktionen von Sophos UTM.
Sophos UTMbietet umfangreiche Protokollfunktionen, indem es die verschiedenen Ereignisse betreffend den Schutz des Systems und des Netzwerks dauernd überwacht.Aufgrund der detaillierten historischen Informationen und den aktuellen Analysen der verschiedenen
Netzwerkaktivitäten können potenzielle Sicherheitsbedrohungen identifiziert oder aufkommende Probleme verhindert werden.
Die Berichtsfunktion von Sophos UTM bietet System- und Netzwerkinformationen in Echtzeit.
Dafür werden die Informationen aus den Protokolldateien gesammelt und in grafischer Form dargestellt.
Die Seite Protokollpartitionsstatus in WebAdmin zeigt den aktuellen Status der
Protokollpartition auf Sophos UTM an, einschließlich Informationen zum verbleibenden
Speicherplatz, der Zuwachsrate sowie eines Histogramms über die Nutzung der
Protokollpartition über die letzten vier Wochen. Für die Berechnung der durchschnittlichen
Zuwachsrate wird das aktuelle Datenvolumen durch die verstrichene Zeit dividiert – die
Angaben sind daher zu Beginn etwas ungenau.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
l
l
l
l
l
l
17 Protokolle & Berichte
Flash-basierte Berichte
Ab Version 8 zeigt Sophos UTM Berichtsdaten-Diagramme standardmäßig als Adobe
®
Flash
®
-Animationen an. Diese Flash-Diagramme ermöglichen einen detaillierteren Zugang zu den Informationen, die die Grundlage für ein Diagramm bilden, als die vorher verwendeten statischen Bilder.Wenn Sie jedoch den Berichtstyp V7 bevorzugen, können Sie zur statischen
Darstellung zurückkehren, indem Sie die Benutzereinstellungen anpassen (siehe Verwaltung >
WebAdmin-Einstellungen >
).
Liniendiagramme
Der Umgang mit Flash-Liniendiagrammen ist einfach: Wenn Sie mit dem Mauszeiger über ein
Diagramm fahren, erscheint ein Punkt, der Ihnen detaillierte Informationen zu diesem Teil des
Diagramms liefert. Der Punkt haftet an der Linie des Diagramms. Er folgt den Bewegungen des
Mauszeigers. Wenn ein Diagramm mehrere Linien hat, wechselt der Punkt zwischen ihnen, je nachdem, wohin Sie den Mauszeiger bewegen. Darüber hinaus ändert der Punkt seine Farbe in Abhängigkeit davon, auf welche Linie sich seine Informationen beziehen. Das ist besonders nützlich, wenn Linien eng nebeneinander liegen.
Bild 23 Berichte: Beispiel eines Flash-basierten Liniendiagramms
Tortendiagramme
Ähnlich wie bei den Flash-Liniendiagrammen können Sie mit den Tortendiagrammen interagieren: Fahren Sie mit dem Mauszeiger über ein Stück eines Tortendiagramms. Dieses
Stück wird sofort vom Rest des Tortendiagramms hervorgehoben und der Tooltip zeigt
Informationen zum hervorgehobenen Stück.
492
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.1 Protokollansicht
Bild 24 Berichte: Beispiel eines Flash-basierten Tortendiagramms
17.1 Protokollansicht
Im Menü Protokolle & Berichte > Protokollansicht können die verschiedenen Protokolldateien angesehen und durchsucht werden.
17.1.1 Heutige Protokolldateien
Auf der Registerkarte Protokolle & Berichte > Protokollansicht > Heutige Protokolldateien können Sie auf alle aktuellen Protokolldateien zugreifen.
Diese Registerkarte bietet außerdem einige Aktionen, die auf alle Protokolldateien angewendet werden können. Die folgenden Aktionen sind möglich: l
Live-Protokoll: Ein Klick auf diese Schaltfläche öffnet ein neues Fenster, in dem Sie das
Protokoll in Echtzeit mitverfolgen können. Neue Zeilen werden der Protokolldatei in
Echtzeit hinzugefügt.Wenn Autoscroll eingeschaltet ist, läuft der Text im Fenster mit, sodass immer die aktuellsten Einträge angezeigt werden. Des Weiteren können Sie mit der Filterfunktion die Anzeige neuer Protokolleinträge einschränken, sodass nur jene
Einträge angezeigt werden, die mit dem Ausdruck im Filter übereinstimmen.
l
Ansicht: Ein Pop-Up-Fenster wird geöffnet, in dem der aktuelle Stand der
Protokolldatei angezeigt wird.
l
Löschen: Löscht den Inhalt der Protokolldatei.
Mit der Auswahlliste unterhalb der Tabelle können Sie vorher ausgewählte Protokolldateien entweder als zip-Datei herunterladen oder den Inhalt der Dateien auf einmal löschen.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads. Es kann vorkommen, dass das Live-Protokoll
UTM 9 Administratorhandbuch
493
17.1 Protokollansicht
17 Protokolle & Berichte
aufhört, Zeilen hinzuzufügen.Versuchen Sie in diesem Fall, das Problem im Fenster des Live-
Protokolls durch Drücken von F5 (Aktualisieren) zu beheben.
17.1.2 Archivierte Protokolldateien
Auf der Registerkarte Protokolle & Berichte > Protokollansicht > Archivierte Protokolldateien können Sie das Protokollarchiv verwalten. Alle Protokolldateien werden täglich archiviert.Um
auf eine archivierte Protokolldatei zuzugreifen, wählen Sie das Teilsystem von Sophos UTM aus, für das die Protokolle erstellt werden, sowie ein Jahr und einen Monat.
Alle verfügbaren Protokolldateien, die Ihrer Auswahl entsprechen, werden in chronologischer
Reihenfolge angezeigt.Sei können die archivierten Protokolldateien entweder aufrufen oder im zip
-Format herunterladen.
Mit der Auswahlliste unterhalb der Tabelle können Sie vorher ausgewählte Protokolldateien entweder als zip-Datei herunterladen oder alle auf einmal löschen.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
17.1.3 Protokolldateien durchsuchen
Auf der Registerkarte Protokolle & Berichte > Protokollansicht > Protokolldateien durchsuchen können Sie Ihre lokalen Protokolldateien nach bestimmten Zeiträumen durchsuchen. Wählen
Sie zunächst eine Protokolldatei, die Sie durchsuchen wollen. Geben Sie dann einen
Suchbegriff ein und wählen Sie einen Zeitraum.Wenn Sie Benutzerdefinierter Zeitraum unter
Zeitraum auswählen, können Sie ein Start- und Enddatum angeben.Nachdem Sie auf Suche
starten geklickt haben, wird ein neues Fenster geöffnet, in dem die Ergebnisse Ihrer Suche angezeigt werden. Je nach Browser kann es nötig sein, Pop-Up-Fenster für WebAdmin zu erlauben.
494
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.2 Hardware
17.2 Hardware
17.2.1 Täglich
Die Registerkarte Hardware > Täglich bietet umfangreiche statistische Informationen zu den folgenden Hardware-Komponenten für die letzten 24 Stunden: l
CPU Usage: CPU-Auslastung
17.2.2 Wöchentlich
Die Registerkarte Hardware > Wöchentlich bietet umfangreiche statistische Informationen zu ausgewählten Hardware-Komponenten für die letzten sieben Tage.Die einzelnen
Histogramme werden im Abschnitt
beschrieben.
17.2.3 Monatlich
Die Registerkarte Hardware > Monatlich bietet umfangreiche statistische Informationen zu ausgewählten Hardware-Komponenten für die letzten vier Wochen.Die einzelnen
Histogramme werden im Abschnitt
beschrieben.
17.2.4 Jährlich
Die Registerkarte Hardware > Jährlich bietet umfangreiche statistische Informationen zu ausgewählten Hardware-Komponenten für die letzten zwölf Monate.Die einzelnen
Histogramme werden im Abschnitt
beschrieben.
17.3 Netzwerknutzung
Das Menü Protokolle & Berichte > Netzwerknutzung bietet einen statistischen Überblick über den Datenverkehr, der jede Schnittstelle von Sophos UTM passiert, für verschiedene
Zeiträume. Zur Darstellung werden die folgenden Maßeinheiten verwendet: l u (Mikro, 10e
-6
) l m (Milli, 10e
-3
)
UTM 9 Administratorhandbuch
495
17.3 Netzwerknutzung l k (Kilo, 10e
3
) l
M (Mega, 10e
6
) l
G (Giga, 10e
9
)
Beachten Sie, dass die Skalierung zwischen 10e
-18 bis 10e
8 variiert.
17 Protokolle & Berichte
17.3.1 Täglich
Die Registerkarte Netzwerknutzung > Täglich bietet umfangreiche statistische Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten 24 Stunden.
Jedes Diagramm enthält zwei grafische Darstellungen: l
Inbound: Eingehender Datenverkehr auf dieser Schnittstelle in Bit pro Sekunde.
l
Outbound: Ausgehender Datenverkehr auf dieser Schnittstelle in Bit pro Sekunde.
Das Diagramm Concurrent Connections zeigt die Anzahl der gleichzeitigen Verbindungen.
17.3.2 Wöchentlich
Die Registerkarte Netzwerknutzung > Wöchentlich bietet umfangreiche statistische
Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten sieben
Tagen.Die einzelnen Histogramme werden im Abschnitt
beschrieben.
17.3.3 Monatlich
Die Registerkarte Netzwerknutzung > Monatlich bietet umfangreiche statistische Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten vier Wochen.Die einzelnen
Histogramme werden im Abschnitt
beschrieben.
17.3.4 Jährlich
Die Registerkarte Netzwerknutzung > Jährlich bietet umfangreiche statistische Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten zwölf Monaten.Die
einzelnen Histogramme werden im Abschnitt
beschrieben.
496
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.3 Netzwerknutzung
17.3.5 Bandbreitennutzung
Die Registerkarte Netzwerknutzung > Bandbreitennutzung bietet umfangreiche statistische
Informationen zu Datenverkehr, der an, von und durch das System gesendet wurde.
Wenn Sie auf eine IP-Adresse oder einen Hostnamen in der Ergebnistabelle der Ansicht By
Client/By Server (nach Client/nach Server) klicken, wird diese Auswahl automatisch als Filter für die Ansicht Top Services By Client (Häufigste Dienste nach Client) verwendet.Sie können die Ansicht auch zu Top Services by Server (Häufigste Dienste nach Server) ändern, oder manuell ein(e) IP/Netzwerk angeben sowie Netzwerkbereiche (z. B. 192.168.1.0/24 oder
10/8
) und diese Einstellungen durch einen Klick auf die Schaltfläche Update bestätigen.
Bei den Ansichten By Service (Nach Dienst) können Sie ein Protokoll und einen Dienst, getrennt durch ein Komma, angeben, (z. B. TCP,SMTP, UDP,6000).Ohne Angabe des
Protokolls wird automatisch von TCP ausgegangen (HTTP ist z. B. auch gültig). Wenn es pro
Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die
Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.
Top Applications/Top Application Groups (Häufigste Anwendungen/Häufigste
Anwendungsgruppen): Ist Application Control deaktiviert, wird der Netzwerkverkehr als
„nicht klassifiziert“ angezeigt. Ist Application Control aktiviert, wird der Netzwerkverkehr nach
Typ angezeigt, z. B. „WebAdmin“, „NTP“, „facebook“ usw.Weitere Informationen zu
Application Control finden Sie im Kapitel Web Protection >
.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Bitte beachten Sie, dass die Bezeichnungen IN und OUT für Datenverkehr je nach
Betrachtungsweise variieren können.Wenn der Proxy eingeschaltet ist, verbinden sich die
Clients auf Port 8080 mit der UTM (auch im Transparenzmodus), sodass Daten, die von den
Clients gesendet werden (die Anfrage), auf der internen Netzwerkschnittstelle als eingehender
Verkehr, und Daten, die an den Client gesendet werden (die Antwort), als ausgehender
Verkehr angesehen werden.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.Um beispielsweise alle Hosts nach dem eingehenden Verkehr zu sortieren, klicken Sie auf die Überschrift IN. Der Host mit dem meisten Datenverkehr wird
UTM 9 Administratorhandbuch
497
17.4 Network Protection
17 Protokolle & Berichte
dann ganz oben angezeigt.Beachten Sie, dass die Informationen für den Datenverkehr in
Kibibyte (KiB) und Mebibytes (MiB), beides Einheiten des Computerspeichers mit der Basis 2, angegeben sind (z. B. 1 Kibibyte = 2
10
Byte = 1024 Byte).
17.4 Network Protection
Die Registerkarten des Menüs Protokolle & Berichte > Network Protection bieten einen statistischen Überblick über Ereignisse im Angriffschutzsystem des Netzwerks, die von Sophos
UTM registriert wurden.
17.4.1 Täglich
Die Registerkarte Network Protection > Täglich bietet umfangreiche statistische Informationen zu den folgenden Ereignissen der letzten 24 Stunden: l
Firewallverstöße l
Angriffschutz-Ereignisse
Firewall Violations (Firewallverstöße:) Jedes verworfene oder abgelehnte Datenpaket wird als Verstoß gegen die Firewallregeln gewertet. Die Anzahl der Firewallverstöße wird über einen Zeitraum von fünf Minuten errechnet.
Angriffschutz-Ereignisse: Alle Diagramme weisen zwei Linien auf: l
Alert Events (Alarme): Die Anzahl der Datenpakete, die einen Angriff-Alarm ausgelöst haben.
l
Drop Events (Verwürfe): Die Anzahl der Datenpakete, die durch das
Angriffschutzsystem verworfen wurden.
17.4.2 Wöchentlich
Auf der Registerkarte Network Protection > Wöchentlich erhalten Sie einen statistischen
Überblick über Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten sieben
Tage.Die Histogramme werden unter
beschrieben.
498
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.4 Network Protection
17.4.3 Monatlich
Auf der Registerkarte Network Protection > Monatlich erhalten Sie einen statistischen Überblick
über Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten vier Wochen.Die
Histogramme werden unter
beschrieben.
17.4.4 Jährlich
Auf der Registerkarte Network Protection > Jährlich erhalten Sie einen statistischen Überblick
über Firewallverstöße und Ereignisse im Angriffschutzsystem der letzten zwölf Monate.Die
Histogramme werden unter
beschrieben.
17.4.5 Firewall
Die Registerkarte Network Protection > Firewall stellt umfassende Daten über die Firewall-
Aktivitäten, aufgeschlüsselt nach Quell-IP, Quellhosts, Anzahl empfangener Pakete und Anzahl von Diensten, bereit.
Wenn Sie auf eine IP-Adresse oder einen Hostnamen in der Ergebnistabelle klicken, wird diese
Auswahl automatisch als Filter für die Ansicht Top Services (Häufigste Dienste) verwendet.Sie
können manuell eine IP oder ein Netzwerk sowie Netzwerkbereiche (z. B. 192.168.1.0/24 oder 10/8) angeben und diese Einstellungen durch einen Klick auf die Schaltfläche
Aktualisieren anwenden.
Bei den Ansichten By Service (Nach Dienst) können Sie ein Protokoll und einen Dienst, getrennt durch ein Komma, angeben, (z. B. TCP,SMTP, UDP,6000).
Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.Um beispielsweise die Tabelle nach der Anzahl der Dienste zu
UTM 9 Administratorhandbuch
499
17.5 Web Protection
17 Protokolle & Berichte
sortieren, klicken Sie auf die Überschrift Services. Die Quell-IP, die die meisten
Dienstanfragen geschickt hat, wird dann ganz oben angezeigt.
17.4.6 IPS
Die Registerkarte Network Protection > IPS bietet umfangreiche Daten zu Angriffschutz-
Aktivitäten in Ihrem Netzwerk.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.Um beispielsweise die Tabelle nach der Anzahl der Pakete zu sortieren, klicken Sie auf die Überschrift Packets. Die Quell-IP, die die meisten Pakete angefragt hat, wird dann ganz oben angezeigt.
