Panda GateDefenderresources.pandasecurity.com/enterprise/.../eseries/GateDefender-eSe… · Die Verwaltungsoberfläche der Panda GateDefender-Appliance. Die GUI der Panda GateDefender-Appliance

Panda GateDefender Referenzhandbuch

Inhaltsverzeichnis

Einführung........................................................................................................................ 1

Erste Schritte.............................................................................................................. 1

Dokumentkonventionen ........................................................................................ 1

Die Zonen ................................................................................................................ 2

Die Verwaltungsoberfläche der Panda GateDefender-Appliance.................. 3

Zugriff auf die Panda GateDefender-Appliance ............................................... 9

Menü „System“ .............................................................................................................. 11

Menü „System“......................................................................................................... 11

Übersicht ............................................................................................................... 11

Netzwerkkonfiguration ....................................................................................... 14

Ereignisbenachrichtigungen ............................................................................... 21

Aktualisierungen .................................................................................................. 23

Support .................................................................................................................. 23

Panda Perimetral Management Console .......................................................... 24

Passwörter............................................................................................................. 25

Web-Konsole ......................................................................................................... 26

SSH-Zugang............................................................................................................ 26

GUI-Einstellungen ................................................................................................ 27

Datensicherung..................................................................................................... 28

Herunterfahren .................................................................................................... 31

Lizenzbestimmungen........................................................................................... 31

Menü „Status“ ................................................................................................................ 33

Menü „Status“ .......................................................................................................... 33

Systemstatus ......................................................................................................... 33

Netzwerkstatus .................................................................................................... 34

Systemdiagramme................................................................................................ 35

Netzwerkdiagramme ........................................................................................... 36

Proxydiagramme .................................................................................................. 36

Verbindungen........................................................................................................ 36

VPN Verbindungen ............................................................................................... 37

SMTP Mailstatistik ................................................................................................ 38

Mail queue............................................................................................................. 38

Menü „Netzwerk“........................................................................................................... 39

Menü „Netzwerk“ .................................................................................................... 39

Hosts bearbeiten.................................................................................................. 39

Routing................................................................................................................... 40

Schnittstellen ....................................................................................................... 43

Menü „Dienste“ .............................................................................................................. 47

DHCP Server .......................................................................................................... 47

Dynamischer DNS ................................................................................................. 50

Antivirus-Engine ................................................................................................... 52

Zeitserver .............................................................................................................. 54

E-Mail-Quarantäne ............................................................................................... 54

Spam Training....................................................................................................... 56

Intrusion Prevention ............................................................................................ 57

Hochverfügbarkeit ............................................................................................... 59

Netzwerkmonitoring ............................................................................................ 62

SNMP-Server.......................................................................................................... 62

Quality of Service ................................................................................................ 62

Menü „Firewall“ ............................................................................................................. 67

Menü „Firewall“ ....................................................................................................... 67

Gemeinsame Konfigurationselemente ............................................................. 67

Portweiterleitung / NAT ..................................................................................... 69

Ausgehender Datenverkehr ................................................................................ 71

Inter-Zone-Datenverkehr.................................................................................... 73

VPN-Datenverkehr ............................................................................................... 73

Systemzugriff ........................................................................................................ 74

Firewalldiagramme.............................................................................................. 74

Menü „Proxy“................................................................................................................. 77

Menü „Proxy“ ........................................................................................................... 77

HTTP....................................................................................................................... 78

POP3 ....................................................................................................................... 88

FTP ......................................................................................................................... 90

SMTP ....................................................................................................................... 91

DNS ....................................................................................................................... 103

Menü „VPN“ ................................................................................................................ 106

Menü „VPN“ ............................................................................................................ 106

OpenVPN-Server ..................................................................................................... 106

Serverkonfiguration ........................................................................................... 107

OpenVPN-Client (Gw2Gw) .................................................................................... 111

IPsec ......................................................................................................................... 114

IPsec ..................................................................................................................... 114

L2TP ..................................................................................................................... 119

Authentifizierung ................................................................................................... 120

Benutzer .............................................................................................................. 120

Gruppen ............................................................................................................... 123

Einstellungen ...................................................................................................... 124

Zertifikate ............................................................................................................... 125

Zertifikate ........................................................................................................... 125

Zertifizierungsstelle .......................................................................................... 127

Gesperrte Zertifikate ........................................................................................ 128

Zertifikatssperrliste........................................................................................... 128

Menü „Hotspot“............................................................................................................ 131

Menü „Hotspot“ ..................................................................................................... 131

Hotspot-Einstellungen........................................................................................... 132

Administrationsschnittstelle ................................................................................ 137

Konten...................................................................................................................... 137

Liste...................................................................................................................... 137

CSV Datei importieren ...................................................................................... 142

Als CSV-Datei exportieren ................................................................................ 143

Account Generator ............................................................................................ 143

Tickets ..................................................................................................................... 145

Tarife ................................................................................................................... 146

Quick-Ticket ....................................................................................................... 148

Ticket-Generator ............................................................................................... 149

Berichte ................................................................................................................... 150

Verbindungen...................................................................................................... 150

Kontostand .......................................................................................................... 150

Verbindungsprotokolle ...................................................................................... 153

Verbindungsprotokolle als CSV-Datei exportieren ....................................... 153

SmartConnect-Transaktionen .......................................................................... 153

Einstellungen .......................................................................................................... 154

Haupteinstellungen ........................................................................................... 154

SmartConnect ..................................................................................................... 158

API ........................................................................................................................ 161

Sprache ................................................................................................................ 162

Hotspot-Benutzer................................................................................................... 167

Benutzerzugriff auf den Hotspot ........................................................................ 168

Menü „Protokolle und Berichte“ .................................................................................. 173

Menü „Protokolle und Berichte“ ......................................................................... 173

Übersicht ............................................................................................................. 173

Netzwerkmonitoring .......................................................................................... 176

Live ....................................................................................................................... 179

Gemeinsame Aktionen ...................................................................................... 180

Zusammenfassung .............................................................................................. 181

System.................................................................................................................. 182

Dienst ................................................................................................................... 182

Firewall................................................................................................................ 182

Proxy .................................................................................................................... 183

Einstellungen ...................................................................................................... 183

Gesicherte Zeitstempel .................................................................................... 184

Glossar .......................................................................................................................... 187

Glossar ..................................................................................................................... 187

Printed Documentation

viii

Quicksheet – Wo finde ich die folgenden Optionen?................................................... 189

Quicksheet – Wo finde ich die folgenden Optionen? ....................................... 189

Hotspot ................................................................................................................ 189

Netzwerk ............................................................................................................. 189

Verschiedenes..................................................................................................... 189

GNU-Lizenz für freie Dokumentation ......................................................................... 191

GNU-Lizenz für freie Dokumentation ................................................................. 191

Einführung Erste Schritte

Das Referenzhandbuch der Panda GateDefender-Appliance ist in Abschnitte gegliedert, die der Struktur der Anwendungsmodule

entsprechen.

Nachfolgend finden Sie einige grundlegende Informationen zum vorliegenden Handbuch, Erläuterungen zur erstmaligen Verwendung der

Panda GateDefender-Appliance und einigen wichtigen Konzepten sowie Beschreibungen der wichtigsten Bestandteile der GUI.

Dokumentkonventionen

Zur Verbesserung der Lesbarkeit und Übersichtlichkeit dieses Dokuments werden verschiedene Konventionen angewandt:

Ein Tooltip wird angezeigt, wenn Sie die Maus über bestimmte Begriffe bewegen.

Dies ist ein Beispielfeld.

Dieses Feld enthält einen kurzes Beispiel für die schnelle Einrichtung einiger Funktionen und Dienste, die im Hauptdokument

beschrieben werden.

Kursivschrift wird verwendet, um nicht-interaktive Objekte oder Beschriftungen innerhalb der Weboberfläche (GUI) zu kennzeichnen.

Wörter mit gestrichelter Unterstreichung kennzeichnen interaktive Objekte, z. B. Schaltflächen oder Hyperlinks.

Warnhinweise werden verwendet, um Elemente, Aktionen oder Aufgaben zu markieren, die besonderer Aufmerksamkeit bedürfen:

Warnung

Eine Änderung dieses Werts bewirkt einen Neustart des Dienstes!

Hinweis

Sie können die Änderung auch später vornehmen.

Tipp

Tipps zur Konfiguration von Optionen

Ein relevantes Thema oder Beispiel

Felder wie dieses („Thema“) enthalten Erläuterungen zu Themen, die ausführlicher behandelt werden sollen und für den betreffenden

Abschnitt oder für bestimmte Konfigurationseinstellungen von Bedeutung sind. Zudem finden Sie darin einige Kurzanleitungen und

Beispiele. Am unteren Ende können ein oder mehrere Links zu Online-Ressourcen aufgeführt sein.

Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ Systemregeln anzeigen müssen Sie auf jedes Element einzeln

klicken, um zu einer speziellen Seite bzw. einem speziellen Konfigurationselement zu gelangen. Dieses Beispiel zeigt, wie Sie zur Seite

gelangen, auf der die Konfiguration der Systemregeln des DNAT der Firewall angezeigt wird.

Bei Sequenzen der Art Menüleiste ‣ Firewall ‣ Portweiterleitung/DNAT ‣ [Regelliste] ‣ bearbeiten bedeutet [...] alternativ, dass eine

große Anzahl von Objekten vorhanden ist (in diesem Fall eine Liste mit Firewall-Regeln), von denen eine zum Durchführen einer Aktion

(Bearbeiten) ausgewählt werden muss.

Diese Sequenzen finden Sie auch in den Referenzfeldern („Siehe auch“) unterhalb eines Hyperlinks wie dem folgenden:

Siehe auch

Netzwerkkonfiguration

Menüleiste ‣ System ‣ Netzwerkkonfiguration

Über den Hyperlink gelangen Sie direkt zur Dokumentation. Die Sequenz unter dem Hyperlink erläutert, wie Sie von der Homepage zur

Seite gelangen, auf der diese Funktion konfiguriert werden kann.

Einige im vorliegenden Handbuch verwendeten Begriffe sind im Glossar aufgeführt.

Die Zonen

Eines der wichtigsten Konzepte der Panda GateDefender-Appliance ist das Konzept der Zonen. Es beruht auf der Idee der Linux-

Distribution IPCop, erreichbare Netzwerke zu schützen, indem man sie in verschiedene Segmente – in Zonen – zusammenfasst und

Datenverkehr zwischen diesen Segmenten ausschließlich in bestimmte Richtungen erlaubt. Die vier Hauptzonen sind farblich

gekennzeichnet und können mehrere zweckverwandte Server einer Workstation umfassen.

ROT: das so genannte nicht vertrauenswürdige Segment – das WAN. Es umfasst alle Netzwerke außerhalb der Panda

GateDefender-Appliance – vereinfacht gesagt das Internet – und ist die Quelle aller eingehenden Verbindungen. Dies ist die

einzige Zone, die nicht verwaltet werden kann. Sie haben lediglich die Möglichkeit, den Zugriff von innen und außen zu

bewilligen bzw. einzugrenzen.