17.5 Web Protection
Das Menü Protokolle & Berichte > Web Protection bietet einen statistischen Überblick über die aktivsten Internetnutzer und die am häufigsten aufgerufenen Websites.
17.5.1 Internetnutzung
Die Seite Protokolle & Berichte > Web Protection > Internetnutzung bietet Ihnen vielseitige
Funktionen, mit denen Sie sich gezielt über Ihren Netzwerkverkehr und die Nutzung des
Internets durch Ihre Benutzer informieren können. Auf den ersten Blick wirkt die Seite kompliziert, ihre Verwendung erschließt sich jedoch problemlos durch Ausprobieren.
Seitenaufbau
Kopfze ile
Zunächst gibt es da die Kopfzeile, welche folgende Elemente enthält:
500
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.5 Web Protection l
Home: Mithilfe dieses Symbols gelangen Sie zurück zum Anfang, frei von sämtlichen
Klicks und Filtern.
l
Vorwärts/Rückwärts: Mithilfe dieser Symbole können Sie im Verlauf Ihrer Änderungen und Einstellungen vor- und zurückblättern. Die Funktion ähnelt der eines Webbrowsers.
l
Verfügbare Berichte: Diese Auswahlliste enthält alle verfügbaren Berichtstypen, einschließlich (falls vorhanden) Ihrer eigenen gespeicherten Berichte.Sie ist standardmäßig auf Sites eingestellt.Der Inhalt der Ergebnistabelle auf der Seite
Internetnutzung hängt unmittelbar von dieser Berichtstyp-Einstellung ab.
Hinweis – Wenn Sie Filter verwenden und anschließend die Berichte durchgehen, sehen Sie, dass die Einstellung Verfügbare Berichte automatisch geändert wurde. Sie zeigt stets die jeweils aktuelle Berichtsgrundlage an.
Standard: Es stehen fünf Berichtstypen zur Verfügung; ausführlichere Informationen hierzu finden Sie weiter unten.
Gespeicherte Webberichte: Hier können Sie gespeicherte Webberichte auswählen, die Sie bereits erstellt haben.
l
Löschen: Klicken Sie auf dieses Symbol, um einen gespeicherten Webbericht zu löschen. Standardberichte können nicht gelöscht werden.
l
Speichern: Klicken Sie auf dieses Symbol, um eine aktuelle Ansicht zu speichern und sie später erneut aufrufen zu können.Sie wird in der Auswahlliste Verfügbare Berichte gespeichert.Wenn Sie das Auswahlkästchen Berichte versenden markieren, können Sie einen oder mehrere E-Mail-Empfänger angeben, an die dieser Bericht versendet werden soll.Sie können selbst auch regelmäßig gespeicherte Berichte empfangen; weitere Informationen hierzu finden Sie im Abschnitt Geplante Berichte.
Filte r le iste
In der Filterleiste befinden sich folgende Elemente: l
Plus: Klicken Sie auf dieses Symbol, um zusätzliche Filter zu erstellen; ausführlichere
Informationen hierzu finden Sie weiter unten.
l
Anzahl: Verwenden Sie die Auswahlliste, um die Anzahl der Ergebnisse in der Tabelle zu reduzieren. Sie können jeweils die ersten 10, die ersten 50 oder die ersten 100
Ergebnisse anzeigen.
UTM 9 Administratorhandbuch
501
17.5 Web Protection
17 Protokolle & Berichte
l
Zeit: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmte
Zeiträume einzugrenzen oder zu erweitern.Der Berichtszeitraum Angepasst ermöglicht es Ihnen, eigene Zeiträume festzulegen.
l
Abteilungen: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmte Abteilungen einzugrenzen.Auf der Seite Abteilungen können Sie Abteilungen erstellen.
Er ge bnista be lle
Zuletzt gibt es die Ergebnistabelle.Was darin angezeigt wird, hängt erstens vom ausgewählten
Berichtstyp (die jeweils aktuelle Einstellung wird in der Liste Verfügbare Berichte angezeigt) und zweitens von gegebenenfalls definierten Filtern ab.
Hinweis – Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-
Adresse, sondern nummeriert angezeigt.
Je nach ausgewähltem Berichtstyp enthält die Tabelle verschiedene Informationen:
Benutzer Kategorien Sites Domäne URLs
#
Verkehr
%
Dauer
Seiten
Anfragen
Kategorien*
Aktion*
Ursache*
Info*
* = Diese Zellen können angeklickt werden, um weitere, detailliertere Informationen anzuzeigen.
#: Platzierung im Hinblick auf das Datenverkehrsaufkommen.
Verkehr: Umfang des Datenverkehrsaufkommens.
%: Anteil am Gesamtdatenverkehr in Prozent.
Dauer: Verweildauer auf der Website.
502
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.5 Web Protection
Seiten: Anzahl der abgefragten Seiten.
Anfragen: Anzahl der Anfragen pro Kategorie, Site, Domäne oder URL.
Kategorien: Zeigt alle Kategorien an, denen eine URL angehört. Bei mehreren Kategorien wird durch Anklicken der Kategorie ein kleines Dialogfeld geöffnet. Aus diesem können Sie anschließend eine Kategorie auswählen, auf deren Basis dann ein Filter erstellt wird.
Aktion: Zeigt an, ob die Website an den Client übermittelt wurde (zugelassen bzw. engl.
passed) oder ob sie durch eine Application-Control-Regel blockiert (bzw. engl. blocked) wurde.
Ursache: Zeigt an, warum eine Website-Anfrage blockiert wurde.Beispiel: Ein Benutzer versucht, eine msi-Datei herunterzuladen. Es existiert jedoch eine Application-Control-Regel, die Dateiübertragungen verhindert. In diesem Fall wird in der Zelle „msi“ als Ursache angezeigt.
Info: Diese Zelle enthält (falls verfügbar) zusätzliche Informationen darüber, warum eine
Website-Anfrage blockiert wurde. Wurde z. B. der Download einer Datei aufgrund ihrer
Erweiterung blockiert, enthält die Zelle das Wort „Erweiterung“.
Definition von Filtern
Filter werden verwendet, um in der Ergebnistabelle Informationen mit bestimmten
Eigenschaften anzuzeigen.Für die Definition von Filtern stehen zwei Möglichkeiten zur
Verfügung: Anklicken des Plus-Symbols in der Filterleiste oder Klicken in die Tabelle.
Definition über das Plus-Symbol: Nach Anklicken des grünen Plus-Symbols in der Filterleiste wird ein kleiner Filterdialog mit zwei Feldern angezeigt.Im ersten Feld, einer Auswahlliste, können Sie einen Berichtstyp auswählen, zum Beispiel Kategorie.Im zweiten Feld können Sie dann einen Wert für den ausgewählten Berichtstyp wählen oder eingeben, z. B.
Erwachseneninhalte, wenn Kategorie ausgewählt ist.Klicken Sie auf Save, um den Filter zu speichern und gleichzeitig auf die Ergebnistabelle anzuwenden.
Definition über die Tabelle: Durch Klicken in die Tabelle öffnet sich das Dialogfenster
Berichtaufschlüsselung, wenn für den von Ihnen angeklickten Eintrag mehr als ein Berichtstyp zur Verfügung steht. Sie müssen eine der angezeigten Filteroptionen auswählen.Anschließend wird das Fenster Berichtaufschlüsselung geschlossen, der jeweilige Filter erstellt und in der
Filterleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisse angezeigt.
Beispiel: Auf der Seite Internetnutzung wird standardmäßig der Bericht Sites angezeigt. Klicken
Sie in der Ergebnistabelle in eine beliebige Zeile (z. B. amazon.com).Das Dialogfenster
Berichtaufschlüsselung wird geöffnet. Sie können drei verschiedene Optionen auswählen: Sie
UTM 9 Administratorhandbuch
503
17.5 Web Protection
17 Protokolle & Berichte
können für die jeweilige Site entweder Informationen über Domänen, Benutzer, welche die Site besucht haben, oder Kategorien, denen die Site angehört, anzeigen.Sie sehen, dass zahlreiche Benutzer amazon.com besucht haben und möchten mehr über diese Website erfahren, also aktivieren Sie das Feld Benutzer. Das Fenster wird geschlossen.Sie sehen in der
Kopfleiste, dass der Berichtstyp in Benutzer geändert wurde, und in der Filterleiste, dass die
Informationen in der Ergebnistabelle für Benutzer nach der von Ihnen ausgewählten Website
(amazon.com) gefiltert sind. Die Tabelle zeigt nun alle Benutzer an, die diese Website besucht haben, sowie zusätzliche Informationen über ihre Sitzungen.
Hinweis – Manchmal kommt es darauf an, in welche Tabellenzeile Sie klicken, da bestimmte
Zellen über eigene Filter verfügen (weitere Informationen hierzu finden Sie bei den Einträgen mit Asterisk (*) oben im Abschnitt Ergebnistabelle).
17.5.2 Suchmaschinen
Die Seite Protokolle & Berichte > Web Protection > Suchmaschinen enthält Informationen über die Suchmaschinen, die Ihre Benutzer verwenden, und die Recherchen, die sie damit durchführen. Auf den ersten Blick wirkt die Seite kompliziert, ihre Verwendung erschließt sich jedoch problemlos durch Ausprobieren.
Seitenaufbau
Kopfze ile
Zunächst gibt es da die Kopfzeile, welche folgende Elemente enthält: l
Home: Mithilfe dieses Symbols gelangen Sie zurück zum Anfang, frei von sämtlichen
Klicks und Filtern.
l
Vorwärts/Rückwärts: Mithilfe dieser Symbole können Sie im Verlauf Ihrer Änderungen und Einstellungen vor- und zurückblättern. Die Funktion ähnelt der eines Webbrowsers.
l
Verfügbare Berichte: Diese Auswahlliste enthält alle verfügbaren Berichtstypen, einschließlich (falls vorhanden) Ihrer eigenen gespeicherten Berichte.Sie ist standardmäßig auf Recherchen eingestellt.Der Inhalt der Ergebnistabelle auf der Seite
Suchmaschinen hängt unmittelbar von dieser Berichtstyp-Einstellung ab.
504
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.5 Web Protection
Hinweis – Wenn Sie Filter verwenden und anschließend die Berichte durchgehen, sehen Sie, dass die Einstellung Verfügbare Berichte automatisch geändert wurde. Sie zeigt stets die jeweils aktuelle Berichtsgrundlage an.
Standard: Es stehen drei Berichtstypen zur Verfügung; ausführlichere Informationen hierzu finden Sie weiter unten.
Gespeicherte Suchmaschinenberichte: Hier können Sie gespeicherte
Suchmaschinenberichte auswählen, die Sie bereits erstellt haben.
l
Löschen: Klicken Sie auf dieses Symbol, um einen gespeicherten
Suchmaschinenbericht zu löschen. Standardberichte können nicht gelöscht werden.
l
Speichern: Klicken Sie auf dieses Symbol, um eine aktuelle Ansicht zu speichern und sie später erneut aufrufen zu können.Sie wird in der Auswahlliste Verfügbare Berichte gespeichert.Wenn Sie das Auswahlkästchen Berichte versenden markieren, können Sie einen oder mehrere E-Mail-Empfänger angeben, an die dieser Bericht versendet werden soll.Sie können selbst auch regelmäßig gespeicherte Berichte empfangen; weitere Informationen hierzu finden Sie im Abschnitt Geplante Berichte.
Filte r le iste
In der Filterleiste befinden sich folgende Elemente: l
Plus: Klicken Sie auf dieses Symbol, um zusätzliche Filter zu erstellen; ausführlichere
Informationen hierzu finden Sie weiter unten.
l
Anzahl: Verwenden Sie die Auswahlliste, um die Anzahl der Ergebnisse in der Tabelle zu reduzieren. Sie können jeweils die ersten 10, die ersten 50 oder die ersten 100
Ergebnisse anzeigen.
l
Zeit: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmte
Zeiträume einzugrenzen oder zu erweitern.Der Berichtszeitraum Angepasst ermöglicht es Ihnen, eigene Zeiträume festzulegen.
l
Abteilungen: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmte Abteilungen einzugrenzen.Auf der Seite Abteilungen können Sie Abteilungen erstellen.
Er ge bnista be lle
Zuletzt gibt es die Ergebnistabelle.Was darin angezeigt wird, hängt erstens vom ausgewählten
Berichtstyp (die jeweils aktuelle Einstellung wird in der Liste Verfügbare Berichte angezeigt)
UTM 9 Administratorhandbuch
505
17.5 Web Protection
17 Protokolle & Berichte
und zweitens von gegebenenfalls definierten Filtern ab. Die folgenden Berichtstypen sind verfügbar: l
Recherchen: Zeigt die Suchbegriffe an, die Ihre Benutzer verwendet haben.
l
Suchmaschinen: Zeigt die Suchmaschinen an, die Ihre Benutzer verwendet haben.
l
Benutzerrecherchen: Zeigt die Benutzer an, die Recherchen durchgeführt haben.
Hinweis – Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-
Adresse, sondern nummeriert angezeigt.
Die Tabelle enthält die folgenden Informationen über jeden Berichtstyp:
#: Platzierung im Hinblick auf die Häufigkeit.
Anfragen: Anzahl der Anfragen pro Suchbegriff, Suchmaschine oder Benutzer.
%: Anteil an der Gesamtzahl der Recherchen in Prozent.
Definition von Filtern
Filter werden verwendet, um in der Ergebnistabelle Informationen mit bestimmten
Eigenschaften anzuzeigen.Für die Definition von Filtern stehen zwei Möglichkeiten zur
Verfügung: Anklicken des Plus-Symbols in der Filterleiste oder Klicken in die Tabelle.
Definition über das Plus-Symbol: Nach Anklicken des grünen Plus-Symbols in der Filterleiste wird ein kleiner Filterdialog mit zwei Feldern angezeigt.Im ersten Feld, einer Auswahlliste, können Sie einen Berichtstyp auswählen, zum Beispiel Suchmaschine.Im zweiten Feld können
Sie einen Wert für den ausgewählten Berichtstyp wählen oder eingeben, z. B. Google
(google.com), wenn Suchmaschine ausgewählt ist.Klicken Sie auf Save, um den Filter zu speichern und gleichzeitig auf die Ergebnistabelle anzuwenden.
Definition über die Tabelle: Durch Klicken in die Tabelle öffnet sich das Dialogfenster
Berichtaufschlüsselung, wenn für den von Ihnen angeklickten Eintrag mehr als ein Berichtstyp zur Verfügung steht. Sie müssen eine der angezeigten Filteroptionen auswählen.Anschließend wird das Fenster Berichtaufschlüsselung geschlossen, der jeweilige Filter erstellt und in der
Filterleiste angezeigt. In der Ergebnistabelle werden jetzt die neuen, gefilterten Ergebnisse angezeigt.
Beispiel: Auf der Seite Suchmaschinen wird standardmäßig der Bericht Recherchen angezeigt.
Klicken Sie in der Ergebnistabelle in eine beliebige Zeile (z. B. Wetter).Das Dialogfenster
Berichtaufschlüsselung wird geöffnet. Sie können zwei verschiedene Optionen auswählen: Sie
506
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.5 Web Protection können Informationen über die für die Recherche verwendeten Suchmaschinen
(Suchmaschinen) oder über die Benutzer, welche diesen Suchbegriff verwendet haben
(Benutzerrecherchen), anzeigen.Sie sehen, dass zahlreiche Benutzer den Suchbegriff
„Wetter“ verwendet haben und möchten mehr darüber erfahren, also aktivieren Sie das Feld
Benutzerrecherchen. Das Fenster wird geschlossen.Sie sehen in der Kopfleiste, dass der
Berichtstyp in Benutzerrecherchen geändert wurde, und in der Filterleiste, dass die
Informationen in der Ergebnistabelle für Benutzerrecherchen nach dem von Ihnen ausgewählten Suchbegriff (Wetter) gefiltert sind. Die Tabelle zeigt nun alle Benutzer an, die den Suchbegriff „Wetter“ verwendet haben sowie zusätzliche Informationen über ihre
Recherchen.