GRÜN: das interne Netzwerk – das LAN. Dies ist die am stärksten geschützte Zone. Die GRÜNE Zone ist für Workstations

vorgesehen. Ein direkter Zugriff aus der ROTEN Zone sollte stets vermieden werden. Sie ist außerdem die einzige Zone, die

standardmäßig auf die Verwaltungsoberfläche zugreifen kann.

ORANGE, die DMZ: Diese Zone sollte die Server enthalten, die zur Bereitstellung von Diensten (SMTP/POP, SVN, HTTP

usw.) auf das Internet zugreifen müssen. Es empfiehlt sich, direkte Zugriffe aus der ROTEN Zone ausschließlich auf die

ORANGE Zone zu beschränken. Sollte ein Angriffsversuch auf einen der Server gelingen, wird der Angriff innerhalb der DMZ

gestoppt und der Zugriff auf die GRÜNE Zone verhindert. So bleiben sensible Informationen lokaler Maschinen innerhalb der

GRÜNEN Zone geschützt.

BLAU: die WiFi-Zone, die von drahtlosen Clients für den Internetzugriff genutzt werden sollte. Drahtlose Netzwerke sind oft

nicht geschützt. Daher sollten sämtliche drahtlos verbundenen Clients in der für sie vorgesehenen Zone betrieben und der

Zugriff auf andere Zonen – ausgenommen der ROTEN Zone – untersagt werden.

Für die korrekte Funktion der Panda GateDefender-Appliance ist die Konfiguration der ORANGEN und BLAUEN Zone nicht notwendig.

Tatsächlich genügt es die GRÜNE Zone zu definieren, da auch die ROTE Zone in einigen Fällen nicht konfiguriert werden muss.

Die vordefinierten Firewall-Regeln der Panda GateDefender-Appliance verbieten den Netzwerkverkehr zwischen manchen Zonen.

Zusätzlich zu den vier Hauptzonen gibt es zwei weitere Zonen, die jedoch nur bei einer komplexen Konfiguration verwendet werden: Die

Zone „OpenVPN Client“ (auch VIOLETTE Zone genannt) und die HV-Zone. Diese speziellen Zonen werden als Netzwerke für OpenVPN-

Remote-Benutzer verwendet, die eine Verbindung zur Panda GateDefender-Appliance möchten, sowie für den HV-Dienst.

Standardmäßig werden hierfür die Netzwerke 192.168.15.0/24 bzw. 192.168.177.0/24 genutzt. Diese

Netzwerkbereiche sollten nicht in den Hauptzonen verwendet werden, besonders wenn Sie einen dieser Dienste nutzen möchten.

Tatsächlich würden sich solche Netzwerke überschneiden, was zu möglichen unerwünschten Effekten führen kann. Sie können jedoch

die IP-Bereiche dieser beiden Zonen bei der Einrichtung des OpenVPN- bzw. HV-Dienstes ändern.

Jeder Zone ist eine (Netzwerk-)Schnittstelle und eine IP-Adresse zugeordnet. Die Schnittstelle ist der (Ethernet- oder drahtlose) Port,

über den der Netzwerkverkehr in die Zone gelangt. Die ROTE Schnittstelle ist somit der Port, über den Sie in die ROTE Zone und das

Internet gelangen. Die IP-Adresse der Schnittstelle entspricht der <Zonen>-IP. Das werksseitig definierte Netzwerk für die GRÜNE Zone

lautet beispielsweise 192.168.0.15/24. Demnach ist der GRÜNEN Schnittstelle die IP-Adresse 192.168.0.15 –

auch GRÜNE IP-Adresse genannt – zugeordnet.

Siehe auch

Hochverfügbarkeit

für eine Beschreibung der Hochverfügbarkeit.

VPN

für eine Beschreibung von OpenVPN

Die Verwaltungsoberfläche der Panda GateDefender-Appliance

Die GUI der Panda GateDefender-Appliance wurde für einen einfachen Gebrauch konzipiert und besteht aus fünf Hauptteilen: Den

Header, die Hauptmenüleiste, das Untermenü, den Hauptbereich und den Seitenfuß. Unten wird ein beispielhafter Screenshot des

Moduls Dienst angezeigt.

Der Header

Die Kopfzeile dieser Seite enthält das Panda-Logo und links die Version der Panda GateDefender-Appliance, während rechts zwei Links

angezeigt werden: einer zur Abmeldung von der GUI und einer für die Online-Dokumentation, die kontextabhängig ist (d. h. für jede Seite

wird die entsprechende Hilfe angezeigt). Dieser Teil ist fest und wird nicht modifiziert.

Der Seitenfuß

Der Seitenfuß befindet sich ganz unten auf der Seite. Sie besteht aus zwei Textzeilen mit einigen Informationen zur laufenden Panda

GateDefender-Appliance. In der oberen Zeile (Status:) wird angezeigt, ob ein Uplink verbunden ist und welcher (falls mehrere Uplinks

definiert wurden), sowie die verstrichene Zeit (Betriebszeit:) seit der letzten Verbindungsherstellung und die Betriebszeit des Computers.

Dies entspricht der Ausgabe des Befehls uptime, d. h. dem Zeitraum seit dem letzten Start, der Benutzerzahl und der durchschnittlichen

Last. Die Informationen werden bei einem Seitenwechsel aktualisiert. Die untere Zeile enthält die Versionsnummer der Anwendung

zusammen mit dem Deployset, Copyright-Informationen und einem Link zur Panda Website.

Die Hauptnavigationsleiste

Die Hauptnavigationsleiste ist eine Menüleiste direkt unter der Kopfzeile mit einem schwarzen Hintergrund und einer blauen Fußzeile, in

der alle verfügbaren Bereiche der Panda GateDefender-Appliance angezeigt werden. Wenn Sie auf eines der Module (z. B. Dienste)

klicken, wird der Hintergrund blau, um das momentan geöffnete Modul anzuzeigen. Beim Klicken auf ein Menüelement ändern sich das

Untermenü auf der linken Seite und der Titel oben im Hauptbereich. Standardmäßig wird die GUI über das Menü System geöffnet.

Das Untermenü

Das Untermenü befindet sich auf der linken Seite der GUI und ändert sich je nach dem in der Menüleiste ausgewählten Bereich. Es wird

als eine vertikale Liste von Elementen angezeigt, die angeklickt werden können, um den Inhalt des Hauptbereichs zu ändern, und auf

alle Funktionen einschließlich der Module der Panda GateDefender-Appliance zuzugreifen.

Der Hauptbereich

Der Hauptbereich enthält sämtliche Informationen und Einstellungen der aktuellen Menü-/Untermenüauswahl. Einige der Seiten (z. B. die

Übersicht oder Teile der Module Dienst und Protokolle) sind lediglich informativ und zeigen den aktuellen Status der Panda

GateDefender-Appliance entweder grafisch oder in Textform an. Im zweiten Fall wird die Ausgabe von Linux-Befehlen auf den Bildschirm

übermittelt. Auf den meisten Seiten wird eine Tabelle mit Informationen zu den aktuell konfigurierten Einstellungen angezeigt. Sie haben

die Möglichkeit, diese Einstellungen zu ändern bzw. zu löschen oder neue Einstellungen hinzuzufügen. Besonders komplexe Dienste wie

HTTP-Proxy oder die Firewall enthalten eine solch hohe Anzahl an Konfigurationsoptionen, dass eine einzelne Seite für deren

Darstellung nicht ausreicht. Deshalb sind die verfügbaren Einstellungen gruppiert und auf Registerkarten organisiert.

Innerhalb von Registerkarten werden Konfigurationsoptionen häufig in einem oder mehreren Feldern zusammengefasst, in denen

Einstellungen gesammelt werden, die sich auf einen gemeinsamen Teil der Gesamtkonfiguration beziehen.

Die Hotspot-Administrationsoberfläche

Die einzige Ausnahme im Layout der GUI der Panda GateDefender-Appliance ist die Hotspot-Administrationsoberfläche, die im unteren

Screenshot dargestellt ist, keine Fußzeile besitzt, das Untermenü unter der Hauptmenüleiste platziert und ganz rechts von der

Menüleiste einen Link Hauptmenü enthält, um zum Hauptmenü zurückzukehren.

Beachten Sie, dass bei Elementen der „Hotspot-Administrationsoberfläche“ die ursprüngliche Menüleiste in der Regel nicht angezeigt

wird.

Die Symbole

Auf den Seiten der Panda GateDefender-Appliance werden viele Symbole verwendet, um entweder einen Vorgang darzustellen, der

schnell ausgeführt werden kann, oder um die Bedeutung einiger angezeigter Einstellungen zu verdeutlichen.

Schalter

Schalter werden verwendet, um Dienste zu aktivieren bzw. zu deaktivieren. Sie befinden sich im oberen Teil des

Hauptbereichs. Ein grauer Schalter gibt an, dass der Dienst deaktiviert und inaktiv ist. In diesem Fall werden im Hauptbereich

keine Einstellungen bzw. Konfigurationsoptionen angezeigt. Durch Klicken auf den Schalter werden der Dienst sowie die für

ein reibungsloses Funktionieren des Dienstes erforderlichen Daemons gestartet. Nach wenigen Sekunden wechselt der

Schalter auf blau. Sämtliche verfügbaren Konfigurationsoptionen werden angezeigt. Um den Dienst zu deaktivieren, klicken

Sie erneut auf den Schalter. Dadurch werden alle Daemons gestoppt, der Schalter wird grau und die Einstellungen werden

ausgeblendet.

Richtlinien

Diese Symbole finden sich bei Diensten, die gewisse Richtlinien oder Kontrollen für den Datenverkehr vorschreiben, beispielsweise

Firewall-Regeln oder Proxy-Spezifikationen. Wenn ein Paket einer bestimmten Regel entspricht, wird die für diese Regel festgelegte

Richtlinie angewandt. Die Regel ermittelt anschließend, ob und wie das Paket weitergeleitet wird.

Zugriff ohne Einschränkungen erlauben.

Zugriff nach erfolgreicher Prüfung durch das IPS erlauben. Diese Richtlinie gilt nur bei Firewall-Regeln.

Pakete blockieren und entfernen.

Pakete blockieren, aber Benachrichtigung an Quelle senden.

Regeln teilweise akzeptieren. Dieses Symbol wird in der Überschrift von Richtlinienlisten angezeigt und illustriert,

dass einige der Richtlinien aus der Liste akzeptiert, andere hingegen abgelehnt werden, wie beispielsweise unter

Menüleiste ‣ Proxy ‣ HTTP ‣ Inhaltsfilter.

Zusätzliche Symbole

Weitere Symbole in der Panda GateDefender-Appliance:

erweitert ein Feld und zeigt dessen Inhalt an.

schließt ein Feld und blendet dessen Inhalt aus.