Hinweis – Manchmal kommt es darauf an, in welche Tabellenzeile Sie klicken, da bestimmte
Zellen über eigene Filter verfügen (weitere Informationen hierzu finden Sie bei den Einträgen mit Asterisk (*) oben im Abschnitt Ergebnistabelle).
17.5.3 Abteilungen
Auf der Seite Protokolle & Berichte > Web Protection > Abteilungen können Sie Benutzer oder
Hosts und Netzwerke in virtuelle Abteilungen gruppieren. Diese Abteilungen können dann zum
Filtern von Internetnutzungs- oder Suchmaschinenberichten verwendet werden.
Um eine Abteilung anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Abteilungen auf Abteilung hinzufügen.
Das Dialogfenster Neue Abteilung hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Abteilung ein.
3.
Fügen Sie Benutzer oder Hosts/Netzwerke hinzu.
Eine Abteilungsdefinition kann immer nur entweder Benutzer oder Hosts/Netzwerke enthalten, nicht beide gleichzeitig.
l
Benutzer: Fügen Sie einen oder mehrere Benutzer, die dieser Abteilung angehören sollen, zum Feld hinzu.
l
Hosts/Netzwerke: Fügen Sie einen oder mehrere Hosts oder Netzwerke, die dieser Abteilung angehören sollen, zum Feld hinzu.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
UTM 9 Administratorhandbuch
507
17.5 Web Protection
17 Protokolle & Berichte
4.
Klicken Sie auf Speichern.
Die neue Abteilung wird in der Liste Abteilungen angezeigt.
Um eine Abteilung zu bearbeiten, zu löschen oder zu klonen, klicken Sie auf die entsprechenden Schaltflächen.
Weitere Informationen zur Verwendung von Abteilungen finden Sie in den Abschnitten
Internetnutzung und Suchmaschinen.
17.5.4 Geplante Berichte
Auf der Seite Protokolle & Berichte > Web Protection > Geplante Berichte können Sie festlegen, welche Ihrer gespeicherten Berichte regelmäßig per E-Mail versendet werden sollen.Bevor Sie einen geplanten Bericht erstellen können, müssen Sie über mindestens einen gespeicherten
Bericht verfügen (weitere Informationen zum Speichern von Berichten finden Sie in den
Abschnitten Internetnutzung oder Suchmaschinen).
Um einen geplanten Bericht anzulegen, gehen Sie folgendermaßen vor:
1.
Klicken Sie auf der Registerkarte Geplante Berichte auf Geplanten Bericht
hinzufügen.
Das Dialogfenster Neuen geplanten Bericht hinzufügen wird geöffnet.
2.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den geplanten Bericht ein.
Intervall: Wählen Sie aus der Auswahlliste ein Zeitintervall zum Versenden der Berichte.
Berichte: Alle gespeicherten Berichte sind hier aufgeführt. Markieren Sie das
Auswahlkästchen vor jedem Bericht, der im ausgewählten Zeitintervall versendet werden soll.
Empfänger: Fügen Sie alle Empfänger, die den/die ausgewählte(n) Bericht(e) erhalten sollen, in das Feld ein. Beachten Sie, dass Sie mit Hilfe der Importschaltfläche auch eine ganze Liste an Empfängern hinzufügen können.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
3.
Klicken Sie auf Speichern.
Der neue geplante Bericht wird in der Liste Geplante Berichte angezeigt.
508
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.5 Web Protection
Um eine Abteilung zu bearbeiten, zu löschen oder zu klonen, klicken Sie auf die entsprechenden Schaltflächen. Verwenden Sie die Statusampel eines Berichts, um den
Versand von Berichten zu deaktivieren, ohne den Bericht selbst zu löschen.
17.5.5 Application Control
Die Seite Protokolle & Berichte > Web Protection > Application Control bietet umfangreiche statistische Informationen zu den aktivsten Quellen, den meistaufgerufenen Zielen und den beliebtesten Anwendungen für verschiedene Zeiträume.Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche Aktualisieren. Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste
(>>) bzw. vorherige (<<) Seite verwenden.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.Um beispielsweise alle Quellen nach ihrer jeweiligen Anzahl empfangener und versendeter Pakete zu sortieren, klicken Sie in der Tabelle auf die
Überschrift Pakete. Die Quellen mit den meisten empfangenen und versendeten Paketen werden zuerst angezeigt.
Die aktivsten Quellen erscheinen nicht sofort in der Übersicht, sondern erst nachdem eine
Sitzungs-Zeitüberschreitung stattgefunden hat. Dies ist der Fall, wenn ein bestimmter Client
(Benutzername oder IP-Adresse) für fünf Minuten das Surfen im Internet unterbricht.Die UTM erklärt diese Verbindung für „tot“ und sendet die Information an eine Datenbank, bevor sie in die Liste der aktivsten Quellen aufgenommen wird.
Darüber hinaus können Sie auch Berichte mit der Ergänzung Nach Anwendung oder Nach
Quelle auswählen.In diesem Fall wird ein Filterfeld angezeigt, in das Sie die gesuchte
Anwendung oder Quelle eingeben. Klicken Sie anschließend auf Aktualisieren. Falls vorhanden, werden die Ergebnisse in der Tabelle nach der angegebenen Anwendung bzw.
Quelle gefiltert und angezeigt.
Beachten Sie, dass Sie das Prozentzeichen (%) als Platzhalter verwenden können.Wenn Sie ein Prozentzeichen nach Ihrem Suchbegriff einfügen, sucht Sophos UTM nach genauen
Treffern und teilweisen Übereinstimmungen. Beachten Sie, dass das Filterfeld zwischen Groß-
UTM 9 Administratorhandbuch
509
17.6 Email Protection
17 Protokolle & Berichte
und Kleinschreibung unterscheidet.Beispiel: Wenn Sie in das Feld Anwendung den Suchbegriff
„Google%“ eingeben, zeigt die Tabelle Ergebnisse für „Google Safe Browsing“, „Google
Analytics“, und „Google“, jedoch nicht für „google“ an.
17.5.6 Entanonymisierung
Auf die Registerkarte Web Protection > Entanonymisierung kann nur zugegriffen werden, wenn Anonymisierung aktiviert ist (siehe Protokolle & Berichte > Berichtseinstellungen >
).
Hier ist es möglich, die Anonymisierung für bestimmte Benutzer im Hinblick auf Web-
Protection-Berichte auszusetzen. Gehen Sie folgendermaßen vor:
1.
Geben Sie beide Kennwörter ein.
Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der
Anonymisierung angegeben wurden.
2.
Fügen Sie Benutzer hinzu, die entanonymisiert werden sollen.
Fügen Sie zum Feld Benutzer entanonymisieren die Benutzernamen von jenen
Benutzern hinzu, die Sie entanonymisieren wollen.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
17.6 Email Protection
Die Registerkarten des Menüs Protokolle & Berichte > Email Protection bieten einen statistischen Überblick über den E-Mail-Verkehr, die E-Mail-Nutzung und die E-Mail-Sicherheit.
17.6.1 Nutzungsdiagramme
Die Registerkarte Email Protection > Nutzungsdiagramme bietet einen statistischen Überblick
über den E-Mail-Verkehr auf der UTM für verschiedene Zeiträume: l
Täglich l
Wöchentlich l
Monatlich l
Jährlich
510
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.6 Email Protection
17.6.2 Mail-Nutzung
Die Registerkarte Email Protection > Mail-Nutzung bietet umfangreiche statistische
Informationen zu den am häufigsten genutzten E-Mail-Adressen und Adressdomänen für verschiedene Zeiträume.Bestätigen Sie Änderungen immer durch einen Klick auf die
Schaltfläche Aktualisieren. Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw.
vorherige (<<) Seite verwenden.
17.6.3 Blockierte Mails
Die Registerkarte Email Protection > Blockierte Mails bietet umfangreiche statistische
Informationen zu allen blockierten E-Mail-Anfragen, die auf Antivirus und Antispam basieren.Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche
Aktualisieren. Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.
17.6.4 Entanonymisierung
Auf die Registerkarte Email Protection > Entanonymisierung kann nur zugegriffen werden, wenn Anonymisierung aktiviert ist (siehe Protokolle & Berichte > Berichteinstellungen >
).
Hier ist es möglich, die Anonymisierung für bestimmte E-Mail-Adressen und/oder -Domänen im
Hinblick auf Email-Protection-Berichte auszusetzen. Gehen Sie folgendermaßen vor:
1.
Geben Sie beide Kennwörter ein.
Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der
Anonymisierung angegeben wurden.
2.
Nehmen Sie die folgenden Einstellungen vor:
Adressen entanonymisieren: Sie können E-Mail-Adressen hinzufügen, die Sie entanonymisieren wollen.
Domänen entanonymisieren: Sie können Domänen hinzufügen, die Sie entanonymisieren wollen.
UTM 9 Administratorhandbuch
511
17.7 Fernzugriff
17 Protokolle & Berichte
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Angegebene E-Mail-Adressen und Domänen sind in Berichten nun lesbar.
17.7 Fernzugriff
Die Registerkarten des Menüs Protokolle & Berichte > Fernzugriff bieten einen statistischen
Überblick über Fernzugriff-Aktivitäten und Informationen zu Sitzungen.
17.7.1 Aktivität
Die Registerkarte Fernzugriff > Aktivität bietet umfangreiche statistische Informationen zu den
Fernzugriff-Aktivitäten auf der UTM für IPsec, SSL-VPN, PPTP und L2TP über verschiedene
Zeiträume: l
Täglich l
Wöchentlich l
Monatlich l
Jährlich
Zeitraum auswählen: Verwenden Sie die Auswahlliste, um einen Berichtszeitraum auszuwählen.Die Seite wird automatisch aktualisiert.
17.7.2 Sitzung
Die Registerkarte Fernzugriff > Sitzung bietet umfangreiche statistische Informationen zu abgeschlossenen Sitzungen, fehlgeschlagenen Anmeldungen und momentanen Benutzern für verschiedene Zeiträume.
Sie können die Tabellendaten filtern. Am schnellsten filtern Sie Daten durch einen Klick in eine
Tabellenkopfzelle.Als weitere Möglichkeit können Sie einen Filter über die zweite Auswahlliste wählen, das Filterargument eingeben und anschließend auf Update klicken.
Die folgenden Filter sind abhängig von der Sitzung, die Sie in der ersten Auswahlliste gewählt haben, verfügbar:
512
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.8 Webserver Protection l
By Service (nach Dienst):Current Users (momentane Benutzer), Completed
Sessions (abgeschlossene Sitzungen), Failed Logins (fehlgeschlagene
Anmeldeversuche)
l
By User (nach Benutzer):Current Users (momentane Benutzer), Completed
Sessions (abgeschlossene Sitzungen)
l
By Source IP Address (nach Quell-IP-Adresse):Current Users (momentane
Benutzer), Completed Sessions (abgeschlossene Sitzungen) l
By Virtual IP Address (nach virtueller IP-Adresse):Current Users (momentane
Benutzer), Completed Sessions (abgeschlossene Sitzungen), Failed Logins
(fehlgeschlagene Anmeldeversuche)
Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw. vorherige (<<) Seite verwenden.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.Um beispielsweise die Tabelle nach den Diensten zu sortieren, klicken Sie auf die Überschrift Services.Daraufhin wird die Tabelle alphabetisch nach
Diensten sortiert.
17.8 Webserver Protection
Die Registerkarten des Menüs Protokolle & Berichte > Webserver Protection bieten einen statistischen Überblick über Webserver-Anfragen, Warnhinweise und Alarme.
17.8.1 Nutzungsdiagramme
Die Registerkarte Webserver Protection > Nutzungsdiagramme bietet einen statistischen
Überblick über Webserver-Anfragen, Warnhinweise und Alarme auf der UTM für verschiedene Zeiträume: l
Täglich l
Wöchentlich
UTM 9 Administratorhandbuch
513
17.9 Gesamtbericht
17 Protokolle & Berichte
l
Monatlich l
Jährlich
17.8.2 Details
Die Registerkarte Webserver Protection > Details bietet umfangreiche statistische
Informationen zu den aktivsten Clients, virtuellen Hosts, Backends, Antwort-Codes und verschiedenen Angriffen über verschiedene Zeiträume.Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche Aktualisieren. Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste
(>>) bzw. vorherige (<<) Seite verwenden.
Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol – falls vorhanden – klicken.
Tipp – Sie können die Daten sortieren, indem Sie auf die Überschriften in den
Tabellenspalten klicken.
17.9 Gesamtbericht
Im Menü Protokolle & Berichte > Gesamtbericht können Sie einen Gesamtbericht erstellen, der eine Zusammenstellung aus den wichtigsten Berichtsdaten ist und in grafischer Form die
Netzwerknutzung für eine Reihe von Diensten anzeigt.
17.9.1 Bericht anzeigen
Auf der Registerkarte Protokolle & Berichte > Gesamtbericht > Bericht anzeigen können Sie einen kompletten Gesamtbericht erstellen, der aus den einzelnen Berichten auf den
Registerkarten und Seiten des Menüs Berichte zusammengestellt wird.Klicken Sie die
Schaltfläche Bericht jetzt erstellen an, um den Gesamtbericht in einem neuen Fenster zu
öffnen.
514
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.10 Protokolleinstellungen
17.9.2 Archivierte Gesamtberichte
Die Registerkarte Gesamtbericht > Archivierte Gesamtberichte bietet einen Überblick über alle archivierten Gesamtberichte.Es werden nur Gesamtberichte archiviert, für die auf der
Registerkarte Konfiguration Archivierung aktiviert wurde.
17.9.3 Konfiguration
Auf der Registerkarte Gesamtbericht > Konfiguration können Sie die Einstellungen für die
Gesamtberichte vornehmen.
Wählen Sie einen Zeitraum für den Gesamtbericht. Der Bericht kann täglich, wöchentlich oder monatlich erstellt werden.Wenn Sie Wöchentlich wählen, können Sie zusätzlich noch einen
Wochentag auswählen, an dem der Gesamtbericht beginnen soll, Daten zu erfassen.
Geben Sie darüber hinaus die E-Mail-Adressen der Empfänger an, die den Gesamtbericht erhalten sollen. Beachten Sie, dass für verschiedene Zeiträume unterschiedliche E-Mail-
Adressen konfiguriert werden können.
17.10 Protokolleinstellungen
Im Menü Protokolle & Berichte > Protokolleinstellungen können Sie die Grundeinstellungen für die lokale und die ausgelagerte Protokollierung festlegen.
17.10.1 Lokale Protokollierung
Auf der Registerkarte Protokolle & Berichte > Protokolleinstellungen > Lokale Protokollierung werden die Einstellungen für die lokale Protokollierung vorgenommen. Die lokale
Protokollierung ist standardmäßig eingeschaltet.
Falls sie deaktiviert wurde, können Sie sie folgendermaßen wieder einschalten:
1.
Aktivieren Sie die lokale Protokollierung auf der Registerkarte Lokale
Protokollierung.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird grün und die Abschnitte auf dieser Registerkarte können nun bearbeitet werden.
UTM 9 Administratorhandbuch
515
17.10 Protokolleinstellungen
17 Protokolle & Berichte
2.
Wählen Sie einen Zeitraum, nach dem die Protokolldateien automatisch gelöscht werden sollen.
Wählen Sie aus der Auswahlliste eine Aktion, die automatisch auf die Protokolldateien angewendet werden soll.Protokolldateien nie löschen ist voreingestellt.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Schwe lle nwe r te
Hier können Sie Schwellenwerte für die lokale Protokollierung festlegen. Diese Schwellenwerte sind an bestimmte Aktionen gekoppelt, welche ausgeführt werden, wenn ein Schwellenwert erreicht ist. Die folgenden Aktionen sind möglich: l
Nichts: Es werden keine Aktionen gestartet.
l
Benachrichtigung senden: Es wird eine Benachrichtigung an den Administrator gesendet, um ihm mitzuteilen, dass der Schwellenwert erreicht wurde.
l
Älteste Protokolldateien löschen: Die ältesten Protokolldateien werden automatisch gelöscht, bis die Datenmenge entweder unterhalb des eingestellten Schwellenwerts liegt oder die Protokoll-Partition leer ist. Zusätzlich erhält der Administrator eine
Benachrichtigung über das Ereignis.
l
System herunterfahren: Das System fährt automatisch herunter.Der Administrator erhält eine Benachrichtigung über das Ereignis.
Falls das System heruntergefahren wird, muss der Administrator die Konfiguration für die lokale Protokollierung ändern, die Löschung von Protokolldateien konfigurieren oder
Protokolldateien manuell verschieben beziehungsweise löschen. Wenn die Ursache für das Herunterfahren des Systems weiterhin besteht, wird sich das System wieder herunterfahren, sobald der Prozess der Protokollüberprüfung das nächste Mal läuft.
Dieser Prozess findet täglich um 0.00 Uhr statt.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
17.10.2 Remote-Syslog-Server
Auf der Registerkarte Protokolle & Berichte > Protokolleinstellungen > Remote-Syslog-Server werden die Einstellungen für eine ausgelagerte Protokollierung vorgenommen.Diese Funktion ermöglicht es, Protokollmeldungen vom Gateway an andere Hosts weiterzuleiten.Das ist insbesondere in Netzwerken nützlich, die einen dedizierten Host besitzen, der die
Protokollinformationen von mehreren Gateways sammelt.Auf dem ausgewählten Host muss in
516
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.10 Protokolleinstellungen diesem Fall ein Protokollierungs-Daemon in Betrieb sein, der mit dem Syslog-Protokoll kompatibel ist.
Um einen Remote-Syslog-Server zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie Remote-Syslog auf der Registerkarte Remote-Syslog-Server.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Remote-Syslog-Einstellungen kann nun bearbeitet werden.
2.
Klicken Sie auf das Plussymbol im Feld Syslog-Server, um einen Server anzulegen.
Das Dialogfenster Syslog-Server hinzufügen wird geöffnet.
3.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für den Remote-Syslog-Server ein.
Server: Wählen Sie den Host oder fügen Sie einen Host hinzu, der die Protokolldaten vom Gateway entgegennehmen soll.
Achtung – Wählen Sie keine Netzwerkschnittstelle des Gateways aus, um sie als
Remote-Syslog-Host zu verwenden – das würde zu einer Protokollierungsschleife führen.
Port: Wählen Sie einen Port oder fügen Sie einen Port hinzu, der für die Verbindung verwendet werden soll.
4.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Re mote -Syslog-Puffe r
In diesem Abschnitt können Sie die Puffergröße des Remote-Syslogs ändern. Die Puffergröße ist die Anzahl der Protokollzeilen, die im Puffer vorgehalten werden. Der Standardwert ist
1000.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Re mote -Syslog-Pr otokolla uswa hl
Dieser Abschnitt kann nur bearbeitet werden, wenn Remote-Syslog aktiviert ist. Markieren Sie die Auswahlkästchen von den Protokollen, die an den Syslog-Server geschickt werden sollen.Über die Option Alle auswählen können Sie alle Protokolle auf einmal auswählen.Klicken
Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
UTM 9 Administratorhandbuch
517
17.10 Protokolleinstellungen
17 Protokolle & Berichte
17.10.3 Ausgelagerte Protokollarchive
Auf der Registerkarte Protokolle & Berichte > Protokolleinstellungen > Ausgelagerte
Protokollarchive werden die Einstellungen für eine ausgelagerte Archivierung der
Protokolldaten vorgenommen. Wenn die ausgelagerte Protokolldatei-Archivierung aktiviert ist, werden die Protokolldateien des Vortages in einer Datei zusammengepackt und komprimiert, und dann an den entfernten Protokollarchiv-Host gesendet. Über die Auswahlliste können Sie
Ihre bevorzugte Übertragungsmethode wählen.
Um ein ausgelagertes Protokollarchiv zu konfigurieren, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die Funktion Ausgelagerte Protokollarchive.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Ausgelagertes Protokollarchiv kann nun bearbeitet werden.
2.
Wählen Sie die Archivierungsmethode.
Wählen Sie aus der Auswahlliste Ihre bevorzugte Archivierungsmethode aus. Abhängig von Ihrer Wahl werden unten die zugehörigen Konfigurationsoptionen angezeigt. Sie können zwischen den folgenden Archivierungsmethoden wählen: l
FTP-Server: Für das File Transfer Protocol (FTP, Dateiübertragungsprotokoll) müssen die folgenden Parameter gesetzt werden: l
Host: Hostdefinition für den FTP-Server.
l
Dienst:TCP-Port, auf dem der Server lauscht.
l
Benutzername: Tragen Sie den Benutzernamen für das FTP-
Serverkonto ein.
l
Kennwort: Tragen Sie das Kennwort für das FTP-Serverkonto ein.
l
Pfad: Tragen Sie den relativen Pfad zum FTP-Server sein.
l
SMB-(CIFS)-Freigabe: Für die SMB-Methode müssen die folgenden Parameter gesetzt werden: l
Host: Wählen Sie die Hostdefinition für den SMB-Server aus.
l
Benutzername: Tragen Sie den Benutzernamen für das SMB-Konto ein.
518
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.10 Protokolleinstellungen l
Kennwort: Tragen Sie das Kennwort für das SMB-Konto ein.
Sicherheitshinweis – Das Kennwort wird in Klartext in der
Konfigurationsdatei gespeichert. Daher wird empfohlen, eine Benutzer-
/Kennwortkombination anzulegen, die ausschließlich für
Protokollierungszwecke verwendet wird.
l
Freigabe: SMB-Freigabename.Geben Sie den Pfad oder die
Informationen zum freigegebenen Netzwerk ein, an das die
Protokolldateien übertragen werden, z. B. /Protokolle/Dateiarchiv.
l
Arbeitsgruppe/Domäne: Geben Sie die Arbeitsgruppe oder Domäne an, zu der das Protokollarchiv gehört.
l
Secure Copy (SSH-Server): Für die SCP-Methode muss der öffentliche SSH-
DSA-Schlüssel zu den autorisierten Schlüsseln des SCP-Servers hinzugefügt werden.In einem Linux-System können Sie den SSH-DSA-Schlüssel einfach über die Zwischenablage in die Datei ~/.ssh/authorized_keys des dafür konfigurierten Benutzerkontos kopieren.Während der Installation erstellt Sophos
UTM einen neuen SSH-DSA-Schlüssel.Aus Sicherheitsgründen wird der SSH-
DSA-Schlüssel nicht in Backups gespeichert. Nach einer Neuinstallation oder der
Installation eines Backups müssen Sie daher den neuen SSH-DSA-Schüssel auf den entfernten Server kopieren, damit die Protokolldateiarchive auf den SCP-
Server kopiert werden können.
Für die SCP-Methode müssen die folgenden Einstellungen vorgenommen werden: l
Host: Hostdefinition für den SCP-Server.
l
Benutzername: Tragen Sie den Benutzernamen für das SCP-
Serverkonto ein.
l
Pfad: Tragen Sie den vollständigen Pfad ein, in dem die Protokolldateien gespeichert werden sollen.
l
Öffentlicher DSA-Schlüssel: Fügen Sie den öffentlichen DSA-Schlüssel zur Liste der autorisierten Schlüssel auf dem entfernten Speicher-Rechner hinzu.
l
Per E-Mail senden: Damit die Protokollarchive per E-Mail versendet werden, geben Sie eine gültige E-Mail-Adresse ein.
UTM 9 Administratorhandbuch
519
17.11 Berichteinstellungen
17 Protokolle & Berichte
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Wenn die Datenübertragung fehlschlägt, verbleibt die Archivdatei auf dem Gateway.Das
Gateway versucht bei jeder Protokollüberprüfung, alle verbliebenen Archivdateien zu
übertragen.
17.11 Berichteinstellungen
Im Menü Protokolle & Berichte > Berichtseinstellungen können Sie die Einstellungen für
Berichtsfunktionen vornehmen, wie das Ein- und Ausschalten bestimmter Berichtsfunktionen, das Bestimmen von Zeiträumen und der Menge zu speichernder Daten. Des Weiteren können
Sie Daten anonymisieren, um den Datenschutz zu verbessern.
17.11.1 Einstellungen
Die Registerkarte Einstellungen ermöglicht Ihnen, den Umgang mit Berichtsdaten zu regeln und festzulegen, wie lange Berichtsdaten auf dem System gespeichert werden, bevor sie automatisch gelöscht werden. Einstellungen für die folgenden Themenbereiche können vorgenommen werden: l
Accounting (Netzwerkstatistik) l
Application Control l
Authentifizierung l
Email Protection l
Firewall l
IPS l
Fernzugriff l
Web Protection l
Webserver Protection
Verwenden Sie die Auswahlkästchen auf der linken Seite, um die Berichtsfunktion für einen bestimmten Themenbereich ein- oder auszuschalten. Standardmäßig ist die Berichtsfunktion für alle Themenbereiche eingeschaltet.
520
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.11 Berichteinstellungen
Verwenden Sie die Auswahllisten auf der rechten Seite, um festzulegen, wie lange die
Berichtsdaten aufbewahrt werden sollen.
Hinweis – Das Ausschalten unnötiger Berichtsfunktionen senkt die Grundlast des Systems und reduziert Leistungsengpässe. Versuchen Sie, die Zeiträume so kurz wie möglich zu halten, da große Mengen gespeicherter Daten eine höhere Grundlast für das System bedeuten und längere Antwortzeiten auf den dynamischen Berichtsseiten verursachen.
Die Einstellungen auf dieser Registerkarte wirken sich nicht auf die Protokolldateiarchive aus.
De ta ilgr a d de r We b-Pr ote ction-Be r ichte
In diesem Bereich können Sie den Detailgrad für Ihre Web-Protection-Berichte festlegen.
Beachten Sie, dass ein höherer Detailgrad eine spürbare Erhöhung der Speicherauslastung und Systemlast verursacht, deshalb sollten Sie den Detailgrad nur erhöhen, wenn es notwendig ist.
Die folgenden Detailgrade sind verfügbar: l
Nur Domäne: Die Berichte zeigen die Top-Level-Domäne und die Second-Level-
Domäne einer URL an, z. B. beispiel.de.Third-Level-Domänen werden angezeigt, wenn sie erzwungen sind, z. B. example.co.uk.
l
Komplette Domäne: Die Berichte zeigen die komplette Domäne an, z. B.
www.beispiel.de
oder shop.example.com
l
1 URL-Ebene: Die Berichte zeigen zusätzlich das erste (virtuelle) Verzeichnis einer
URL an, z. B. www.beispiel.de/de/.
l
2 URL-Ebenen: Die Berichte zeigen zusätzlich die ersten beiden (virtuellen)
Verzeichnisse einer URL an, z. B. www.beispiel.de/de/produkte/.
l
3 URL-Ebenen: Die Berichte zeigen zusätzlich die ersten drei (virtuellen) Verzeichnisse einer URL an, z. B. www.beispiel.de/de/produkte/neu/.
Einste llunge n für Ge sa mtbe r icht
In diesem Abschnitt können Sie jeweils die Anzahl an Gesamtberichten festlegen, die aufbewahrt werden soll: l
Tagesberichte: Maximal 60 l
Wochenberichte: Maximal 52 l
Monatsberichte: Maximal 12
UTM 9 Administratorhandbuch
521
17.11 Berichteinstellungen
17 Protokolle & Berichte
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Weitere Informationen zum Gesamtbericht und seinen Optionen finden Sie unter Protokolle &
Berichte >
PDF-Pa pie r e inste llunge n
Das voreingestellte Papierformat für den PDF-Gesamtbericht ist A4.Sie können die
Auswahlliste verwenden, um alternativ Letter oder Legal zu wählen.Klicken Sie auf
Übernehmen, um Ihre Einstellungen zu speichern.
Einste llunge n für C SV-Tr e nnze iche n
An dieser Stelle können Sie festlegen, welches Trennzeichen beim Export von Berichtsdaten in das CSV-Format verwendet wird. Beachten Sie, dass unter Windows das Trennzeichen mit den regionalen Einstellungen Ihres Systems übereinstimmen sollte, damit die exportierten
Daten korrekt in einem Tabellenkalkulationsprogramm wie beispielsweise Excel angezeigt werden.
I PFI X-Accounting
Mithilfe von IPFIX lassen sich Informationen zum IPv4-Datenfluss der UTM an den
Dienstanbieter weiterleiten, z. B. zwecks Überwachung, Berichterstattung, Accounting und
Rechnungsstellung.
Bei IPFIX (Internet Protocol Flow Information Export) handelt es sich um ein nachrichtenbasiertes Protokoll für den universellen Export von
Netzwerkverkehrsinformationen.Die Netzwerkverkehrsinformationen werden zunächst von einem exporter gesammelt und anschließend zu einemcollector weitergesendet.Typische
Netzwerkverkehrsinformationen zu einem IPv4-Datenfluss umfassen Quell- und Zieladresse,
Quell- und Zielport, Bytes, Pakete und Klassifizierungsdaten des Netzwerkverkehrs.
Bei Aktivierung dieser Funktion exportiert die UTM die IPFIX-Accounting-Daten.Die Sammlung der Daten erfolgt im Allgemeinen durch den Dienstanbieter. Hierfür werden die
Netzwerkverkehrsdaten einer oder mehrerer UTM gesammelt und analysiert.Während der
Systemkonfiguration bei Ihrem Dienstanbieter wird der Hostname vergeben und Sie müssen pro exportierende UTM eine OID (Observation Domain ID) festlegen. Geben Sie diese Daten in die entsprechenden Felder ein.
Der Datenexport erfolgt über den UDP-Port 4739. Eine einzige Netzwerkverbindung nutzt zwei IPFIX-Datenströme – einen für den Export, den anderen für die Antwort.
522
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.11 Berichteinstellungen
Sicherheitshinweis – Beachten Sie dass die Netzwerkverkehrsdaten bei IPFIX unverschlüsselt übertragen werden. Deshalb wird empfohlen, die Daten lediglich über private
Netzwerke zu versenden.
Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
17.11.2 Ausnahmen
Auf der Registerkarte Berichteinstellungen > Ausnahmen können Sie bestimmte Domänen und
Adressen von der Berichterstellung ausnehmen. Das betrifft sowohl den Gesamtbericht als auch die jeweiligen Abschnitte des Menüs Protokolle & Berichte und die entsprechenden statistischen Informationen.
Hinweis – Vorgenommene Änderungen sind nicht umgehend auf den Seiten für die
Tagesstatistik sichtbar, da die Aktualisierung nur alle 10 bis 15 Minuten vorgenommen wird.
Beachten Sie außerdem die Import-Funktion, mit der Sie mehrere Einträge auf einmal definieren können.
Be r ichtsa usna hme n: We b
In diesem Abschnitt können Sie die Domänen festlegen, die von den Web-Protection-Berichten ausgenommen werden.Die Domänennamen müssen genau so eingegeben werden, wie sie im Bericht Domänen auf der Registerkarte Protokolle & Berichte > Web Protection >
Internetnutzung aufgelistet sind.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
Be r ichtsa usna hme n: Ma il
In diesen beiden Abschnitten können Sie Domänen und E-Mail-Adressen festlegen, die von allen Email-Protection-Berichten ausgenommen werden,
Über das Feld Domänen lassen sich alle E-Mail-Adressen einer bestimmten Domäne ausschließen.Geben Sie lediglich den Teil der E-Mail-Adresse an, der die Domäne beschriebt, z. B. sophos.com.Über das Feld Adressen lassen sich bestimmte E-Mail-Adressen von den
Berichten ausschließen.Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.