Navigationsleiste

Stellenweise enthalten Bereiche mit längeren Elementlisten eine Navigationsleiste, welche die Auflistung der Elemente

erleichtert. Diese Navigationsleiste setzt sich aus mehreren Zellen zusammen: links die Zellen Erste Seite und Vorherige

Seite, rechts die Zellen Nächste Seite und Letzte Seite. Sie enthalten jeweils eine variable Menge an Seitenzahlen. Durch

Klicken auf die verschiedenen Zellen gelangen Sie entweder zur Seite mit der angegebenen Seitenzahl, zur ersten oder

letzten bzw. zur vorherigen oder nächsten Seite.

Gemeinsame Aktionen und Aufgaben

Es gibt zwei Arten von Aktionen, die innerhalb der GUI durchgeführt werden können: Aktionen für ein einzelnes Element in einer Liste

von Konfigurationseinstellungen (d. h. eine Firewall-Regel), und „globale“ Aktionen zum Speichern und Anwenden der Einstellungen in

einer Liste, einem Feld oder auf einer Seite.

Aktionen und Symbole

Diese Symbole befinden sich rechts in der Spalte Aktionen neben den diversen Tabellen, die auf den Seiten angezeigt werden. Sie

stellen in der Regel eine Liste der festgelegten Elemente dar, beispielsweise Firewall-Regeln oder OpenVPN-Benutzer. Die

Aktionssymbole erlauben die Durchführung einer Aufgabe an einem entsprechenden Element aus der Liste. Einige Aktionen stehen

nur für bestimmte Arten von Listen zur Verfügung:

und geben den Status eines Elements an (aktiviert bzw. deaktiviert). Sie können den Status ändern, indem Sie auf das

Symbol klicken. Anschließend werden Sie möglicherweise aufgefordert, den Dienst – falls erforderlich – neu zu starten, die

Konfiguration mithilfe der Daemons neu zu laden und die Änderungen zu aktivieren.

und stehen nur bei Listen zur Verfügung, bei denen die Reihenfolge von Bedeutung ist, beispielsweise bei Firewall-Regeln.

Die Symbole ermöglichen die Änderung der Reihenfolge durch Verschieben der Elemente nach oben oder unten .

erlaubt die Modifizierung des ausgewählten Elements. Wenn Sie auf dieses Symbol klicken, wird der passende Editor für das

Element geöffnet.

entfernt das ausgewählte Element aus der Liste und der Konfiguration. Bevor das Element endgültig gelöscht wird, müssen Sie

den Löschvorgang bestätigen.

erlaubt das Herunterladen des Elements (in der Regel ein Archiv).

wird in manchen Umgebungen verwendet, beispielsweise in Menüleiste ‣ Dienste ‣ Spam-Training, um die Verbindung zwischen

einem Element und einem Remote-Server zu prüfen.

und werden im IPS angezeigt (Menüleiste ‣ Dienste ‣ Intrusion Prevention) und erlauben die Protokollierung von Paketen, die

nach Übereinstimmung mit einer Regel weitergeleitet oder blockiert werden.

„Globale“ Aktionen

Am Ende jeder Seite, welche die Anpassung mindestens einer Option erlaubt, können Sie die neue Konfiguration mithilfe von

Speichern auf der Festplatte speichern oder vorgenommene Änderungen mithilfe von Abbrechen verwerfen. In letzterem Fall ist keine

weitere Aktion erforderlich, da die Konfiguration nicht geändert wurde. Im ersten Fall ist möglicherweise ein Neustart des soeben

modifizierten Dienstes erforderlich sowie ein Neustart einiger zugehöriger bzw. abhängiger Dienste, damit die neuen Einstellungen

geladen und in der laufenden Konfiguration verwendet werden können. Wenn diese Aktion erforderlich ist, wird nach Speichern der

Einstellungen ein Textfeld mit der Schaltfläche Übernehmen angezeigt, auf die Sie klicken müssen, um den Dienst neu zu starten.

Wenn ein Mehrfachauswahlfeld verwendet wird (z. B. unter Menüleiste ‣ Hotspot Einstellungen), kann Alle hinzufügen und Alle

entfernen als Verknüpfung angeklickt werden, um alle ausgewählten und aktiven Elemente oder alle verfügbaren Einträge einer Liste

hinzuzufügen oder von dieser zu entfernen.

Mehrfacheinträge in einer einzelnen Konfigurationsoption

Sie können an etlichen Stellen mehrere Werte für ein einzelnes Konfigurationselement eingeben, beispielsweise für Quelle

oder Ziel einer Firewall-Regel. In solchen Fällen wird entweder ein Textbereich oder ein Dropdown-Menü angezeigt. In

ersterem Fall können Sie in der Regel einen Wert pro Zeile eingeben, sei es eine MAC-Adresse, ein Netzwerkbereich (in

CIDR-Notation) oder ein OpenVPN-Benutzer. In letzterem Fall ist die Auswahl auf eine begrenzte Zahl vordefinierter Werte

beschränkt. Diese Werte können Sie auswählen, indem Sie auf der Tastatur die STRG-Taste gedrückt halten und

anschließend auf die Werte klicken, die Sie auswählen möchten.

IPv4 und CIDR-Notation:

Eine IPv4 ist ein Netzwerkadresse mit einer Länge von 32 Bit, die in vier 8-Bit-Oktette aufgeteilt ist. Dezimal kann jedes Oktett einen

Wert zwischen 0 und 255 annehmen (28 = 256).

Beim Festlegen eines Netzwerkbereichs wird die IP-Adresse des ersten Hosts im Netzwerk zusammen mit der Subnetzmaske, kurz

Netzmaske, vorgegeben. Hierdurch wird die Anzahl der in diesem Netzwerk verfügbaren Hosts festgelegt. Das Subnetz ist definiert als

die Länge des Netzwerkpräfixes, d. h. der Teil der Adresse, die von allen Hosts im Netzwerk geteilt wird.

Es gibt zwei Möglichkeiten, ein Netzwerk/Netzmasken-Paar zu bezeichnen:

Explizit heißt das, dass . beide in punktierter Quadrupelnotation angegeben werden. Zum Beispiel:

Netzwerk 192.168.0.0

Netzmaske 255.255.255.0

Dies ist ein Netzwerk, das mit der Adresse 192.168.0.0 beginnt und 256 mögliche Hosts besitzt, d. h. die Netzwerkreichweite ist von

192.168.0.0 bis 192.168.0.255. Die ersten drei Oktette der Netzmaske enthalten die Zahlenfolge 255. Das bedeutet, dass es keinen

verfügbaren Host gibt (bzw. dass dieser Teil der IP-Adresse dem Netzpräfix entspricht). An vierter Stelle steht die Ziffer 0, was

bedeutet, dass sämtliche Hosts (256–0 = 0) verfügbar sind.

in CIDR-Notation wird der Netzwerkbereich kürzer gefasst: Anstelle der freien Hosts werden die freien Bits angegeben. Der oben

erwähnte Netzwerkbereich wird dann folgendermaßen dargestellt:

192.168.0.0/24

Diese Notation zeigt die Länge des gemeinsam genutzten Teils der IP-Adresse in Bits an. 24 bedeutet, dass die ersten drei Oktette

(jedes besteht aus 8 Bits) gleich sind, während das vierte Oktett frei ist, was einer Anzahl von 32 - 24 = 8 Bits freier Hosts (also

256 Hosts) entspricht.

Selbiges gilt für IPv6-Adressen, mit dem Unterschied, dass diese 128 Bits lang sind.

Zugriff auf die Panda GateDefender-Appliance

Es gibt mehrere Möglichkeiten für den Zugriff auf die Panda GateDefender-Appliance: Die intuitivste und gradlinigste Weise ist der Zugriff

über die webbasierte GUI. Auch ein konsolenbasierter Zugriff über SSH und die serielle Konsole ist möglich. Diese Option ist jedoch nur

für fortgeschrittene Benutzer geeignet.

Die Weboberfläche (GUI) der Panda GateDefender-Appliance

Tipp

Die standardmäßige IP-Adresse der Panda GateDefender-Appliance ist 192.168.0.15.

Der empfohlene Zugriff auf die GUI der Panda GateDefender-Appliance ist sehr einfach: Öffnen Sie den Browser, und geben Sie bei

jedem Start der Panda GateDefender-Appliance die IP-Adresse der GRÜNEN Schnittstelle (GRÜNE IP-Adresse) ein.

Der Browser wird auf eine sichere HTTPS-Verbindung über Port 10443 umgeleitet. Da die Panda GateDefender-Appliance ein

selbstsigniertes HTTPS-Zertifikat verwendet, fordert Sie der Browser beim ersten Verbinden evtl. zum Akzeptieren des Zertifikats auf.

Anschließend werden Sie vom System zur Eingabe des Benutzernamens und Passworts aufgefordert. Geben Sie als Benutzernamen

„admin“ und das Passwort ein, das Sie von Ihrem Händler erhalten haben. Falls Sie die Panda GateDefender-Appliance bereits

angepasst haben, geben Sie das Passwort ein, das bei der Installation verwendet wurde.

Die Übersicht der GUI der Panda GateDefender-Appliance sollte nun angezeigt werden. Es ist möglich sofort mit dem Durchsuchen der

verfügbaren Informationen auf dieser Schnittstelle zu beginnen oder die Appliance weiter zu durchsuchen und zu konfigurieren. Die

weiteren Abschnitte dieses Handbuchs orientieren sich am Layout der Hauptnavigationsleiste: Jedes Element der Hauptmenüleiste stellt

einen anderen Abschnitt der Panda GateDefender-Appliance dar und wird als separater Abschnitt mit Untermenüelementen und

Registerkarten dargestellt, die Unter- bzw. Unterunterabschnitte besitzen.

Konsolenbasierter Zugriff

Der konsolenbasierte Zugriff auf die Panda GateDefender-Appliance wird nur für Benutzer empfohlen, die mit der Linux-Befehlszeile

vertraut sind.

Es gibt zwei Möglichkeiten, zur Befehlszeilenschnittstelle CLI zu gelangen: über SSH oder die serielle Konsole. Der Zugriff über SSH ist

standardmäßig deaktiviert. Sie können ihn jedoch unter Menüleiste ‣ System ‣ SSH Zugang aktivieren. Der Zugriff über die serielle

Konsole hingegen ist standardmäßig für alle Anwendungen mit folgenden Parametern aktiviert:

Port: ttyS0

Bit, Paritätsbit, Stoppbit: 8, N, 1

Geschwindigkeit: 115200 Baud


10

Für eine Verbindung über die serielle Konsole sind folgende Voraussetzungen erforderlich:

Terminalsoftware wie minicom für Unix/Linux-Felder oder puTTY für MS Windows

Workstation mit serieller Schnittstelle

Nullmodemkabel, um Ihre Workstation mit der Appliance zu verbinden

oder

Terminalsoftware

Netzwerkadapter mit Seriell-zu-Ethernet-Anbindung

Kabel für Seriell-zu-Ethernet-Anbindungen für die Verbindung zwischen Appliance und Adapter

Hinweis

Wenn das Netzwerk nicht ordnungsgemäß konfiguriert ist, kann die Konsole der einzige Weg sein, um auf die Panda GateDefender-

Appliance zuzugreifen.