E-Mails mit den festgelegten Domänennamen oder Adressen als Sender oder Empfänger werden von den Email-Protection-Berichten ausgenommen.
UTM 9 Administratorhandbuch
523
17.11 Berichteinstellungen
17 Protokolle & Berichte
Be r ichtsa usna hme n: Ne twor k Pr ote ction
In diesem Abschnitt können Sie die IPv4- und IPv6-Adressen festlegen, die von den Network-
Protection-Berichten ausgenommen werden.Klicken Sie auf Übernehmen, um Ihre
Einstellungen zu speichern.
17.11.3 Anonymisierung
Die Registerkarte Berichtseinstellungen > Anonymisierung ermöglicht Ihnen, Daten – basierend auf dem Vier-Augen-Prinzip – zu anonymisieren. Das bedeutet, dass eine
Entanonymisierung nur möglich ist, wenn zwei verschiedene Leute dieses Vorgehen beschließen. Anonymisierung stellt sicher, dass Benutzerdaten geheim bleiben, wenn
Protokoll- und Berichtsdaten eingesehen werden. Dadurch können Aktionen (wie z. B.
Surfverhalten) nicht auf eine bestimmte Person zurückverfolgt werden.
Um Anonymisierung zu verwenden, gehen Sie folgendermaßen vor:
1.
Aktivieren Sie die Anonymisierung auf der Registerkarte Anonymisierung.
Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
Die Statusampel wird gelb und der Abschnitt Anonymisierungs-Einstellungen kann nun bearbeitet werden.
2.
Geben Sie zwei Sicherheitskennwörter ein.
Das Vier-Augen-Prinzip ist nur gewährleistet, wenn zwei verschiedene Personen ein
Kennwort eingeben, das der jeweils anderen Person unbekannt ist.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
Um Anonymisierung (global) wieder zu deaktivieren, sind beide Kennwörter erforderlich.
1.
Klicken Sie auf der Registerkarte Anonymisierung entweder auf Disable oder auf die Statusampel.
Die Statusampel wird gelb und der Abschnitt Anonymisierungs-Einstellungen kann nun bearbeitet werden.
2.
Geben Sie beide Kennwörter ein.
Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der
Anonymisierung angegeben wurden.
3.
Klicken Sie auf Übernehmen.
Ihre Einstellungen werden gespeichert.
524
UTM 9 Administratorhandbuch
17 Protokolle & Berichte
17.11 Berichteinstellungen
Falls nötig, kann die Anonymisierung für einzelne Benutzer aufgehoben werden. Weitere
Informationen hierzu finden Sie unter Protokolle & Berichte >
und Protokolle &
Berichte >
UTM 9 Administratorhandbuch
525
18 Support
Dieses Kapitel beschreibt die Support-Tools, die für Sophos UTM zur Verfügung stehen.
Die Seiten des Menüs Support enthalten viele Funktionen, die den Benutzer unterstützen, von
Weblinks über Kontaktinformationen bis hin zu nützlichen Netzwerk-Tools zur Bestimmung wichtiger Netzwerkeigenschaften, ohne dass auf die Kommandozeilen-Schnittstelle des
Gateways zugegriffen werden muss.
Dieses Kapitel enthält Informationen zu den folgenden Themen: l
l
l
l
l
Darüber hinaus enthält die Hauptseite des Menüs Support Weblinks zu den folgenden
Ressourcen: l
Wissensdatenbank: Die offizielle Wissensdatenbank von Sophos NSG stellt zahlreiche
Informationen zur Konfiguration von Sophos UTM bereit.
l
Liste bekannter Probleme: (engl. Known Issues List) Die beschriebenen Probleme können entweder nicht behoben werden oder es sind Workarounds verfügbar, die zur
Lösung führen.
l
Hardwarekompatibilitätsliste: Eine Liste mit kompatibler Hardware für die Sophos
UTM Software (engl. hardware compatibility list, HCL).
l
Up2Date-Informationen: Der Sophos NSG Up2Date-Blog informiert über
Produktverbesserungen und Firmware-Updates.
18.1 Handbuch
Auf der Seite Support > Handbuch können Sie das aktuelle Administratorhandbuch im PDF-
Format herunterladen.Wählen Sie die Sprache aus und klicken Sie auf Herunterladen. Um die
Datei zu öffnen, benötigen Sie ein spezielles Programm wie Adobe Reader oder Xpdf.
18.2 Druckbare Konfiguration
18 Support
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
18.2 Druckbare Konfiguration
Auf der Seite Support > Druckbare Konfiguration können Sie einen detaillierten Bericht der aktuellen WebAdmin-Konfiguration erzeugen.
Hinweis – Die druckbare Konfiguration wird in einem neuen Fenster geöffnet. Je nach
Browser kann es nötig sein, Pop-Up-Fenster für WebAdmin zu erlauben.
Die Gliederung der druckbaren Konfiguration entspricht der Menüstruktur von WebAdmin, um das Auffinden der entsprechenden Konfigurationsoptionen in WebAdmin zu erleichtern.
Die Browser-Seite der druckbaren Konfiguration besteht aus einer Übersichtsseite, genannt
index, und mehreren Unterseiten. Links zu Unterseiten sind blau hervorgehoben. Unterseiten enthalten detaillierte Informationen zu dem jeweiligen Thema.Durch einen Klick auf den Link
Back to the index unten auf einer Unterseite können Sie jederzeit von einer Unterseite zur
Indexseite zurückkehren.
Es gibt zwei weitere Ansichtsoptionen für die druckbare Konfiguration: l
WebAdmin format (WebAdmin-Format) l
Confd format (Confd-Format)
Die Links zu diesen Ansichtsoptionen finden Sie unten auf der Indexseite.
18.3 Support kontaktieren
Sophosbietet für seine Sicherheitslösungen umfangreichen Kundensupport an.Je nach
Support-/Wartungsvertrag gibt es verschiedene Kategorien. Diese unterscheiden sich
528
UTM 9 Administratorhandbuch
18 Support
18.4 Tools hinsichtlich der Art des Kontakts zum Support und der zugesicherten Reaktionszeit durch die
Sophos-Service-Abteilung und/oder Sophos NSG-zertifizierte Partner.
Alle Supportfälle, die Sophos UTM betreffen, werden über das Sophos NSG Partner Portal abgewickelt.Sie können über das Webformular einen Supportfall öffnen, indem Sie auf die
Schaltfläche Support-Ticket öffnen klicken.
18.4 Tools
Die Registerkarten des Menüs Support > Tools enthalten nützliche Netzwerk-Tools, mit denen wichtige Netzwerkeigenschaften ermittelt werden können, ohne dass auf die
Kommandozeilen-Schnittstelle des Gateways zugegriffen werden muss. Die Ausgabe der folgenden Tools kann eingesehen werden: l
Ping l
Traceroute l
DNS-Lookup
18.4.1 Ping-Prüfung
Das Programm Ping ist ein Computer-Netzwerk-Tool mit dem man testen kann, ob ein bestimmter Host über ein IP-Netzwerk erreichbar ist.Ping sendet ICMP-Echo-Anfrage-Pakete an den Zielhost und lauscht auf Antworten in Form von ICMP-Echo-Antwort-Paketen.Aus
Zeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer des Paketumlaufs und die
Paketverlustrate zwischen den Hosts.
Um eine Ping-Prüfung durchzuführen, gehen Sie folgendermaßen vor:
1.
Wählen Sie den Ping-Host.
Wählen Sie den Host, den Sie „anpingen“ möchten.Im Feld Ping-Host können Sie einen
Host auswählen, für den eine Hostdefinition existiert.Alternativ können Sie auch
Benutzerdefinierte(r) Hostname/IP-Adresse wählen und im Feld darunter einen benutzerdefinierten Hostnamen oder eine benutzerdefinierte IP-Adresse angeben.
2.
Klicken Sie auf Starten.
Die Ausgabe der Ping-Prüfung wird im Abschnitt Ping-Prüfungsergebnis angezeigt.
UTM 9 Administratorhandbuch
529
18.4 Tools
18 Support
18.4.2 Traceroute
Das Programm Traceroute ist ein Computer-Netzwerkwerkzeug zur Bestimmung der Route, die von Paketen in einem IP-Netzwerk genommen werden. Es listet die IP-Adressen der
Router auf, über die das versendete Paket transportiert wurde. Sollte der Pfad der
Datenpakete kurzfristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt. Nach einer bestimmten Zahl an Fehlversuchen wird die Überprüfung abgebrochen.
Der Abbruch einer Überprüfung kann viele Gründe haben, der wahrscheinlichste ist jedoch, dass eine Firewall im Netzwerkpfad Traceroute-Pakete blockiert.
Um eine Route nachzuvollziehen, gehen Sie folgendermaßen vor:
1.
Geben Sie den Hostnamen oder die IP-Adresse ein.
Geben Sie den Hostnamen oder die IP-Adresse eines Hosts ein, dessen Route Sie bestimmen wollen.
2.
Hop-Adressen (Abschnitte) numerisch statt symbolisch und numerisch
ausgeben (optional).
Wenn Sie diese Option wählen, wird für jedes Gateway im Pfad eine Adresse-zu-Name-
Auflösung durch einen Namensserver durchgeführt und gespeichert.
3.
Klicken Sie auf Starten.
Die Ausgabe von Traceroute wird im Abschnitt Traceroute-Ergebnis angezeigt.
18.4.3 DNS-Lookup
Das Programm dig (Abkürzung für Domain Information Groper) ist ein Netzwerk-Tool zur
Abfrage von DNS-Namensservern. Es führt DNS-Lookups durch und zeigt die Antworten an, die von den befragten Namensservern zurückkommen.
Um ein DNS-Lookup durchzuführen, gehen Sie folgendermaßen vor:
1.
Geben Sie den Hostnamen oder die IP-Adresse ein.
Geben Sie den Hostnamen oder die IP-Adresse eines Hosts ein, für den Sie DNS-
Informationen erhalten wollen.
2.
Wählen Sie Ausführliche Ausgabe aktivieren (optional).
Wählen Sie diese Option, damit in der Ausgabe ausführlichere Informationen auftauchen.
530
UTM 9 Administratorhandbuch
18 Support
18.5 Erweitert
3.
Klicken Sie auf Starten.
Die Ausgabe von dig wird im Abschnitt DNS-Suchergebnis angezeigt.
18.5 Erweitert
Das Menü Support > Erweitert bietet weitere Informationen zu Ihrem Gateway und gewährt
Zugriff auf erweiterte Funktionen. Es bietet einen Überblick über laufende Prozesse und lokale
Netzwerkverbindungen und Sie erhalten Einblick in die Routing-Tabelle und die
Netzwerkschnittstellen-Tabelle. Darüber hinaus können Sie ein Support-Paket herunterladen, das Ihnen bei der Fehlersuche und Wiederherstellung hilft sowie Hintergrundinformationen zu internen Konfigurationsreferenzen bietet, welche Ihnen in Protokolldateien begegnen können.
18.5.1 Prozessliste
Das Programm ps stellt eine Kopfzeile dar gefolgt von Zeilen, die Informationen über die laufenden Prozesse auf dem System enthalten. Diese Informationen sind nach ihrem
„Controlling Terminal“ (dt. Steuerkonsole) und dann nach ihrer Prozess-ID sortiert.
18.5.2 LAN-Verbindungen
Das Programm netstat (Abkürzung für Network Statistics, dt. Netzwerkstatistiken) ist ein
Netzwerk-Tool, das alle augenblicklich aktiven, sowohl eingehenden als auch ausgehenden,
Internetverbindungen eines Computers anzeigt.
18.5.3 Routen-Tabelle
Das Programm ip ist ein Netzwerk-Tool, das zur Kontrolle des TCP/IP-Netzwerk- und
Datenverkehrs dient.Mit dem Parameter route show table all werden die Inhalte aller
Routing-Tabellen des Gateway angezeigt.
18.5.4 Schnittstellen-Tabelle
Die Tabelle zeigt alle konfigurierten Schnittstellen von Sophos UTM, sowohl Netzwerkkarten als auch virtuelle Schnittstellen.Die Daten werden vom Programm ip durch den Parameter addr erzeugt. Schnittstellen und deren Eigenschaften werden angezeigt.
UTM 9 Administratorhandbuch
531
18.5 Erweitert
18 Support
18.5.5 Konfigurations-Abbild
Für die Fehlersuche und für Wiederherstellungszwecke ist es nützlich, so viele Informationen wie möglich über die Installation von Sophos UTM. zu sammeln. Auf der Registerkarte Support
> Erweitert > Konfigurations-Abbild kann das Support-Paket heruntergeladen werden, das genau diese Funktion bietet.Die zip-Datei enthält Folgendes: l
Den kompletten Auszug der Gateway-Konfiguration (storage.abf). Bitte beachten Sie, dass es sich dabei nicht um eine echte Backup-Datei handelt – einige Informationen, z. B.
die Kennwörter sind nicht in dieser Datei enthalten – und kann daher nur zur
Fehlerbehebung genutzt werden.
l
Informationen über die gegenwärtig genutzte Hardware (hwinfo).
l
Informationen über die installierten Software-Pakete (swinfo).
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
18.5.6 REF_ auflösen
Zur Fehlerbehebung können vom System genutzte Configuration References
(Konfigurationsreferenzen) aufgelöst werden.Wenn Sie irgendwo in den Protokollen (Logs) auf solche References stoßen, können Sie die Zeichenfolge (z. B. REF_DefaultSuperAdmin) in das Eingabefeld kopieren. Auf der Registerkarte wird anschließend ein Auszug aus der
Datenstruktur des Konfigurations-Daemons angezeigt.
532
UTM 9 Administratorhandbuch
19 Log Off
Sie können sich vom WebAdmin durch einen Klick auf den Menüpunkt Log Off abmelden.Wenn
Sie sich nicht richtig vom WebAdmin abmelden oder der Browser mit einer offenen Sitzung geschlossen wird, kann es passieren, dass Sie sich für die folgenden 30 Sekunden nicht anmelden können.
Hinweis – Beachten Sie, dass Sie abgemeldet werden, wenn Sie während einer Sitzung zu einer anderen Internetseite wechseln. In diesem Fall müssen Sie sich neu anmelden.
20.1 User Portal: Mail-Quarantäne
20 Benutzerportal
20 Benutzerportal
Dieses Kapitel enthält Informationen über die Funktionsweise des Benutzerportals und die
Dienste, die den Endbenutzern dadurch bereitgestellt werden.
Das Benutzerportal von Sophos UTM ist eine Browser-basierte Anwendung, die autorisierten
Benutzern unter anderem personalisierte E-Mail-Dienste und Dienste für den Fernzugriff zur
Verfügung stellt.Der Zugriff ist über die URL von Sophos UTM möglich, zum Beispiel https://192.168.2.100
(beachten Sie das HTTPS-Protokoll).
Benutzer können auf der Anmeldeseite eine Sprache aus der Auswahlliste auswählen, die sich rechts in der Kopfleiste befindet.
Abhängig von den im WebAdmin vom Administrator aktivierten Diensten und Funktionen können Benutzer auf folgende Dienste zugreifen: l
l
l
l
l
l
l
l
l
l
l
20.1 User Portal: Mail-Quarantäne
Auf dieser Registerkarte können Benutzer Nachrichten in Quarantäne anzeigen und gegebenenfalls freigeben.
534
UTM 9 Administratorhandbuch
20 Benutzerportal
20.1 User Portal: Mail-Quarantäne
Hinweis – Die Registerkarte Mail-Quarantäne wird angezeigt, wenn POP3 oder SMTP im
WebAdmin aktiviert ist und der Benutzer für diese Dienste konfiguriert wurde.Erhält der
Benutzer E-Mails über SMTP und POP3, werden die Nachrichten auf zwei Registerkarten unterteilt: POP3-Quarantäne und SMTP-Quarantäne bieten ähnliche Funktionen.
Die Registerkarte Mail-Quarantäne zeigt eine Übersicht aller E-Mails für den Benutzer an, außer jenen, die von Sophos UTM blockiert und unter Quarantäne gestellt wurden.. Damit
POP3-Quarantäne-E-Mails angezeigt werden, muss der Benutzer auf der Registerkarte
POP3-Konten seine POP3-Zugangsdaten eingeben.
Sortieren und Filtern von Quarantäne-E-Mails
Standardmäßig werden alle E-Mails angezeigt. Enthält die Liste mehr als zwanzig E-Mails, wird sie unterteilt. Verwenden Sie die Schaltflächen Weiter (>) und Zurück (<), um sich in den
Teillisten zu bewegen.
Benutzer können die Anzeige anpassen:
Sortieren nach: Standardmäßig wird die Liste nach Eingangsdatum sortiert.
Nachrichten können nach Datum, Betreff, Absenderadresse und Nachrichtengröße sortiert werden.
und zeige: Benutzer können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro
Seite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
Verschiedene Elemente auf der Seite ermöglichen das Filtern von E-Mails: l
Anzahl der Nachrichten in Quarantäne: Ganz oben auf der Seite befinden sich mehrere Auswahlfelder, mit denen die E-Mail-Anzeige nach dem Grund für die
Quarantäne (schädlicher Inhalt, Spam, übereinstimmender Ausdruck,
Dateierweiterung, MIME-Typ, unscannbar, andere) gefiltert werden kann.
l
Adressen: Ermöglicht es, Nachrichten nach Absenderadresse zu filtern.
l
Abs./Betr.-Teilausdruck: Hier können Benutzer einen Absender oder Betreff eingeben (oder einen Wortteil davon), nach dem in den Quarantäne-Nachrichten gesucht werden soll.
UTM 9 Administratorhandbuch
535
20.2 User Portal: Mail-Protokoll
20 Benutzerportal
l
Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten
Zeitraums eingegangen sind, geben Benutzer hier ein Datum ein oder wählen ein
Datum über das Kalendersymbol.
Verwalten von Quarantäne-E-Mails
Mit dem Auswahlfeld vor jeder Nachricht oder durch Anklicken einer Nachricht können
Benutzer Aktionen für ausgewählte Nachrichten ausführen. Die folgenden Aktionen sind möglich: l
Anzeigen: Öffnet ein Fenster mit dem E-Mail-Inhalt.
l
Herunterladen: Die gewählten Nachrichten werden im EML-Format heruntergeladen.
l
Löschen: Die gewählten Nachrichten werden unwiderruflich gelöscht.
l
Absender auf Whitelist: Verschiebt die E-Mail in Ihr Postfach und fügt den Absender zur Positivliste (Whitelist) hinzu. Nachfolgende E-Mails von diesem Absender werden nicht mehr unter Quarantäne gestellt. Beachten Sie, dass E-Mails mit schädlichem Inhalt immer unter Quarantäne gestellt werden, auch wenn der Absender auf der Positivliste steht.
l
Freigeben: Die gewählten Nachrichten werden aus der Quarantäne freigegeben.
Hinweis – Welche Aktionen verfügbar sind, hängt vom Quarantänegrund und von den
WebAdmin-Einstellungen ab. E-Mails mit schädlichem Inhalt können nur von einem
Administrator freigegeben werden.
Globale Aufräumaktion wählen: Hier finden Sie einige Löschoptionen, die auf alle
Nachrichten global angewendet werden, das heißt, unabhängig davon, ob sie ausgewählt sind und/oder angezeigt werden oder nicht.
20.2 User Portal: Mail-Protokoll
Auf dieser Registerkarte können Endbenutzer ein Protokoll des über SMTP gesendeten E-
Mail-Verkehrs anzeigen.
Hinweis – Die Registerkarte Mail-Protokoll führt nur E-Mail-Adressen der Domäne auf, die der SMTP-Proxy von Sophos UTM überwacht. Benutzer können die Registerkarte nur
536
UTM 9 Administratorhandbuch
20 Benutzerportal
20.2 User Portal: Mail-Protokoll sehen, wenn ihnen der Administrator entsprechende Rechte zugewiesen hat.Wenn für einen
Benutzer sowohl SMTP als auch POP3 aktiviert wurden, heißt diese Registerkarte SMTP-
Protokoll.
Die Registerkarte Mail-Protokoll enthält Protokolleinträge über den gesamten E-Mail-Verkehr für alle E-Mail-Adressen des Benutzers. Für E-Mails, die nicht zugestellt werden konnten, enthalten die Protokolleinträge Informationen über die jeweilige Ursache. Durch einen
Doppelklick auf einen Protokolleintrag wird ein Fenster mit weiterführenden Informationen angezeigt.
Standardmäßig werden alle E-Mails angezeigt. Enthält die Liste mehr als zwanzig E-Mails, wird sie unterteilt. Verwenden Sie die Schaltflächen Weiter (>) und Zurück (<), um sich in den
Teillisten zu bewegen.
Benutzer können die Anzeige anpassen:
Sortieren nach: Standardmäßig wird die Liste nach Eingangsdatum sortiert.
Nachrichten können nach Datum, Betreff, Absenderadresse und Nachrichtengröße sortiert werden.
und zeige: Benutzer können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro
Seite angezeigt werden sollen oder alle Nachrichten auf einer Seite. Beachten Sie, dass das Anzeigen aller Nachrichten auf einer Seite viel Zeit in Anspruch nehmen kann.
Verschiedene Elemente auf der Seite ermöglichen das Filtern von E-Mails: l
Anzahl Protokollereignisse für Datei: Ganz oben auf der Seite befinden sich mehrere Auswahlfelder, mit denen E-Mails abhängig von ihrem Status eingeblendet und ausgeblendet werden können.
l
Adressen: Ermöglicht es, E-Mails nach Absenderadresse zu filtern.
l
Abs./Betr.-Teilausdruck: Hier können Benutzer einen Absender oder Betreff eingeben (oder einen Wortteil davon), nach dem in den Quarantäne-Nachrichten gesucht werden soll.
l
Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten
Zeitraums eingegangen sind, geben Benutzer hier ein Datum ein oder wählen ein
Datum über das Kalendersymbol.
UTM 9 Administratorhandbuch
537
20.3 User Portal: POP3-Konten
20 Benutzerportal
20.3 User Portal: POP3-Konten
Auf dieser Registerkarte können sich Endbenutzer ausweisen, um ihre POP3-E-Mails in
Quarantäne ansehen und freigeben und Quarantäneberichte erhalten zu können.
Hinweis – Die Registerkarte POP3-Konten ist nur verfügbar, wenn der Administrator POP3 aktiviert und einen POP3-Server hinzugefügt hat.
Auf dieser Seite müssen Benutzer die Zugangsdaten zu den POP3-Konten eingeben, die sie benutzen. Es werden nur Spam-E-Mails, für die POP3-Kontozugangsdaten hinterlegt sind, im
Benutzerportal angezeigt.Benutzer, für die POP3-Kontozugangsdaten gespeichert sind, erhalten einen eigenständigen Quarantänebericht für jede E-Mail-Adresse.
20.4 User Portal: Absender-Whitelist
Auf dieser Registerkarte können Benutzer E-Mail-Absender auf die Positivliste (Whitelist) setzen, damit die Nachrichten dieser Absender niemals als Spam behandelt werden. E-Mails mit Viren oder unscannbare E-Mails werden jedoch stets unter Quarantäne gestellt.
Hinweis – Die Registerkarte Absender-Whitelist ist nur dann verfügbar, wenn die E-Mail-
Adresse des Benutzers dem Netzwerk oder der Domäne angehört, die von Sophos UTM
überwacht wird, und vom Administrator die Zugriffsrechte für diese Funktion gewährt wurden.
Absender können auf die Positivliste gesetzt werden, indem das Plussymbol angeklickt, eine
Adresse eingegeben und auf das Häkchensymbol geklickt wird, um den Eintrag zu speichern.Benutzer können sowohl einzelne gültige E-Mail-Adressen (z. B.
) als auch Adressen einer spezifischen Domäne eintragen, wobei ein Asterisk als Platzhalter dient (z. B. *@beispiel.de).
20.5 User Portal: Absender-Blacklist
Auf dieser Registerkarte können Benutzer E-Mail-Absender auf die Negativliste (Blacklist) setzen, damit die Nachrichten dieser Absender immer als Spam behandelt werden.
538
UTM 9 Administratorhandbuch
20 Benutzerportal
20.6 Benutzerportal: Hotspots
Hinweis – Die Registerkarte Absender-Blacklist ist nur dann verfügbar, wenn die E-Mail-
Adresse des Benutzers dem Netzwerk oder der Domäne angehört, die von Sophos UTM
überwacht wird, und vom Administrator die Zugriffsrechte für diese Funktion gewährt wurden.
Die Negativliste wird sowohl auf SMTP- als auch auf POP3-E-Mails angewendet, wenn diese auf dem System aktiviert sind. Absender können auf die Negativliste gesetzt werden, indem das
Plussymbol angeklickt, eine Adresse eingegeben und auf das Häkchensymbol geklickt wird, um den Eintrag zu speichern.Benutzer können entweder gültige E-Mail-Adressen eingeben, z. B.
, oder auch ganze Domänen, z. B. *@hotmail.com.
20.6 Benutzerportal: Hotspots
Die Hotspot-Funktion ermöglicht es, in Gaststätten, Hotels, Unternehmen usw. Gästen einen zeit- und volumenbeschränkten Internetzugang bereitzustellen.
Hinweis – Die Registerkarte Hotspots wird im Benutzerportal nur dann angezeigt, wenn der
Administrator einen Hotspot der Typen Kennwort oder Voucher erstellt hat und den betreffenden Benutzer in die Liste der zugelassenen Benutzer aufgenommen hat.
Auf dieser Registerkarte können Benutzer die Hotspot-Zugangsdaten an WLAN-Gäste verteilen. Welche Funktionen verfügbar sind, hängt von dem gewählten Hotspot-Typ ab: entweder sie verteilen ein allgemeingültiges Kennwort oder Voucher.
Hotspot-Typ: Tages-Kennwort
Das Feld Kennwort enthält das aktuelle Kennwort. Dieses Kennwort wird einmal am Tag geändert. Benutzer haben aber auch die Möglichkeit, das Kennwort manuell zu ändern. Das vorhergehende Kennwort wird sofort ungültig. Alle laufenden Sitzungen werden beendet.
Um das Kennwort zu ändern, gehen Benutzer folgendermaßen vor:
1.
Sie öffnen im Benutzerportal die Registerkarte Hotspots.
2.
Sie wählen einen Hotspot aus, dessen Zugangsinformationen sie bearbeiten möchten.
UTM 9 Administratorhandbuch
539
20.6 Benutzerportal: Hotspots
20 Benutzerportal
Sie wählen aus der Hotspot-Auswahlliste den Hotspot aus, dessen Kennwort sie ändern möchten.
3.
Sie erstellen das neue Kennwort.
Dazu geben sie das neue Kennwort in das Feld Kennwort ein oder klicken auf die
Schaltfläche Generieren, um automatisch ein neues Kennwort zu erzeugen.
4.
Benutzer können die neuen Kennwörter per E-Mail versenden, indem sie das
Auswahlfeld E-Mail senden aktivieren.
Das Kennwort wird an die vom Administrator spezifizierten E-Mail-Empfänger gesendet.
5.
Sie klicken auf Speichern.
Die Kennwortänderung tritt sofort in Kraft.
Hotspot-Typ: Voucher
Benutzer können Voucher mit einmaligen Zugangscodes erstellen. Sie können die Voucher drucken und ihren Gästen aushändigen. Die Liste der erstellten Voucher liefert einen Überblick
über ihre Nutzung und erleichtert ihre Verwaltung.
Um Voucher zu erstellen, gehen Benutzer folgendermaßen vor:
1.
Sie öffnen im Benutzerportal die Registerkarte Hotspots.
2.
Sie wählen einen Hotspot aus, dessen Zugangsinformationen sie bearbeiten möchten.
Sie wählen aus der Hotspot-Auswahlliste den Hotspot aus, für den sie einen Voucher erstellen möchten.
3.
Sie wählen im Feld Voucher-Definition einen Voucher-Typ aus.
Der Administrator legt die Voucher-Typen fest. Das Unternehmen legt fest, welcher
Voucher-Typ für welchen Zweck verwendet wird.
4.
Sie geben im Feld Anzahl an, wie viele Voucher dieses Typs erstellt werden sollen.
5.
Optional können die Benutzer in das Kommentar-Feld zusätzliche
Anmerkungen eingeben.
Die Anmerkungen werden in der Voucher-Liste des Benutzers angezeigt.
6.
Benutzer können die Voucher auch sofort ausdrucken, indem sie das
Auswahlfeld Drucken aktivieren.
540
UTM 9 Administratorhandbuch
20 Benutzerportal
20.6 Benutzerportal: Hotspots
7.
Sie klicken auf die Schaltfläche Voucher erstellen.
Die Voucher werden generiert. Die Voucher werden sofort in der Voucher-Liste angezeigt. Jeder Voucher entspricht einer neuen Zeile. Wenn zuvor ausgewählt, werden die Voucher direkt ausgedruckt. Jeder Voucher hat einen einmaligen Code.
Hinweis – Inhalt, Größe und Layout der Voucher werden vom Administrator festgelegt.
In der Voucher-Liste können Benutzer die Voucher verwalten. Sie können die Liste sortieren und filtern, einen Kommentar eingeben oder ändern und sie können Voucher drucken, löschen oder exportieren.
l
Zum Sortieren der Liste wählen sie in der Auswahlliste Sortieren nach ein
Sortierkriterium aus. Mit der Auswahlliste auf der rechten Seite legen Benutzer fest, wie viele Voucher pro Seite angezeigt werden.
l
Mit den Feldern Status, Code oder Kommentar kann die Liste gefiltert werden.Die
Benutzer wählen das gewünschte Attribut aus oder geben es ein, um die Liste zu filtern.
Die Liste wird bereits während der Eingabe gefiltert.Um den Filter zurückzusetzen, wählen sie den Statuseintrag Alle und löschen den eingegebenen Text in den
Textfeldern Code bzw. Kommentar.
l
Um einen Kommentar einzugeben oder zu bearbeiten, klicken sie in der Kommentar-
Spalte des jeweiligen Vouchers auf das Notizbuch-Symbol. Ein Bearbeitungsfeld wird angezeigt. Benutzer können Text eingeben oder bearbeiten. Mit der Eingabetaste oder dem einem Klick auf das Häkchen werden die Änderungen gespeichert.
l
Wenn sie Voucher drucken oder löschen möchten, aktivieren Benutzer das Auswahlfeld vor den jeweiligen Vouchern und klicken unten auf die entsprechende Schaltfläche.
Hinweis – Der Administrator kann festlegen, dass Voucher nach einem bestimmten
Zeitraum automatisch gelöscht werden.
l
Um Voucher zu exportieren, gehen Benutzer folgendermaßen vor: Sie aktivieren das
Auswahlfeld vor den jeweiligen Vouchern und klicken unterhalb der Liste auf die
Schaltfläche CSV exportieren. In einem neu angezeigten Fenster können sie anschließend auswählen, ob die CSV-Datei gespeichert oder direkt geöffnet werden soll. Die ausgewählten Voucher werden gemeinsam in einer CSV-Datei gespeichert.Benutzer müssen beim Öffnen dieser Datei darauf achten, dass sie das korrekte Trennzeichen für die Spaltentrennung auswählen.
UTM 9 Administratorhandbuch
541
20.7 User Portal: Client-Authentifizierung
20 Benutzerportal
20.7 User Portal: Client-Authentifizierung
Auf dieser Registerkarte können Endbenutzer die Setup-Datei des Sophos Authentication
Agents (SAA) herunterladen. Der SAA kann als Authentifizierungsmethode für den Webfilter genutzt werden.