014.

Menü „System“ Menü „System“

Im Menü „System“ werden verschiedene Informationen zur Panda GateDefender-Appliance und zu ihrem Status bereitgestellt.

Außerdem können die Einrichtung des Netzwerks sowie einige Zugriffsmodalitäten (z. B. Zugriff über SSH oder Zugriff für den Panda-

Support) definiert werden.

Das Untermenü auf der linken Seite enthält die folgenden Elemente für grundlegende Verwaltungsaufgaben und zur Überwachung

ausgeführter Aktivitäten der Panda GateDefender-Appliance:

Übersicht: Übersicht des Systems und des Verbindungsstatus

Netzwerkkonfiguration: Konfigurieren von Netzwerk und Netzwerkschnittstelle

Ereignisbenachrichtigungen: Einrichten von E-Mail- oder SMS-Benachrichtigungen

Updates: Verwalten von Systemupdates

Support – Support-Anfrageformular

Panda-Netzwerk: Registrierungsinformationen zur Panda Perimetral Management Console

Passwörter: Einrichten von Systempasswörtern

Web Konsole: Konsolenshell für den Browser

SSH Zugang: Aktivieren und Konfigurieren von SSH-Zugriff auf die Panda GateDefender-Appliance

GUI Einstellungen: Spracheinstellungen für die Weboberfläche

Datensicherung: Sichern und Wiederherstellen von Einstellungen der Panda GateDefender-Appliance sowie Zurücksetzen

auf die Werkseinstellungen

Herunterfahren: Herunterfahren und Neustarten der Panda GateDefender-Appliance

Lizenzbestimmungen: Lizenzbestimmungen für Benutzer

Im weiteren Teil dieses Abschnitts werden die verschiedenen Komponenten dieser Menüelemente beschrieben.

Übersicht

Bei der Übersicht handelt es sich um die Startseite, die bei jeder Anmeldung angezeigt wird. Sie umfasst mehrere Bereiche („Plugins“),

die in zwei Spalten angeordnet sind und eine vollständige Übersicht des ausgeführten Systems und seiner Integrität zeigen. Oben in den

Bereichen wird jeweils der Bereichsname genannt. Die Übersicht wurde mit Blick auf ihre Benutzerfreundlichkeit in letzter Zeit

überarbeitet, und es wurden neue Funktionen zur Verbesserung der Benutzerinteraktion implementiert. Die angezeigten Informationen

werden in regelmäßigen Abständen aktualisiert.

Die verfügbaren Plugins und die von ihnen angezeigten Informationen werden im Folgenden beschrieben.

System Information Plugin

Von diesem Plugin werden verschiedene Informationen zum installierten System angezeigt. Der Titel enthält in der Regel den

Hostnamen und den Domänennamen der Panda GateDefender-Appliance.

Appliance: Der Typ der Appliance.

Version: Die Version der Firmware.

Kernel: Der aktuell ausgeführte Kernel.

Betriebszeit: Der seit dem letzten Neustart vergangene Zeitraum.

Updatestatus: Eine vom Status der Panda GateDefender-Appliance abhängige Nachricht:

„aktuell“: Keine Aktualisierungen verfügbar.

„Update wird benötigt“: Neue Pakete können installiert werden. Durch Klicken auf die

Nachricht wird die Seite Updates geöffnet, auf der Sie die Liste neuer Pakete anzeigen

können.

„Registrieren für Unternehmen“: Das System wurde noch nicht in der Panda Perimetral

Management Console registriert: Durch Klicken auf die Nachricht wird die Seite Panda

Perimetral Management Console geöffnet, auf der ein Formular zum Abschließen der

Registrierung ausgefüllt werden kann.

Wartung: Der verbleibende Gültigkeitszeitraum für die Wartungsvereinbarung in Tagen.

Supportzugang: Ob das Supportteam auf die Panda GateDefender-Appliance zugreifen kann oder nicht. Im erstgenannten

Fall wird ebenfalls das Datum angezeigt, bis zu dem der Zugang gewährt wird.

Das Plugin zeigt ebenfalls die verbleibenden Tage der Gültigkeit der Zusatzmodule Panda Antivirus und Commtouch an, falls erworben.

Hardware Information Plugin

Von diesem Plugin werden die wichtigsten Hardwareinformationen der Panda GateDefender-Appliance und die Ressourcenverfügbarkeit

angezeigt. Alle Informationen sind mit den absoluten Werten (grafisch durch einen kleinen Balken und numerisch am Zeilenende) und

den Prozentwerten der Verwendung dargestellt. Die einzige Ausnahme bildet die CPU-Auslastung, für die grafisch und numerisch nur

der Prozentwert angezeigt wird.

CPU x: Die Auslastung der CPU. Wobei x für die Nummer der CPU steht, wenn die Appliance über mehrere CPUs verfügt.

Speicher: Die Größe des verwendeten Arbeitsspeichers (RAM).

Swap: Die Größe des Auslagerungsbereichs auf der Festplatte. Ein hoher Prozentwert an dieser Stelle weist in der Regel

auf eine Fehlfunktion hin.

Hauptfestplatte: Die Verwendung der Root-Partition.

Temp: Der verwendete Speicherplatz in der Partition /tmp.

Datenfestplatte: Die Verwendung der Partition /var.

Konfigurationsplatte: Der Speicherplatz, der durch die Partition belegt ist, die alle Dienste und Einstellungen der Panda

GateDefender-Appliance enthält.

Protokollplatte: Der Speicherplatz, der von der Partition verwendet wird, welche die Protokolle enthält.

Die letztgenannten Werte zur Speicherplatzverfügbarkeit können je nach Appliance variieren, da sich die Daten-, System-

und Protokollpartitionen möglicherweise an verschiedenen Orten befinden.

Warnung

Die Nutzung einer Festplattenpartition (z. B. Hauptfestplatte, Datenfestplatte, Temp, „/var/efw“ oder „/var/log“) darf 95 %

nicht überschreiten, weil dadurch Fehlfunktionen und Datenverluste auftreten können.

Service Information Plugin

Von diesem Plugin werden Informationen zu den wichtigsten installierten Diensten der Panda GateDefender-Appliance und deren

gegenwärtigen Status angezeigt. Für jeden Dienst werden der Aktivierungsstatus und eine Zusammenfassung der Aufgaben angezeigt,

die in der letzten Stunde und in den letzten Tagen abgeschlossen wurden. Durch Klicken auf den Namen eines Dienstes werden

zusätzliche Informationen über die vom Dienst ausgeführten Aufgaben angezeigt oder ausgeblendet. Für ausgeführte Dienste können in

einem neuen Fenster die entsprechenden Live-Protokolle geöffnet werden. Dadurch können die Protokolle überprüft und nach nützlichen

Informationen durchsucht werden, wenn die Zusammenfassungen einen Wert enthalten, der ungewöhnlich wirkt (z. B. doppelte Anzahl

abgelehnter E-Mails) oder auf eine Abweichung von normalen Aktivitäten (z. B. von der IDS wurde ein Angriff erkannt) hinweist. Die

folgenden Dienste werden derzeit von dem Plugin unterstützt:

Eindringlingserkennung: Die Anzahl der von Snort protokollierten Angriffe.

SMTP Proxy: Statistiken zu den verarbeiteten E-Mails. Die aktuelle Anzahl der E-Mails in der Postfix-Warteschlange, die

Anzahl der empfangenen, der unbedenklichen und der blockierten E-Mails sowie die Anzahl der gefundenen Viren.

HTTP Proxy: Die Anzahl der Treffer und Nichttreffer für den Zwischenspeicher von Squid sowie die Anzahl der

gefundenen Viren.

POP3 Proxy: Statistiken zu den empfangenen, blockierten, und virenbehafteten E-Mails, die den POP3-Proxy passiert

haben.

Tipp

Inaktive Dienste sind mit einer roten AUS-Meldung markiert.

Network Information Plugin

Von diesem Plugin werden Informationen zu den Netzwerkschnittstellen der Firewall und zum Datenverkehr angezeigt. Der obere Teil

des Plugins enthält einige Daten zu den Netzwerkschnittstellen der Panda GateDefender-Appliance: Ihr Name, Typ, Verbindungsstatus

(Ein für eine bestehende Verbindung und Aus für keine Verbindung) und Aktivierungsstatus (Ein für das aktivierte Gerät und Aus für das

nicht aktivierte Gerät) sowie den ein- und ausgehenden Datenverkehr. Die beiden letztgenannten Daten werden in Echtzeit aktualisiert.

Durch Aktivieren des Kontrollkästchens neben dem jeweiligen Gerätenamen wird das Gerät in den Grafiken darunter angezeigt. Der

Name der Geräte ist entsprechend der Zone, für die sie arbeiten, farblich gekennzeichnet.

Der untere Teil des Plugins enthält zwei Diagramme: vom ersten wird für jede ausgewählte Schnittstelle der eingehende Datenverkehr

und vom zweiten der ausgehende Datenverkehr dargestellt. Der Datenverkehr der Schnittstellen wird in der Farbe der jeweils

zugehörigen Zone angezeigt. Unterschiedliche Schnittstellen, die zur selben Zone gehören, werden in verschiedenen farblichen

Abstufungen dargestellt. Für ein Gerät erstellte Bridges werden in der Farbe des entsprechenden Geräts angezeigt. Wie der

Datenverkehr im oberen Teil werden beide Diagramme in Echtzeit aktualisiert.

Tipp

Es können bis zu sechs Schnittstellen ausgewählt und in den Diagrammen dargestellt werden.

Signatures Information Plugin

Dieses Plugin zeigt Informationen über den aktuellen Status dieser Dienste, die das Herunterladen von Signaturen erfordern, die

wiederum auf der Panda GateDefender-Appliance installiert und aktiviert werden. Falls keine Signatur heruntergeladen und noch kein

Dienst aktiviert wurde, wird die Meldung Keine aktuellen Signaturaktualisierungen gefunden angezeigt. Anderenfalls wird von diesem

Plugin eine Übersicht der Signaturen angezeigt, die für die verschiedenen Daemons installiert sind, sowie der Zeitstempel (Datum und

Uhrzeit) des letzten Downloads. Die Liste enthält Signaturen für die Dienste Anti-Spyware, Antivirus, Inhaltsfilter und Intrusion Prevention.