Hinweis – Die Registerkarte Client-Authentifizierung ist nur verfügbar, wenn Client-
Authentifizierung vom Administrator aktiviert wurde.
20.8 Benutzerportal: Fernzugriff
Auf dieser Registerkarte können Endbenutzer Client-Software für den Fernzugriff sowie für sie bereitgestellte Konfigurationsdateien herunterladen. Diese werden entsprechend den
WebAdmin-Einstellungen des Administrators automatisch erstellt und bereitgestellt.
Hinweis – Der Menüpunkt Fernzugriff ist allerdings nur zu sehen, wenn für den jeweiligen
Benutzer der Fernzugriff aktiviert wurde.
Es sind jedoch nur jene Fernzugriffdaten für einen Benutzer verfügbar, die mit den
Verbindungsarten übereinstimmen, die für ihn vom Administrator aktiviert wurden. Beispiel: Ein
Benutzer, für den der SSL-VPN-Fernzugriff aktiviert ist, findet einen Abschnitt SSL-VPN vor.
Jede Verbindungsart wird in einem separaten Abschnitt angezeigt. Abhängig von der
Verbindungsart sind Informationen und/oder Schaltflächen zum Herunterladen der entsprechenden Software verfügbar.Sofern zutreffend finden Benutzer über den Abschnitten einen Link Installationsanleitung in neuem Fenster öffnen. Auf diese Weise kann detaillierte
Installationsdokumentation geöffnet werden.
Hinweis -Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B. https://192.168.2.100) den vertrauenswürdigen Sites hinzu. Beim Internet Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische
Eingabeaufforderung für Dateidownloads.
542
UTM 9 Administratorhandbuch
20 Benutzerportal
20.9 User Portal: HTML5-VPN-Portal
20.9 User Portal: HTML5-VPN-Portal
Das HTML5-VPN-Portal ermöglicht Benutzern von externen Netzwerken aus den Zugriff auf interne Ressourcen über vorkonfigurierte Verbindungsarten und einen normalen
Webbrowser.
Hinweis – Die Registerkarte HTML5-VPN-Portal wird ausschließlich Benutzern angezeigt, für die der Administrator VPN-Verbindungen eingerichtet hat und die zur Gruppe der zugelassenen Benutzer gehören.
Hinweis – Der Browser des Benutzers muss HTML5 unterstützen. Browser, die HTML5 nicht unterstützen, können Flash verwenden, was jedoch die Installation des Flash-Plug-ins voraussetzt. Die folgenden Browser unterstützen HTML5: Firefox ab Version 6.0, Internet
Explorer ab Version 10, Chrome, Safari ab Version 5 (außer unter Windows).
Auf der Registerkarte HTML5-VPN-Portal sind die zugelassenen Verbindungen aufgeführt.
Die Symbole weisen auf den Verbindungstyp hin.
Um eine Verbindung zu verwenden, gehen Benutzer folgendermaßen vor:
1.
Sie klicken auf die jeweilige Verbinden-Schaltfläche.
Ein neues Browser-Fenster wird geöffnet. Inhalt und Aussehen dieses Fensters hängen vom Verbindungstyp ab. Wenn der Benutzer zum Beispiel eine HTTP- oder HTTPS-
Verbindung aufgebaut hat, wird eine Website angezeigt. Bei SSH-Verbindungen wird eine Kommandozeile angezeigt.
2.
Im neuen Fenster kann wie über eine Standardverbindung gearbeitet werden.
Hinweis – Bei Remotedesktopverbindungen mit einem Windows-Host können
Benutzer die Tastatureingabesprache des Verbindungsfensters ändern. Besonders für die Windows-Anmeldung gilt, dass die ausgewählte Sprache mit der
Spracheinstellung in Windows übereinstimmen sollte, um eine korrekte
Kennworteingabe zu ermöglichen. Um die Tastatureingabesprache zu ändern, bewegen Benutzer den Mauszeiger an den oberen Fensterrand. Eine Menüleiste wird angezeigt.Im Tastatur-Menü müssen Benutzer auf den Eintrag Tastatur-Layout
UTM 9 Administratorhandbuch
543
20.10 User Portal: Kennwort ändern
20 Benutzerportal
zeigen und die gewünschte Sprache auswählen. Das ausgewählte Tastatur-Layout wird in einem Cookie gespeichert.
Hinweis – Möchten Benutzer spezielle Befehle wie Funktionstasten oder
STRG+ALT+ENTF verwenden, müssen sie den Mauszeiger an den oberen
Fensterrand bewegen. Eine Menüleiste wird angezeigt.Im Tastatur-Menü kann der
Benutzer den gewünschten Eintrag auswählen.
3.
Nach getaner Arbeit wird die Verbindung geschlossen.
l
Mit dem Befehl Sitzung beenden im Menü Verbindung oder durch Schließen des
Browser-Fensters (x-Symbol in der Titelleiste) wird die Verbindung geschlossen.Durch erneutes Anklicken der Verbinden-Schaltfläche wird eine neue Sitzung gestartet.
l
Mit dem Befehl Trennen im Menü Verbindung wird die Sitzung beendet. Der
Sitzungsstatus wird für die Dauer von fünf Minuten gespeichert. Meldet sich der
Benutzer während dieses Zeitraums wieder an, kann er die letzte Sitzung fortsetzen.
20.10 User Portal: Kennwort ändern
Auf dieser Registerkarte können Endbenutzer ihr Kennwort für den Zugriff auf das
Benutzerportal und, sofern verfügbar, für den Fernzugriff über PPTP ändern.
20.11 User Portal: HTTPS-Proxy
Auf dieser Registerkarte können Benutzer das HTTP/S-Proxy-CA-Zertifikat importieren, damit keine Fehlermeldungen mehr angezeigt werden, wenn sie sichere Websites besuchen.
Hinweis – Die Registerkarte HTTPS-Proxy des Benutzerportals wird nur angezeigt, wenn der Administrator global ein HTTP/S-Proxy-Zertifikat bereitgestellt hat.
Nach Anklicken der Schaltfläche Proxy-CA-Zertifikat importieren wird der Benutzer von seinem
Browser gefragt, ob er der CA für verschiedene Zwecke vertraut.
544
UTM 9 Administratorhandbuch
Glossar
3
3DES
Triple Data Encryption Standard
A
ACPI
Advanced Conguration and Power Interface
AD
Active Directory
Address Resolution Protocol
ARP ist ein Netzwerkprotokoll, das die Zuordnung von Netzwerkadressen (IP-
Adressen) zu Hardwareadressen (MAC-Adressen) möglich macht.
ADSL
Asymmetric Digital Subscriber Line
Advanced Configuration and Power Interface
ACPI ist ein offener Industriestandard und stellt Schnittstellen zur
Hardwareerkennung, Gerätekonfiguration und zum Energiemanagement von
Computern zur Verfügung.
Advanced Programmable Interrupt Controller
APIC ist eine Architektur für die Verteilung von Interrupts in Multiprozessor-
Computersystemen.
AES
Advanced Encryption Standard
AFC
Astaro Flow Classifier
Glossar
AH
Authentication Header
AMG
Astaro Mail Gateway
APIC
Advanced Programmable Interrupt Controller
ARP
Address Resolution Protocol
AS
Autonomes System
ASCII
American Standard Code for Information Interchange
ASG
Astaro Security Gateway
Astaro Command Center
Software für die Überwachung und Verwaltung von mehreren Astaro Gateway-
Produkten über eine einzige Software-Oberfläche.
Astaro Security Gateway
Software für Unified Threat Management, die Mail- und Internetsicherheit umfasst.
AUA
Astaro User Authentication
Authentication Header
AH ist ein IPsec-Protokoll und stellt die Authentizität der übertragenen Pakete sicher. Darüber hinaus schützt es gegen Replay-Angriffe.
546
UTM 9 Administratorhandbuch
Glossar
Autonomes System
Ein AS ist ein IP-Netz, welches als Einheit verwaltet wird und ein gemeinsames
(oder auch mehrere) interne Routing-Protokolle verwendet.
AWG
Astaro Web Gateway
AWS
Amazon Web Services
B
BATV
Bounce Address Tag Validation
BGP
Border Gateway Protocol
Bounce Address Tag Validation
BATV ist der Name einer Methode zur Bestimmung, ob die Antwort-Adresse einer
E-Mail gültig ist. Es wurde entwickelt, um Bounce-Messages für gefälschte Antwort-
Adressen zu verwerfen.
Broadcast
Ein Broadcast in einem Computernetzwerk ist eine Nachricht, bei der Datenpakete von einem Punkt aus an alle Teilnehmer eines Netzes übertragen werden. Zum
Beispiel: Ein Netzwerk mit der IP-Adresse 192.168.2.0 und einer Netzmaske
255.255.255.0 hat die Broadcast-Adresse 192.168.2.255.
C
CA
Certificate Authority (Zertifizierungsinstanz)
CBC
Cipher Block Chaining
UTM 9 Administratorhandbuch
547
Glossar
CDMA
Code Division Multiple Access
Certificate Authority (Zertifizierungsinstanz)
Eine CA (dt. Zertifizierungsinstanz) ist eine Entität oder Organisation, die digitale
Zertifikate herausgibt.
CHAP
Challenge Handshake Authentication Protocol
Cipher Block Chaining
In der Kryptografie bezeichnet CBC eine Betriebsart, in der
Blockchiffrierungsalgorithmen arbeiten. Vor dem Verschlüsseln eines Klartextblocks wird dieser erst mit dem im letzten Schritt erzeugten Geheimtextblock per XOR
(exklusives Oder) verknüpft.
Cluster
Gruppe von miteinander verbundenen Computern, die eng zusammen arbeiten, sodass sie in vielerlei Hinsicht wie ein einzelner Computer agieren.
CMS
Content Management System
CRL
Certificate Revocation List (Zertifikatsperrliste)
CSS
Cascading Style Sheets
D
DC
Domänencontroller
DCC
Direct Client Connection
548
UTM 9 Administratorhandbuch
Glossar
DDoS
Distributed Denial of Service
DER
Distinguished Encoding Rules
Destination Network Address Translation
DNAT ist ein spezieller Fall von NAT (Network Address Translation), bei dem die
Zieladressinformationen in Datenpaketen durch andere ersetzt werden.
DHCP
Dynamic Host Configuration Protocol
Digital Signature Algorithm
DSA ist ein Standard der US-Regierung für digitale Signaturen.
Digital Subscriber Line
DSL ist eine Technologie zur digitalen Datenübertragung über herkömmliche
Telefonleitungen.
Distinguished Encoding Rules
DER ist eine Methode zur Verschlüsselung von Datenobjekten (z. B. X.509-
Zertifikate), um sie digital zu signieren oder um ihre Signatur zu überprüfen.
DKIM
DomainKeys Identified Mail
DMZ
Demilitarized Zone (Entmilitarisierte Zone)
DN
Distinguished Name
DNAT
Destination Network Address Translation
UTM 9 Administratorhandbuch
549
Glossar
550
DNS
Domain Name Service
DOI
Domain of Interpretation
Domain Name Service
DNS ist ein hierarchisches System von Namen im Internet und dient zur Auflösung dieser Namen in IP-Adressen.
DoS
Denial of Service
DSA
Digital Signature Algorithm
DSCP
Differentiated Services Code Point
DSL
Digital Subscriber Line
DUID
DHCP Unique Identifier
Dynamic Host Configuration Protocol
DHCP ist ein Protokoll, das von Netzwerkgeräten verwendet wird, um IP-Adressen zu erhalten.
E
Echtzeit-Blackhole-Liste
Eine RBL ist eine in Echtzeit abfragbare Schwarze Liste, die verwendet wird, um E-
Mails zweifelhafter Herkunft als Spam zu klassifizieren. Die meisten Mailserver können so konfiguriert werden, dass die Nachrichten ablehnen oder markieren, die von einer Gegenstelle stammen, die auf einer oder mehreren schwarzen Listen geführt ist.
UTM 9 Administratorhandbuch
Glossar
Encapsulating Security Payload
ESP ist ein IPsec-Protokoll, das für die Authentifizierung, Integrität und
Vertraulichkeit von IP-Paketen sorgt.
ESP
Encapsulating Security Payload
F
FAT
File Allocation Table
File Transfer Protocol
FTP ist ein Netzwerkprotokoll zur Dateiübertragung über TCP/IP-Netzwerke.
FQHN
Fully Qualified Host Name
FTP
File Transfer Protocol
G
Generic Routing Encapsulation
GRE ist ein Netzwerkprotokoll und dient der Einkapselung von Datenpaketen in andere Protokolle, um sie in Form von IP-Tunneln zu transportieren.
GeoIP-
Eine Technik, um den Standort von Geräten weltweit mit Hilfe von Satellitenbildern darzustellen.
Gerätebaum
Befindet sich unterhalb des Hauptmenüs und bietet Zugriff auf alle Astaro Gateway-
Geräte, die mit dem ACC verbunden sind.
UTM 9 Administratorhandbuch
551
Glossar
Geteilter Schlüssel
Ein geteilter Schlüssel (shared secret) ist ein Kennwort, das von zwei Gegenstellen zur sicheren Kommunikation geteilt wird.
GRE
Generic Routing Encapsulation
GSM
Global System for Mobile Communications
H
H.323
H.323 ist ein Protokoll für die audiovisuelle Kommunikation über paketvermittelte
Netzwerke.
HA
High Availabilty (Hochverfügbarkeit)
HCL
Hardware Compatibility List (Hardwarekompatibilitätsliste)
HELO
Ein Befehl im Simple Mail Transfer Protocol (SMTP), mit dem der Client auf den initialen Gruß des Servers antwortet.
High Availabilty (Hochverfügbarkeit)
Hochverfügbarkeit (High availability) bezeichnet die Fähigkeit eines Systems, bis zu einem gewissen Grad Ausfallsicherheit gewährleisten zu können.
HMAC
Hash-based Message Authentication Code
HTML
Hypertext Transfer Markup Language
552
UTM 9 Administratorhandbuch
Glossar
HTTP
Hypertext Transfer Protocol
HTTP/S
Hypertext Transfer Protocol Secure
HTTPS
Hypertext Transfer Protocol Secure
Hypertext Transfer Protocol
HTTP ist ein Protokoll für die Übermittlung von Informationen im Internet.
Hypertext Transfer Protocol over Secure Socket Layer
HTTPS ermöglicht eine sicherere HTTP-Kommunikation.
I
IANA
Internet Assigned Numbers Authority
ICMP
Internet Control Message Protocol
ID
Identität
IDE
Intelligent Drive Electronics
IDENT
IDENT ist ein Netzwerkprotokoll, mit dem ein Server feststellen kann, welcher
Benutzer eines Mehrbenutzersystems eine bestimmte TCP-Verbindung geöffnet hat.
IDN
International Domain Name
UTM 9 Administratorhandbuch
553
Glossar
554
IE
Internet Explorer
IE7
Internet Explorer Version 7
IKE
Internet Key Exchange
IM
Instant Messaging (Sofortnachrichten)
Internet Control Message Protocol
ICMP ist ein Teil der Internetprotokollfamilie und dient in Netzwerken zum
Austausch von Fehler- und Informationsmeldungen.
Internet Protocol
IP ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und bildet die erste vom Übertragungsmedium unabhängige Schicht der Internetprotokollfamilie.
Internet Relay Chat
IRC ist ein offenes Protokoll und ermöglicht eine direkte Kommunikation über das
Internet.
Internetdienstanbieter
Ein ISP (Internetanbieter) ist ein Anbieter von Diensten, Inhalten oder technischen
Leistungen, die für die Nutzung oder den Betrieb im Internet erforderlich sind.
IP
Internet Protocol
IP-Adresse
Eine IP-Adresse (Internet-Protocol-Adresse) ist eine Nummer, die die
Adressierung von Hosts und anderen Geräten in einem IP-Netzwerk erlaubt.