Uplink Information Plugin

Durch dieses Plugin wird eine Tabelle mit dem jeweiligen Verbindungsstatus der Uplinks angezeigt. Sie enthält den Namen, die IP-

Adresse, den Status, die Betriebszeit, den Aktivierungs- oder Deaktivierungsstatus und den Modus („verwaltet“ oder

„manuell“ ) jedes definierten Uplinks. Durch Klicken auf den kreisförmigen Pfeil kann eine Verbindung zum entsprechenden

Uplink unmittelbar neu hergestellt werden. Von besonderem Interesse ist das Feld Status der einzelnen Uplinks:

Gestoppt: Nicht verbunden.

Inaktiv: Nicht verbunden.

Baue Verbindung auf: Noch nicht verbunden, aber eine Verbindung wird hergestellt.

Verbunden oder EIN: Die Verbindung wurde hergestellt und ist voll funktionsfähig.

Verbindung wird getrennt: Die Verbindung wird vom Uplink getrennt. Das Gateway wird von der Panda GateDefender-

Appliance fortlaufend gepingt. Es erfolgt eine Benachrichtigung, sobald es wieder verfügbar ist.

Fehler: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten.

Fehler, Verbindung wird neu hergestellt: Beim Herstellen einer Verbindung mit dem Uplink ist ein Fehler aufgetreten. Von

der Panda GateDefender-Appliance wird aber zurzeit ein Neuversuch ausgeführt.

Verbindung unterbrochen: Vom Uplink wurde eine Verbindung hergestellt, aber die in der Uplink-Konfigurationsoption

definierten Hosts (Menüleiste ‣ Netzwerk ‣ Schnittstellen, Option Erreichbarkeit dieser Hosts überprüfen im Uplinkeditor)

für das Überprüfen der Verbindung konnten nicht erreicht werden. Der Uplink ist also nicht funktionsfähig.

Verwaltete und manuelle Uplinks

Die einzelnen Uplinks können entweder im verwalteten Modus (Standardeinstellung) oder im manuellen Modus betrieben werden. Im

verwalteten Modus wird ein Uplink von der Panda GateDefender-Appliance überwacht und bei Bedarf automatisch neu gestartet. Ist der

verwaltete Modus deaktiviert, muss ein Uplink manuell aktiviert und deaktiviert werden. Wird die Verbindung unterbrochen, wird also kein

automatischer Wiederverbindungsversuch ausgeführt. Stattdessen muss der nicht funktionsfähige Uplink durch Klicken auf wieder

verbinden neu gestartet werden. Der Verwaltungsmodus eines Uplinks kann unter Menüleiste ‣ Netzwerk ‣ Schnittstellen ausgewählt

werden.

Uplinks sollten stets verwaltet werden, damit bei Verbindungsabbrüchen eine zügige Wiederverbindung erfolgen kann. Der manuelle

Modus ist nützlich für die Fehlerbehebung und zum Testen von Verbindungen, bevor sie tatsächlich hergestellt werden.

Netzwerkkonfiguration

Die Konfiguration der Netzwerke und der Netzwerkschnittstellen für die Zonen kann mithilfe dieses Assistenten schnell und bequem in

acht Schritten durchgeführt werden. Mit den Schaltflächen <<< and >>> ist es möglich, frei zwischen den Schritten zu wechseln. Bereits

ausgeführte Aktionen können jederzeit aufgehoben werden. Die neuen Einstellungen werden erst beim letzten Schritt bestätigt,

woraufhin alle vorgenommenen Änderungen übernommen werden. Beim Übernehmen der Einstellungen kann es vorkommen, dass die

Weboberfläche für kurze Zeit nicht reagiert.

Der Uplink-Tarnmodus:

Der Uplink-Tarnmodus ist eine neue Möglichkeit, die Panda GateDefender Appliance nahtlos in eine vorhandene Netzwerkinfrastruktur

einzubinden, ohne dabei die existierenden Routing- oder Firewall-Regeln ändern zu müssen.

Der Uplink-Tarnmodus erfordert eine Panda GateDefender Appliance mit mindestens zwei NIC, welche die gleiche Zone bedienen

(entweder GRÜN, ORANGE oder BLAU). Eine dieser Schnittstellen leitet den gesamten Verkehr von der Zone zu einem Gateway und

stellt in der Praxis den „Uplink“ für die Panda GateDefender Appliance dar.

Das Vorhandensein einer expliziten Schnittstelle als designierter „Uplink“ ermöglicht die Unterscheidung einer Richtung für den Verkehr

außerhalb einer Zone, die vom Uplink-Tarnmodus bedient wird, und die Filterung mithilfe einer ausgehenden Firewall. Das ist der

Hauptunterschied zum Modus ohne Uplink (zuvor bekannt als Gateway-Modus), bei dem es keine Möglichkeit zur Filterung des

ausgehenden Verkehrs gab. Deshalb war die Anwendungssteuerung nicht einsetzbar.

Der Uplink-Tarnmodus erfordert eine bestimmte Einrichtung der Firewall in der Panda GateDefender Appliance.

Die Systemzugriffsregeln werden normal gehandhabt.

Portweiterleitungs- und Destination NAT-Regeln können ebenfalls normal konfiguriert werden. Da es sich jedoch um die

ausgehende Schnittstelle in der gleichen Zone wie das interne Netzwerk handelt, werden die Regeln auf beide Seiten der

Zone angewendet.

Source NAT wird nicht auf ausgehende Verbindungen in dieser Konfiguration angewendet, da ansonsten das Verhalten nicht

mehr transparent wäre.

Die ausgehende Firewall wird für den gesamten Verkehr verwendet, der von der durch den Uplink-Tarnmodus bedienten

Zone durch den als Uplink designierten NIC verläuft, wodurch die Funktionen der Anwendungssteuerung genutzt werden

können.

Die Zwischenzonen-Firewall wird auf den gesamten verbleibenden Verkehr zwischen den anderen Zonen (falls definiert)

angewendet. Wenn die Uplink-Tarn-Bridge aus drei oder mehr Schnittstellen besteht, und dadurch zwei oder mehr der

entsprechenden Zone dienen, kann der Verkehr zwischen diesen und den anderen Zonen durch die Zwischenzonen-Firewall

gefiltert werden.

Aufgrund der Verfügbarkeit dieses Uplink-Modus hat sich auch die grafische Benutzeroberfläche des Netzwerkkonfigurationsassistenten

geändert. Dies gilt vor allem für die Startseite, um die Unterschiede zwischen den verschiedenen Uplinks und den für sie verfügbaren

Konfigurationsoptionen zu erläutern.

Im Folgenden werden die acht Schritte des Assistenten einzeln behandelt:

1/8 – Netzwerkmodus und Uplink-Typ auswählen

Die Startseite des Netzwerkkonfigurationsassistenten enthält zwei Felder: Netzwerkmodi, in dem der Betriebsmodus für den Uplink

ausgewählt werden kann, und Uplink-Typ, in dem der Uplink ausgewählt werden kann.

Netzwerkmodi

Im ersten Feld können Sie den Betriebsmodus des von der Panda GateDefender Appliance verwendeten Uplinks aus drei sich

ausschließenden Optionen auswählen. Indem Sie eine der Optionen auswählen oder mit der Maus darauf zeigen, wird eine kurze

Beschreibung angezeigt.

Geroutet: Diese Option entspricht den klassischen Uplinks der Panda GateDefender Appliance mit Ausnahme des Gateway-Modus.

Gebridget: Der neue Uplink-Tarnmodus.

Keine Uplink: Diese Option entspricht dem Modus, der zuvor als Gateway-Modus bekannt war.

Hinweis

Im Modus Kein Uplink werden Regeln, die in der ausgehenden Firewall konfiguriert sind und den Verkehr von der Panda GateDefender

Appliance durch den Uplink filtern, nicht berücksichtigt.

Das nächste Feld wird nur durch Auswahl der Option Geroutet angezeigt, da in anderen Fällen der Modus automatisch die ROTE

Schnittstelle bestimmt.

Uplink-Typ (ROTE Zone)

Während der Installation erhält die Panda GateDefender-Appliance eine Standard-IP-Adresse für GRÜN. Auf dieser Seite kann der Typ

der ROTEN Schnittstelle (d. h. die Art des Uplinks) ausgewählt werden. Die folgenden Typen werden von der Panda GateDefender-

Appliance unterstützt:

ETHERNET STATIC

Die ROTE Schnittstelle befindet sich in einem LAN mit fester IP-Adresse und Netzwerkmaske, z. B. wenn die ROTE

Schnittstelle mit einem einfachen Router verbunden wird, jedoch mit dem Vorteil, dass die Panda GateDefender-Appliance

stets unter derselben IP-Adresse erreichbar ist.

ETHERNET DHCP

Die ROTE Schnittstelle bezieht ihre Netzwerkkonfiguration von einem lokalen Server, Router oder Modem dynamisch über

DHCP, d. h. die ROTE Schnittstelle ist mit einem einfachen Router verbunden, aber ohne dass für sie eine feste Adresse

erforderlich ist.

PPPoE

Die ROTE Schnittstelle ist mit einem ADSL-Modem verbunden. Diese Option wird nur benötigt, wenn vom Modem der

Bridging-Modus verwendet und PPPoE benötigt wird, um eine Verbindung mit dem Provider herstellen zu können. Die Option

darf nicht mit den Optionen ETHERNET STATIC und ETHERNET DHCP verwechselt werden. Diese werden für

Verbindungen mit ADSL-Routern verwendet, von denen das PPPoE selbst übernommen wird.

ADSL (USB, PCI)

Von der ROTEN Schnittstelle wird die Verbindung mit einem ADSL-Modem nicht über ein Ethernetkabel, sondern über ein

USB- oder PCI-Kabel hergestellt.

ISDN

Bei der ROTEN Schnittstelle handelt es sich um eine ISDN-Verbindung.

ANALOG/UMTS Modem

Bei der ROTEN Schnittstelle handelt es sich um ein analoges Modem (Einwahlmodem) oder ein UMTS-Modem (Mobiltelefon).

In einem kleinen Feld rechts neben den Optionen wird die Anzahl der Netzwerkschnittstellen angezeigt, die auf dem System verfügbar

sind. Die vollständige Konfiguration der ROTEN Schnittstelle erfolgt in Schritt 4.

2/8 – Netzwerkzonen auswählen

Die verbundenen Netzwerke werden von der Panda GateDefender-Appliance in vier grundlegende Zonen getrennt, wie es in diesem

Abschnitt beschrieben wird. Die beiden wichtigsten Zonen – GRÜN und ROT – wurden im Laufe der Installation bereits erkannt: In

diesem Schritt können Sie eine oder zwei zusätzliche Zonen aktivieren, abhängig von den Diensten, die von der Panda GateDefender-

Appliance bereitgestellt werden sollen: ORANGE – als DMZ-Netzwerkteil – und BLAU – als Segment für drahtlose Clients. Ihre

vollständige Konfiguration kann im nächsten Schritt durchgeführt werden.

Hinweis

In der Panda GateDefender-Appliance ist eine Netzwerkschnittstelle der GRÜNEN Zone vorbehalten. Eine weitere wurde ggf. bereits der

ROTEN Zone zugewiesen, sofern für die ROTE Schnittstelle eine Netzwerkkarte erforderlich ist. Dadurch kann die Auswahl an dieser

Stelle eingeschränkt sein, so dass die ORANGE und die BLAUE Zone mangels weiterer Netzwerkschnittstellen nicht aktiviert werden

können.

3/8 – Netzwerkeinstellungen

Dieser Schritt betrifft die Konfiguration der GRÜNEN Zone, falls erforderlich, sowie der Zonen, die im vorherigen Schritt ausgewählt

wurden. Für jede aktivierte Zone können die folgenden Optionen konfiguriert werden:

IP-Adresse

Die IP-Adresse der Schnittstelle (z. B. 192.168.0.1). Diese sollte innerhalb des Netzwerks nicht bereits verwendet werden.

Tipp

Es wird empfohlen, für das letzte Oktett die 1 zu wählen, da von der Schnittstelle der Datenverkehr des gesamten Subnetzes gebündelt

wird.

Bedenken Sie, dass durch eine Änderung der IP-Adressen einer Panda GateDefender-Appliance insbesondere in

Produktionsumgebungen ggf. weitere Einstellungen an anderen Stellen angepasst werden müssen, z. B. in der HTTP-

Proxykonfiguration der Workstations, da Webbrowser anderenfalls nicht korrekt arbeiten.

Warnung

Bei der Konfiguration der Schnittstellen für die GRÜNE Zone muss ein Aussperren aus der Weboberfläche unbedingt vermieden

werden. Eine solche Situation kann entstehen, wenn die GRÜNE IP-Adresse in eine IP-Adresse geändert wird, die aus dem aktuellen

GRÜNEN Segment nicht erreichbar ist, und die Einstellungen dann gespeichert werden. In diesem Fall kann auf die Panda

GateDefender-Appliance nur über die serielle Konsole zugegriffen werden.

Netzwerkmaske

Auswählen der Netzwerkmaske aus einem Dropdown-Menü, das die möglichen Masken enthält (z. B. /24 - 255.255.255.0).

Tipp

Alle Geräte im selben Subnetz müssen dieselbe Netzmaske besitzen, um ordnungsgemäß zu kommunizieren.

Zusätzliche Adressen hinzufügen

Hinzufügen zusätzlicher IP-Adressen für unterschiedliche Subnetze zur Schnittstelle.

Schnittstellen

Weisen Sie eine Netzwerkschnittstelle einer Zone entsprechend der folgenden Regeln zu:

1. Eine Schnittstelle kann jeweils nur einer Zone zugeordnet werden, und jede Zone muss über mindestens eine Schnittstelle

verfügen.

2. Falls einer Zone mehrere Schnittstellen zugeordnet sind, werden diese Schnittstellen gebridget und verhalten sich wie ein

Teil eines Switches.

Für jede verfügbare Schnittstelle werden diese Informationen angezeigt:

Ein farbiges Kontrollkästchen, das anzeigt, zu welcher Zone die Schnittstelle gehört. Keine Farbe bedeutet, dass die Schnittstelle

keiner Zone zugeordnet ist.

Port: die Nummer des Ports.

Link: Zeigt den aktuellen Status mittels Symbolen an: – der Link ist aktiv, – kein Link oder kein Kabel angeschlossen,

– keine Informationen vom Treiber.

Beschreibung: die PCI-Identifikationszeichenfolge der Schnittstelle wie von lspci zurückgegeben. Die Zeichenfolge ist gekürzt, sie

kann jedoch durch bewegen der Maus auf das ? angezeigt werden.

MAC: die MAC-Adresse der Schnittstelle.

Gerät: der logische Name des Geräts.

Hinweis

Von der Panda GateDefender-Appliance werden unabhängig von der Anzahl der zugewiesenen Schnittstellen intern alle Zonen als

Bridges behandelt. Der Linux-Name der Schnittstellen lautet daher brX und nicht ethX.

Abschließend können in den beiden Textfeldern unten der Hostname und der Domänenname des Systems festgelegt werden.

Private IP-Adressen

Es wird empfohlen, den in RFC 1918 beschriebenen Standard zu befolgen (der kürzlich durch RFC 6761 aktualisiert wurde), und beim

Einrichten der Zonen nur IP-Adressen innerhalb der Netzwerksegmente zu verwenden, die von der IANA zur privaten Nutzung reserviert

wurden. Diese sind:

10.0.0.0 bis 10.255.255.255 (10.0.0.0/8, 16.777.216 Adressen) 172.16.0.0 bis 172.31.255.255 (172.16.0.0/12, 1.048.576 Adressen) 192.168.0.0 bis 192.168.255.255 (192.168.0.0/16, 65.536 Adressen)

Durch diese Auswahl werden Fehler bei der DNS-Auflösung vermieden, da IP-Adressen, die außerhalb dieser Bereiche liegen, oft von

anderen Organisationen als öffentliche IP-Adressen reserviert wurden. Darüber hinaus müssen für die Schnittstellen unterschiedliche IP-

Adressbereiche in den unterschiedlichen Netzwerksegmenten verwendet werden, z. B.:

http://tools.ietf.org/html/rfc1918.html


IP = 192.168.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für GRÜN IP = 192.168.10.1 und Netzwerkmaske = /24 - 255.255.255.0 für ORANGE IP = 10.0.0.1 und Netzwerkmaske = /24 - 255.255.255.0 für BLAU

Es muss auch beachtet werden, dass die erste und die letzte IP-Adresse eines Netzwerksegments (in der Regel .0 und .255) als

Netzwerkadresse bzw. Broadcastadresse reserviert sind und keinem Gerät zugewiesen werden dürfen.

4/8 – Internetverbindungseinstellungen

In diesem Schritt kann die ROTE Schnittstelle konfiguriert werden, die in Schritt 1 ausgewählt wurde. Über die ROTE Schnittstelle wird

die Verbindung mit dem Internet oder mit einem anderen nicht vertrauenswürdigen Netzwerk hergestellt, das sich außerhalb der Panda

GateDefender-Appliance befindet.

Hinweis

Falls in Schritt 1/8 der Modus Geroutet ausgewählt wurde, kann hier der Standardgateway ausgewählt werden.

Abhängig vom Typ der ausgewählten ROTEN Schnittstelle sind unterschiedliche, für den jeweiligen Schnittstellentyp erforderliche

Konfigurationsoptionen verfügbar. Unten auf der Seite werden zwei gemeinsam verfügbare Optionen angezeigt nämlich MTU und

Verwende diese MAC Adresse, die weiter unten beschrieben werden. Die Auswahl des DNS, die für fast alle Schnittstellentypen

verfügbar ist, erfolgt immer zwischen Dynamisch oder Manuell. Wird die letztgenannte Option ausgewählt, muss im darauf folgenden

Schritt eine gültige IP-Adresse eines DNS-Servers manuell angegeben werden. Die weiteren Konfigurationsoptionen sind:

ETHERNET STATIC

Die IP-Adresse und Netzwerkmaske der ROTEN Schnittstelle sowie die IP-Adresse des Standardgateways, d. h. die IP-

Adresse des Gateways, von dem die Verbindung zwischen Panda GateDefender-Appliance und dem Internet oder einem

anderen nicht vertrauenswürdigen Netzwerk hergestellt wird. Optional kann die Ethernet-Hardware-Adresse (MAC-Adresse)

der Schnittstelle angegeben werden.

ETHERNET DHCP

Auswählen des DNS als einzige verfügbare Option.

PPPoE

Zur Konfiguration von PPPoE durch Eingeben des vom Provider zugewiesenen Benutzernamens und Passworts in das Formular und

Angeben der Authentifizierungsmethode. Optional können der Dienstname und der Name des Konzentrators des Providers konfiguriert

werden. Dies ist aber in der Regel nicht erforderlich.

Tipp

Wenn Sie nicht sicher sind, ob Sie die PAP oder CHAP-Authentifizierung verwenden möchten, sollte die Standardoption beibehalten

werden.

ADSL (USB, PCI)

Für diese Auswahl sind drei Unterseiten vorhanden:

1. Auf der ersten wird aus den Treibern, die in einem Dropdown-Menü zur Auswahl stehen, der passende für das Modem ausgewählt.

2. Auf der zweiten wird aus einem Dropdown-Menü eine der vier Optionen für ADSL Typ ausgewählt: „PPPoA“, „PPPoE“, „Statische IP

Adresse“ oder „DHCP“.

3. Abschließend sind je nach Auswahl in den beiden vorherigen Schritten einige der folgenden Einstellungen erforderlich, die beim

ADSL-Provider in Erfahrung gebracht werden können:

o die VPI-Nummer und VCI-Nummer sowie der Kapselungstyp

o der vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im

Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden)

o die IP-Adresse und die Netzwerkmaske der ROTEN Schnittstelle

o die IP-Adresse des Standardgateways (nur bei statischer IP-Adresse erforderlich)

Hinweis

Wurde bei Punkt 2 die Option „PPPoE“ ausgewählt, wird die Konfiguration auf dieselbe Weise durchgeführt, die im vorherigen

Absatz PPPoE beschrieben wurde.

ISDN

Konfigurieren der ISDN-Verbindung, des Modemtreibers, der Telefonnummern (die Nummer des Providers und die externe

Rufnummer), des vom Provider zugewiesenen Benutzernamens und Passworts sowie der Authentifizierungsmethode (im

Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden). Es muss auch angegeben werden, ob die IP-

Adresse des DNS automatisch zugewiesen oder manuell festgelegt werden soll.

ANALOG/UMTS Modem

Auch wenn Panda GateDefender-Appliance die meisten modernen UMTS-Modems unterstützt, müssen einige Dinge beachtet werden.

Manche neuere UMTS-Modems sind zugleich USB-Massenspeichergeräte und werden in der Regel als zwei Geräte registriert (z. B.

/dev/ttyUSB0 und /dev/ttyUSB1): In diesem Fall ist das erste Gerät /dev/ttyUSB0 das Modem und

das zweite das Speichergerät. Durch Modems dieser Art können Probleme beim Neustart der Firewall verursacht werden, da von der

Panda GateDefender-Appliance versucht wird, vom USB-Massenspeichergerät zu starten. Auf der anderen Seite benötigen einige

SIM-Karten eine private Authentifizierungsnummer (PIN), um zu funktionieren. Dies wird nicht unterstützt. Die PIN-Nummer sollte von

der SIM-Karte entfernt werden, damit sie mit der Panda GateDefender-Appliance funktioniert.

Für diese Auswahl sind zwei Unterseiten vorhanden:

1. Auf der ersten wird angegeben, mit welchem seriellen Anschluss das Modem verbunden ist und ob es sich um ein

analoges Modem oder ein UMTS/HSDPA-Modem handelt.

Tipp

Das Gerät /dev/ttyS0 ist als serielle Konsole reserviert und daher nicht als serieller Anschluss für

Modems verfügbar.