IPS
Intrusion Prevention System (Angriffschutzsystem)
UTM 9 Administratorhandbuch
Glossar
IPsec
Internet Protocol Security
IRC
Internet Relay Chat
ISP
Internetdienstanbieter
L
L2TP
Layer 2 Tunneling Protocol
LAG
Link Aggregation Group (Linkbündelungsgruppe)
LAN
Local Area Network
LDAP
Lightweight Directory Access Protocol
Link State Advertisement
LSA ist ein elementares Kommunikationsprinzip innerhalb des OSPF Routing-
Protokolls.
LSA
Link State Advertisement
LTE
3GPP Long Term Evolution
M
MAC
Media Access Control
UTM 9 Administratorhandbuch
555
Glossar
MAC-Adresse
Eine MAC-Adresse (Media Access Control) ist die Hardware-Adresse jedes einzelnen Netzwerkadapters, die zur eindeutigen Identifikation des Geräts im
Netzwerk dient.
Managed Security Service Provider
MSSPs bieten Sicherheitsdienste für Firmen an.
Management Information Base
Eine MIB ist eine Informationsstruktur zum Verwalten von Netzwerkgeräten (z. B.
Router und Switches). Diese stellen Status-, Parameter-, Fähigkeits- und
Steuerinformationen über sich selbst in einer MIB zusammen, die an anfragende
Geräte gesendet wird.
Maskierung (Masquerading)
Maskierung ist eine Form von Network Address Translation, die es mehreren
Computern (mit privaten IP-Adressen) in einem LAN ermöglicht, bei Verwendung einer einzigen öffentlichen IP-Adresse mit dem Internet zu kommunizieren.
MD5
Message-Digest-Algorithm 5
Message-Digest Algorithm 5
MD5 ist eine kryptografische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt.
MIB
Management Information Base
MIME
Multipurpose Internet Mail Extensions
MPPE) wählen.
Microsoft Point-to-Point Encryption
MSCHAP
Microsoft Challenge Handshake Authentication Protocol
556
UTM 9 Administratorhandbuch
Glossar
MSCHAPv2
Microsoft Challenge Handshake Authentication Protocol Version 2
MSSP
Managed Security Service Provider
MTU
Maximum Tansmission Unit
Multipurpose Internet Mail Extensions
MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails und anderer Internetnachrichten festlegt.
MX-Eintrag
Ein MX-Eintrag ist eine Art Ressourcen-Eintrag im Domain Name System (DNS), der festlegt, wie E-Mails über das Internet geroutet werden sollen.
N
NAS
Network Access Server
NAT
Network Address Translation
NAT-T
NAT-Traversal
Network Address Translation
System zur Wiederverwendung von IP-Adressen.
Network Time Protocol
NTP ist ein Protokoll für die Zeitsynchronisation von Computern in einem Netzwerk.
NIC
Network Interface Card (Netzwerkkarte)
UTM 9 Administratorhandbuch
557
Glossar
Not-So-Stubby-Area
Eine NSSA ist ein Bereichstyp (area type) im Routingprotokoll OSPF.
NSSA
Not-So-Stubby-Area
NTLM
NT LAN Manager (Microsoft Windows)
NTP
Network Time Protocol
O
Open Shortest Path First
OSPF ist ein dynamisches Routing-Protokoll, das auf einem Link-State-Algorithmus basiert.
OpenPGP
OpenPGP ist ein Kryptografie-Protokoll basierend auf PGP (Pretty Good Privacy) zur Verschlüsselung von Informationen und Erzeugung digitaler Signaturen.
OSI
Open Source Initiative
OSPF
Open Shortest Path First
OU
Organisational Unit
P
PAC
Proxy Auto Configuration (Automatische Proxy-Konfiguration)
558
UTM 9 Administratorhandbuch
Glossar
PAP
Password Authentication Protocol
PCI
Peripheral Component Interconnect
PEM
Privacy Enhanced Mail
PGP
Pretty Good Privacy
PKCS
Public Key Cryptography Standards
PKI
Public Key Infrastructure
PMTU
Path Maximum Transmission Unit
POP3
Post Office Protocol Version 3
Port
Ports sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden, um
Datenpakete den richtigen Diensten (Protokollen) zuzuordnen. Genauer gesagt, dient ein Port als zusätzliche Identifikation – bei TCP und UDP ist es eine Zahl zwischen 0 und 65535 – die es einem Computer ermöglicht, zwischen mehreren verschiedenen gleichzeitigen Verbindungen zwischen zwei Computern zu unterscheiden.
Portscan
Der Vorgang, einen Netzwerkhost nach offenen Ports abzusuchen.
UTM 9 Administratorhandbuch
559
Glossar
Post Office Protocol Version 3
POP3 ist ein Protokoll für die Übertragung von E-Mails in einem paketvermittelten
Netzwerk.
PPP
Point-to-Point Protocol
PPPoA
PPP over ATM Protocol
PPTP
Point-to-Point Tunneling Protocol
Privacy Enhanced Mail
PEM ist ein frühes Protokoll zur Verschlüsselung von E-Mails mittels eines asymmetrischen Verschlüsselungsverfahrens.
Protokoll
Protokolle sind Regeln, die das Format, den Inhalt, die Bedeutung und die
Reihenfolge gesendeter Nachrichten zwischen verschiedenen Instanzen (der gleichen Schicht) festlegen.
Proxy
Ein Proxy ist ein zwischengeschalteter Computer, der zur Pufferung, Überwachung und Zugriffskontrolle dient.
Prozessor
Hauptprozessor
PSK
Preshared Key (Vorvereinbarter Schlüssel)
Q
QoS (Quality of Service, Dienstqualität)
Quality of Service (Dienstqualität)
560
UTM 9 Administratorhandbuch
Glossar
R
RADIUS
Remote Authentication Dial In User Service
RAID
Redundant Array of Independent Disks
RAM
Random Access Memory
RAS
Remote Access Server
RBL
Realtime Blackhole List (Echtzeit-Blackhole-Liste)
RDN
Relative Distinguished Name
RDNS
Reverse Domain Name Service
RDP
Remote Desktop Protocol
RED
Random Early Detection
Redundant Array of Independent Disks
Ein RAID-System dient zur Organisation mehrerer physikalischer Festplatten eines
Computers zu einem logischen Laufwerk.
Remote Authentication Dial In User Service
RADIUS ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting von Benutzern bei Einwahlverbindungen in ein
UTM 9 Administratorhandbuch
561
Glossar
Computernetzwerk dient.
RFC
Request for Comment
Router
Ein Router ist ein Vermittlungsrechner, der in einem Netz dafür sorgt, dass bei ihm eintreffende Daten eines Protokolls zum vorgesehenen Zielnetz bzw. Subnetz weitergeleitet werden.
RPS
RED Provisioning Service
RSA
Rivest, Shamir & Adleman (Verschlüsselungstechnologie für öffentliche Schlüssel)
S
S/MIME
Secure/Multipurpose Internet Mail Extensions
SA
Security Associations (Sicherheitsverbindungen)
SCP
Secure Copy (aus dem SSH-Paket für Computeranwendungen für sichere
Kommunikation)
SCSI
Small Computer System Interface
Secure Shell
SSH ist ein Protokoll bzw. Implementierung dieses Protokolls, mit dem sich eine verschlüsselte Netzwerkverbindung zu einem entfernten Computer aufbauen lässt.
562
UTM 9 Administratorhandbuch
Glossar
Secure Sockets Layer
SSL und sein Nachfolger Transport Layer Security (TLS) sind
Verschlüsselungsprotokolle für die sichere Datenübertragung im Internet.
Secure/Multipurpose Internet Mail Extensions
S/MIME ist ein Standard für die Verschlüsselung und Signatur von MIMEgekapselter E-Mail durch ein asymmetrisches Verschlüsselungsverfahren.
Security Parameter Index
SPI ist eine Identifikationsmarkierung, die zum Header (Kopfzeile) beim Tunneln von Daten mit IPsec hinzugefügt wird.
Sender Policy Framework
SPF ist eine Erweiterung des SMTP Protokolls zum Schutz gegen das Versenden von Spam-E-Mails mit falschen Absender-Adressen.
Session Initiation Protocol
SIP ist ein Netzprotokoll zum Aufbau einer Kommunikationssitzung zwischen zwei oder mehr Teilnehmern. Das text-orientierte Protokoll basiert auf HTTP und kann
Signalisierungsdaten mittels TCP oder UDP über IP-Netzwerke übermitteln.
Dadurch stellt es neben anderen Protokollen die Basis für Voice over IP,
Videotelefonie und Multimedia-Anwendungen in Echtzeit bereit.
SFQ
Stochastic Fairness Queuing
Simple Mail Transfer Protocol
SMTP ist ein Protokoll der Internetprotokollfamilie, das zum Austausch von E-Mails in Computernetzen dient.
Single Sign-On
SSO bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle
Hosts und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.
SIP
Session Initiation Protocol
UTM 9 Administratorhandbuch
563
Glossar
564
SLAAC
Stateless Address Autoconfiguration
SMB
Server Message Block
SMP
Symmetrisches Multiprocessing
SMTP
Simple Mail Transfer Protocol
SNAT
Source Network Address Translation
SNMP
Simple Network Message Protocol
SOCKetS
„SOCKS“ ist eine Abkürzung für „SOCKetS“, ein Protokoll, das es Client-Server-
Anwendungen erlaubt, transparent die Dienste einer Firewall zu nutzen. SOCKS, oft auch Firewall Traversal Protocol genannt, befindet sich momentan in Version 5 und muss clientseitig vorhanden sein, um richtig zu funktionieren.
SOCKS
SOCKetS
Source Network Address Translation
SNAT ist ein Spezialfall von Network Address Translation (NAT), bei dem die Quell-
IP-Adresse ersetzt wird.
Spanning Tree Protocol
Netzwerkprotokoll, das Bridge-Loops erkennt und verhindert
SPF
Sender Policy Framework
UTM 9 Administratorhandbuch
Glossar
SPI
Security Parameter Index
SSH
Secure Shell
SSID
Service Set Identifier
SSL
Secure Sockets Layer
SSO
Single Sign-On
STP
Spanning Tree Protocol
Subnetzmaske
Die Subnetzmaske (auch Netzwerkmaske oder Netzmaske genannt) eines
Netzwerks legt fest, welche Adressen Teil des lokalen Netzwerks sind und welche nicht. Einzelne Computer werden auf Basis dieser Definition einem Netzwerk zugeordnet.
Symmetrisches Multiprocessing
Der Einsatz von mehr als einem Prozessor.
SYN
Synchronous
T
TACACS
Terminal Access Controller Access Control System
TCP
Transmission Control Protocol
UTM 9 Administratorhandbuch
565
Glossar
TFTP
Trivial File Transfer Protocol
Time-to-live (TTL)
TTL ist der Name eines 8-Bit-langen Header-Felds des Internetprotokolls (IP) und gibt an, wie lange ein Paket auf dem Weg vom Ziel zum Sender unterwegs sein darf, bevor es verworfen wird, und soll verhindern, dass unzustellbare Pakete unendlich lange weitergeroutet werden.
TKIP
Temporal Key Integrity Protocol
TLS
Transport Layer Security
TOS
Type of Service
Transmission Control Protocol
TCP ist ein Protokoll der Internet-Protokollfamilie, das zusammen mit dem
Internetprotokoll (IP) eingesetzt wird, um Daten in Form von Paketen zwischen
Computern über das Internet zu transportieren. Das Protokoll gewährleistet eine verlässliche und geordnete Auslieferung von Daten vom Absender zum Empfänger.
Transport Layer Security
TLS und sein Vorgänger Secure Sockets Layer (SSL) sind
Verschlüsselungsprotokolle für die sichere Datenübertragung im Internet.
TTL
Time-to-live (TTL)
U
UDP
User Datagram Protocol
566
UTM 9 Administratorhandbuch
Glossar
UMTS
Universal Mobile Telecommunications System
Uniform Resource Locator
URLs identifizieren eine Ressource in Computernetzwerken und sind der Standard von Adressen im Internet.
Unterbrechungsfreie Stromversorgung
Ein Gerät zur unterbrechungsfreien Stromversorgung (USV) wird eingesetzt, um bei Störungen der Stromversorgung einen durchgehenden Betrieb zu ermöglichen.
Up2Date
Ein Dienst, der es erlaubt, relevante Aktualisierungspakete vom Astaro-Server herunterzuladen.
URL
Uniform Resource Locator
USB
Universal Serial Bus
User Datagram Protocol
UDP ist ein Protokoll für den verbindungslosen Datenaustausch, das hauptsächlich für die Verteilung von Nachrichten über ein Netzwerk verwendet wird.
USV
Unterbrechungsfreie Stromversorgung
UTC
Coordinated Universal Time (Koordinierte Weltzeit)
UTM
Unified Threat Management
UTM 9 Administratorhandbuch
567
Glossar
V
VDSL
Very High Speed Digital Subscriber Line
Virtuelles Privates Netzwerk
Ein VPN (Virtual Private Network) ist eine verschlüsselte Verbindung zwischen zwei
Standorten, die zum Transport privater Daten ein öffentliches Netz wie das Internet nutzt.
VLAN
Virtuelles LAN
VNC
Virtual Network Computing
Voice over IP
Mit VoIP wird sprachbasierte Kommunikation (Telefonieren) über
Computernetzwerke geroutet.
VoIP
Voice over IP
VPC
Virtual Private Cloud
VPN-
Virtuelles Privates Netzwerk
W
WAF
Web Application Firewall
WAN
Wide Area Network
568
UTM 9 Administratorhandbuch
Glossar
W-CDMA
Wideband Code Division Multiple Access
WebAdmin
Webbasierte grafische Benutzeroberfläche von Astaro-Produkten wie ACC, ASG,
AWG und AMG.
WEP
Wired Equivalent Privacy
Windows Internet Naming Service
WINS ist ein von Microsoft entwickeltes System zur dynamischen Auflösung von
NetBIOS-Namen.
WINS
Windows Internet Naming Service
WLAN
Wireless Local Area Network (Drahtloses lokales Netzwerk)
WPA
Wi-Fi Protected Access
X
X.509
X.509 ist ein Standard für digitale Zertifikate, der von der ITU-T (International
Telecommunications Union – Telecommunication) herausgegeben wird. Dort sind
Informationen und Attribute spezifiziert, die zur Identifikation einer Person oder eines Computers erforderlich sind.
XSS
Cross-Site-Scripting
UTM 9 Administratorhandbuch
569
Abbildungsverzeichnis
Bild 1 IE7 Sicherheitseinstellungen – Zone vertrauenswürdiger Sites
Bild 2 WebAdmin: Initiale Anmeldeseite
Bild 3 WebAdmin: Reguläre Anmeldeseite
Bild 6 WebAdmin: Beispiel einer Liste
Bild 7 WebAdmin: Beispiel eines Dialogfensters
Bild 8 WebAdmin: Ziehen eines Objekts aus der Objektleiste Networks
Bild 10 Up2Date: Fortschrittsfenster
Bild 11 Benutzerportal: Begrüßungsseite
Bild 12 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren
Bild 13 Anpassungen: HTTP-Statusmeldung Schritt 1 von 3
Bild 14 Anpassungen: HTTP-Statusmeldung Schritt 2 von 3
Bild 15 Anpassungen: HTTP-Statusmeldung Schritt 3 von 3
Bild 16 Anpassungen: Blockierte POP3-Proxy-Nachricht
Bild 17 Gruppen: eDirectory-Browser vonSophos UTM
Bild 18 Authentifizierung: Microsoft Management-Konsole
Bild 19 E-Mail-Verschlüsselung: Mit zwei Sophos UTMs
Bild 20 Mail-Manager vonSophos UTM
Bild 21 Endpoint Protection: Übersicht
Bild 23 Berichte: Beispiel eines Flash-basierten Liniendiagramms
Bild 24 Berichte: Beispiel eines Flash-basierten Tortendiagramms
advertisement
advertisement