2. Auf der zweiten Unterseite wird die Bitrate des Modems, die externe Rufnummer oder der Accesspoint-Name, der

vom Provider zugewiesene Benutzername und das zugehörige Passwort sowie die Authentifizierungsmethode (im

Zweifelsfall sollte der Standardwert „PAP oder CHAP“ beibehalten werden) konfiguriert. Für UMTS-Modems muss

der Accesspoint-Name angegeben werden.

Gateway

Die IP-Adresse des Standardgateways, d. h. die IP-Adresse des Gateways, von dem die Verbindung zwischen Panda

GateDefender-Appliance und dem Internet oder einem anderen nicht vertrauenswürdigen Netzwerk hergestellt wird.

Folgende gemeinsame Optionen sind verfügbar:

MTU

Die MTU-Größe der Pakete, die über das Netzwerk gesendet werden.

Verwende diese MAC Adresse

Angeben einer benutzerdefinierten MAC-Adresse für die ROTE Schnittstelle. Diese Einstellung ist für das einwandfreie

Failover von Slavegeräten in einer HA-Konfiguration erforderlich. Weitere Informationen zur ROTEN Adresse in HA-

Konfigurationen können unter Hochverfügbarkeit gefunden werden.

MTU-Größe

Obwohl von der Mehrheit der ISPs ein Standardwert von 1.500 Byte verwendet wird, ist in manchen Fällen die Standard-MTU-Größe zu

groß. Dies macht sich in der Folge durch ungewöhnliches Netzwerkverhalten bemerkbar, z. B. durch immer wieder unterbrochene

Downloads oder Verbindungen, die gar nicht funktionieren.

Wird vom ISP keine Standard-MTU-Größe verwendet, kann die korrekte Größe auf einfache Art ermittelt werden. Dafür werden spezielle

ICMP-Pakete mit einem spezifischen Wert gesendet, der so lange kontinuierlich abgesenkt wird, bis keine Fehler mehr auftreten: An

diesem Punkt ist die korrekte MTU-Größe erreicht, und der entsprechende Wert sollte in den Konfigurationsoptionen eingegeben werden.

Die ICMP-Pakete werden auf folgende Weise gesendet:

Nach Anmeldung bei der EFW wird ein Host ausgewählt, der auch tatsächlich erreichbar ist (z. B. sollte der DNS des ISP

immer erreichbar sein), und mit folgendem Befehl gepingt:

ping -c1 -M do -s 1460 <host> (Weitere Informationen können auf der Manpage zu ping(8) gefunden werden.)

Wenn die MTU-Größe von 1460 korrekt ist, werden Ping-Antworten wie die folgende empfangen:

PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes of data. 1468 bytes from 10.10.10.10: icmp_seq=1 ttl=49 time=75.2 ms

Ist die aktuelle MTU-Größe für Pakete mit einer Größe von 1460 aber noch zu groß, wird eine Fehlermeldung wie die

folgende angezeigt:

PING 10.10.10.10 (62.116.64.82) 1461(1489) bytes of data. ping: sendmsg: Message too long

Der Vorgang wird mit unterschiedlichen Paketgrößen (der Wert hinter der Option „-s“) so lange wiederholt, bis die korrekte

Größe gefunden ist und kein Fehler mehr angezeigt wird. Bei dem Wert, der in der Ausgabe des ping-Befehls in

Klammern angegeben ist, handelt es sich um die MTU-Größe. In diesem Beispiel lautet die Ausgabe „1460(1488)“. Der

Wert, der für die MTU-Größe gewählt werden muss, beträgt also 1488.

Durch einen MTU-Wert, der weniger als 1500 beträgt, können auch Probleme beim Einrichten von OpenVPN verursacht

werden, so dass dort ggf. einige Einstellungen angepasst werden müssen.

5/8 – DNS-Resolver konfigurieren

In diesem Schritt können bis zu zwei IP-Adressen für den DNS-Server angegeben werden. Erfolgt diese Zuweisung automatisch, können

keine Konfigurationsoptionen festgelegt werden und Sie können sicher mit dem nächsten Schritt fortfahren. Wenn nur ein DNS-Server

verwendet werden soll, muss die entsprechende IP-Adresse zweimal eingegeben werden. Angegebene DNS-IP-Adressen müssen für

die Panda GateDefender-Appliance erreichbar sein, da sonst die Auflösung von URLs und Domänen nicht funktioniert.

Siehe auch

Änderungen an der ROTEN Schnittstelle, d. h. dem Uplink, und dem DNS-Server können später bearbeitet werden, getrennt von der

restlichen Netzwerkkonfiguration:

Uplink Editor

Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ [Uplink bearbeiten]

6/8 – Standardmäßige E-Mail-Adresse des Administrators

In diesem Schritt wird eine globale Administrator-E-Mail-Adresse konfiguriert, die von allen Diensten zum Senden von E-Mails verwendet

wird. Sie dient dann bei Problemen oder Notfällen für entsprechende Benachrichtigungen.Diese E-Mail-Adressen werden anschließend

von den Ereignisbenachrichtigungen verwendet.

Die folgenden drei Felder können konfiguriert werden:

Administrator Emailadresse

Eine gültige E-Mail-Adresse, an die die System-E-Mails gesendet werden sollen.

Absender Emailadresse

Eine gültige E-Mail-Adresse, die als Absenderadresse angezeigt wird. Eine benutzerdefinierte Absenderadresse ist nützlich,

wenn die Nachrichten von der Panda GateDefender-Appliance beim Empfänger gefiltert werden sollen.

Adresse des Smarthosts

Der SMTP-Server, über den die E-Mails gesendet werden sollen.

Tipp

Obwohl alle Felder leer gelassen werden können, empfiehlt es sich, zumindest eine gültige Administrator-E-Mail-Adresse anzugeben.

7/8 – Konfiguration übernehmen

In diesem Schritt wird mitgeteilt, dass die Netzwerkkonfiguration abgeschlossen ist und alle neuen Einstellungen gespeichert wurden.

Durch Klicken auf die Schaltfläche OK, Konfiguration übernehmen werden die Einstellungen gespeichert und die Konfiguration wird

angewendet, indem alle erforderlichen Dienste und Daemons neu gestartet werden.

8/8 – Beenden

Im letzten Schritt werden alle Konfigurationsdateien auf den Datenträger geschrieben und alle Geräte neu konfiguriert. Außerdem

werden die netzwerkabhängigen Dienste und Daemons (z. B. die Firewall und ntpd) bei Bedarf neu gestartet. Der Vorgang kann

insgesamt bis zu 20 Sekunden dauern. In dieser Zeit sind ggf. keine Verbindungen mit der Administrationsoberfläche und über die Panda

GateDefender-Appliance möglich.

Anschließend wird automatisch die Administrationsoberfläche neu geladen. Wurde die GRÜNE IP-Adresse geändert, wird die GUI unter

der geänderten Adresse geladen. Wenn dies der Fall ist oder der Hostname geändert wurde, wird ein neues SSL-Zertifikat zum

Identifizieren des neuen Hosts generiert.

Bemerkung

Bei einzelnen Änderungen der Netzwerkkonfigurationseinstellungen (z. B. Ändern des Hostnamens oder des Netzwerkbereichs einer

Zone) genügt es später, die Netzwerkkonfiguration zu starten, direkt zum relevanten Schritt zu navigieren, die entsprechenden Werte zu

bearbeiten und dann zum letzten Schritt zu wechseln und zu speichern.

Ereignisbenachrichtigungen

Bei einem wichtigen Ereignis auf der Panda GateDefender-Appliance (z. B. wenn eine Partition bald ausgelastet ist oder Updates

verfügbar sind) kann eine sofortige Benachrichtigung per E-Mail erfolgen, damit im Bedarfsfall umgehend Maßnahmen zur

Problemlösung ergriffen werden können.

Systeme, die den Hotspot unterstützen, verwenden außerdem SMS zur Aktivierung neuer Konten oder für den Erwerb neuer Tickets. Die

Seite enthält die folgenden drei Registerkarten: Einstellungen, SMS-Benachrichtigungen und Ereignisse.

Einstellungen

Die Standardregisterkarte dient zur Konfiguration der E-Mail-Benachrichtigungen:

Benachrichtigungen mailen

Auswahl aus einem Dropdown-Menü, wie das Benachrichtigungssystem verwendet werden soll. Folgende Optionen sind

verfügbar:

Es wird die Standard-Administrator-E-Mail-Adresse verwendet, die im Installations-Assistenten oder in Schritt 6 unter

Menüleiste –> System –> Netzwerkkonfiguration angegeben wurde.

Benachrichtigung an eine benutzerdefinierte Emailadresse: Es wird eine alternative E-Mail-Adresse für die E-Mail-

Benachrichtigungen verwendet. In diesem Fall müssen drei weitere Optionen konfiguriert werden, nämlich:

Absender Mailadresse

Die E-Mail Adresse, die als Absenderadresse angezeigt wird.

Empfänger Mailadresse

Die E-Mail Adresse, an welche die E-Mail-Nachricht geschickt wird.

Mail Smarthost

Der zum Versenden der E-Mail verwendete SMTP-Server.

nicht benachrichtigen: Es werden keine Benachrichtigungen versendet.

SMS

SMS-Benachrichtigungen werden vom Hotspot verwendet, um Konten oder Tickets zu aktivieren.

Das Feld ist in zwei Teile gegliedert: im oberen Teil ist es möglich SMS-Pakete hinzuzufügen, während im unteren Teil Informationen

über das SMS-Kontingent angezeigt werden.

Geben Sie den Activation Code ein ...

Zum Hinzufügen eines neuen SMS-Pakets muss dieses zunächst über die Panda Perimetral Management Console erworben

werden, wodurch ein Aktivierungscode generiert wird. Dieser Aktivierungscode muss in dieses Textfeld eingegeben werden.

Aktivieren

Nachdem Sie einen gültigen Aktivierungscode eingegeben haben, klicken Sie auf diese Schaltfläche, um ein SMS-Kontingent

hinzuzufügen, das für den Versand der Benachrichtigungen verwendet wird.

Verfügbare SMS

Die Anzahl der verfügbaren SMS.

Reservierte SMS

Die Anzahl der SMS, die bereits verwendet, aber noch nicht an den Empfänger zugestellt wurden. Dieser Fall kann

beispielsweise eintreten, wenn der Empfänger nicht erreichbar war.

Ereignisse

Auf dieser Registerkarte wird eine Liste aller Ereignisse angezeigt, durch die eine Benachrichtigung ausgelöst werden kann. Außerdem

können die Aktionen konfiguriert werden, die bei den Ereignissen jeweils ausgeführt werden sollen. Direkt über der Liste befindet sich

eine kleine Navigationsleiste sowie ein Suchfeld für das Filtern relevanter Elemente.

Die Liste enthält die folgenden drei Spalten:

ID

Der aus acht Ziffern bestehende ID-Code ABBCCCCD des Ereignisses. Dieser ist folgendermaßen aufgebaut:

A stellt die Schichtnummer dar, die angibt, in welcher Systemkomponente das Ereignis aufgetreten ist: 1

bedeutet Kernel, 2 das System selbst, 3 Dienste, 4 Konfigurationsebene und 5 die GUI.

BB ist die Modulnummer.

CCCC ist eine sequenzielle Nummer, die mit dem Ereignis verbunden ist.

D ist der Schweregrad des Ereignisses: Je niedriger der Wert ist, desto ungünstiger ist es: 0 ist ein

kritisches Ereignis, 4–5 sind neutral und 9 ist ein positives Ereignis.

Beschreibung

Eine Kurzbeschreibung des Ereignisses.

Aktionen

Die Aktionen, die für jedes Ereignis ausgeführt werden können. Alle E-Mail-Benachrichtigungen sind standardmäßig aktiviert

(symbolisiert durch ), können aber durch Klicken auf das E-Mail-Symbol in der entsprechenden Zeile für einzelne

Ereignisse deaktiviert werden (dadurch ändert sich das Symbol zu ). Durch nochmaliges Klicken auf das Symbol werden

die Benachrichtigungen erneut aktiviert. Nachdem Sie eine Aktion geändert haben, denken Sie daran, auf die Schaltfläche

Übernehmen zu klicken, die innerhalb des grünen Textfeldes über der Ereignisliste angezeigt wird.

Aktualisierungen

An dieser Stelle werden die Softwareupdates verwaltet. Es kann jederzeit manuell nach verfügbaren aktualisierten Paketen gesucht oder

eine regelmäßige Überprüfung festgelegt werden.

Auf dieser Seite befinden sich zwei Felder: In einem wird der derzeitige Status des Systems angezeigt, und in dem anderen kann eine

regelmäßige Prüfung auf Updates definiert werden.

Status

Das Feld Status zeigt an, ob der Computer Aktualisierungen benötigt oder nicht. Ist dies der Fall, wird eine Liste verfügbarer Pakete

angezeigt. Falls nicht, wird die Meldung „Ihre Panda GateDefender-Appliance ist auf dem aktuellen Stand!” angezeigt. Außerdem

informieren zusätzliche Meldungen über das Datum und die Uhrzeit der letzten Prüfung auf Aktualisierungen, und wann das letzte

Upgrade durchgeführt wurde. Folgende Optionen stehen zur Auswahl:

Prüfe auf neue Aktualisierungen!

Es wird eine manuelle Überprüfung auf aktualisierte Pakete gestartet, und gefundene Pakete werden aufgeführt. Einzelne

Pakete können zur Installation aus der Liste ausgewählt werden.

Beginne Aktualisierung JETZT!

Der Aktualisierungsvorgang wird gestartet: Vom System werden die aktualisierten Pakete heruntergeladen und installiert,

wobei die älteren Pakete ersetzt werden.

Bemerkung

Für die Überprüfung auf Updates ist eine gültige Wartungsvereinbarung erforderlich. Andernfalls werden auch verfügbare Updates nicht

angezeigt.

Terminplan zum Runterladen der Liste der vorhandenen Updates

Im Feld Terminplan kann ein regelmäßiger Job eingerichtet werden, durch den die Liste der aktualisierten Pakete abgerufen wird. Dieser

Job wird vom Cron-Daemon geregelt. Dieser kann entweder stündlich, täglich, wöchentlich oder monatlich ausgeführt werden. Wird der

Mauszeiger über das kleine ? neben einer Option geführt, wird der genaue Zeitpunkt des Jobs als Tooltip angezeigt.

Support

Auf dieser Seite können Sie die Anfragen an den Panda Support senden, wenn Sie Hilfe benötigen.

Bemerkung

Um eine Anfrage an den Support zu übermitteln, muss Ihr System in der Panda Perimetral Management Console registriert sein. Falls

nicht, wird die Meldung „Derzeit ist kein laufender Wartungsvertrag verfügbar.” angezeigt.

Die Seite ist in zwei Bereiche unterteilt: Der erste Bereich enthält einen Link, um die Homepage des Supports zu öffnen und im zweiten

es ist möglich, den SSH-Zugriff für den Support zu ermöglichen.

Support-Portal besuchen

Dieses Feld beinhaltet nur den Link zur Homepage des Supports.

Bitte besuchen Sie unser Support-Portal

Durch Klicken auf diesen Link öffnet sich im Browser eine neue Registerkarte, in der Sie Anweisungen dazu finden, wie Sie

eine Anfrage an den Support übermitteln können.

Zugang zum Panda Support-Team

Optional können Sie den Zugriff auf die Firewall über SSH gewähren, eine sichere, verschlüsselte Verbindung, mit der sich ein Mitglied

des Supports in die Panda GateDefender-Appliance einloggen und herauszufinden kann, wo das Problem liegt. Das Feld enthält eine

informative Meldung, den Zugriffsstatus, der entweder NICHT ERLAUBT oder ERLAUBT ist. Wenn der Status NICHT ERLAUBT ist, wird

eine Schaltfläche am unteren Rand des Feldes angezeigt:

Zugriff erlauben

Durch Klicken auf diese Schaltfläche erhält das Supportteam 4 Tage Zugriff auf die Panda GateDefender-Appliance.

Wenn der Support-Zugriff erlaubt ist, wird eine neue Meldung unter der Statusmeldung angezeigt: Zugriff erlaubt bis: gefolgt von Datum

und Uhrzeit, zu dem/der der Zugriff auf die Panda GateDefender-Appliance widerrufen wird. Zusätzlich werden am unteren Rand des

Feldes zwei Schaltflächen angezeigt.

Zugriff verweigern

Damit widerrufen Sie unverzüglich den gestatteten Zugriff auf die Panda GateDefender-Appliance.

Zugriff für vier weitere Tage verlängern

Wenn der technische Support mehr Zeit für die Untersuchung des Panda GateDefender-Appliance benötigt, gestattet ein

Klick auf diese Schaltfläche den Zugriff für weitere vier Tage.

Bemerkung

Wenn diese Option aktiviert ist, wird der öffentliche SSH-Schlüssel des technischen Supports in das System kopiert und der Zugriff wird

über diesen Schlüssel gestattet. Das technische Support-Team wird sich nicht mit Benutzername/Kennwort auf der Panda

GateDefender-Appliance authentifizieren. Das Root-Kennwort der Panda GateDefender-Appliance wird dem Support-Team niemals

mitgeteilt.

Panda Perimetral Management Console

Bei der Panda Perimetral Management Console, oder kurz „Perimetral Console“, handelt es sich um eine Lösung von Panda, mit der alle

registrierten Panda GateDefender-Appliance-Systeme mit nur wenigen Klicks zentral und bequem überwacht, verwaltet und aktualisiert

werden können.

Die Seite ist in zwei Registerkarten unterteilt: Abonnements und Fernzugriff.

Abonnement

Wenn die Firewall noch nicht bei der Panda Perimetral Management Console registriert wurde, wird das Registrierungsformular

angezeigt. Dieses kann vor Absenden der Registrierungsanfrage ausgefüllt werden. Nach Abschluss der Registrierung werden auf der

Registerkarte „Abonnements“ die folgenden drei Felder angezeigt:

Systeminformationen

In diesem Feld werden Basisdaten zur Panda GateDefender Appliance angezeigt: die Seriennummer, der Aktivierungscode, das

Appliance-Modell sowie das ausgewählte Wartungspaket.

Registrierungsstatus

In diesem Feld wird eine Zusammenfassung des Support-Status der Panda Perimetral Management Console angezeigt: der

Systemname, die Organisation, für die die Panda GateDefender-Appliance registriert ist, die System-ID und das Datum des letzten

Updates.

Ihre Aktivierungsschlüssel

Für das Empfangen von Updates und die Nutzung der Panda Perimetral Management Console ist mindestens ein gültiger (d. h. ein nicht

bereits abgelaufener) Aktivierungsschlüssel erforderlich. Für jeden Supportkanal wird ein Schlüssel mit dem Gültigkeitszeitraum und den

verbleibenden Tagen der Wartungsvereinbarung angezeigt. In der Regel handelt es sich aber jeweils um denselben Schlüssel. Ein

abgelaufener Schlüssel wird durch einen durchgestrichenen Kanalnamen und die Zeichenfolge abgelaufen in der entsprechenden Spalte

Tage verbleibend angezeigt.

Fernzugriff

Auf der Registerkarte „Fernzugriff“ kann ausgewählt werden, ob und ggf. mithilfe welches Protokolls die Panda GateDefender-Appliance

über die Panda Perimetral Management Console erreichbar ist. Durch Klicken auf den grauen Schalter oben auf der Seite

wird der Zugriff erlaubt. Der Schalter wird daraufhin blau und die beiden folgenden Zugriffsoptionen können durch Aktivieren des

entsprechenden Kontrollkästchens ausgewählt werden:

Aktiviere HTTPS Zugang

Die Panda GateDefender-Appliance ist über die Weboberfläche erreichbar.

Aktiviere SSH Zugriff

Die Anmeldung bei der Panda GateDefender-Appliance über eine sichere Shell ist erlaubt. Durch Aktivieren dieser Option

wird automatisch der SSH Zugang aktiviert.

Passwörter

Auf dieser Seite können die Passwörter der drei Standardbenutzer geändert werden. Dafür wird ein Passwort zweimal eingegeben und

anschließend auf die Schaltfläche Passwort ändern geklickt:

Admin

Der Benutzer, der zur Verwaltung die Weboberfläche verwenden kann.

Einwahl

Ein spezieller Benutzer, dessen Zugriff auf die Oberfläche eingeschränkt ist und der nur Uplinks verwalten kann.

Root

Der Benutzer, der sich zur Verwaltung bei der Shell anmelden kann. Die Anmeldung kann entweder über die serielle Konsole

oder mithilfe eines Remote-SSH-Clients erfolgen.

Tipp

Passwörter müssen mindestens 6 Zeichen lang sein.

Web-Konsole

Von der Webkonsole wird ein Terminal als Applet im Browserfenster bereitgestellt, das als CLI zum Ausführen von Verwaltungsaufgaben

dient.

Die Funktionen der Webkonsole sind identisch mit denen, die bei Anmeldung über die serielle Konsole oder SSH vorhanden sind. Links

unten im Applet wird der Konsolenstatus angezeigt: Verbunden oder Getrennt. Sie können die Konsole jederzeit durch Eingeben von exit

und Drücken der Taste Eingabe auf der Tastatur wie bei jeder normalen Konsole beenden.

Ist die Konsole getrennt, kann sie durch nochmaliges Klicken auf den Untermenüpunkt Web Konsole wieder verbunden werden. Rechts

unten im Applet werden zwei Links angezeigt:

Virtuelle Tastatur einschalten:

Durch Klicken auf diesen Link wird ein Tastatur-Applet unterhalb der Konsole angezeigt, das verwendet werden kann, um Befehle

durch Klicken mit der Maus auf die verschiedenen Tasten einzugeben und auszuführen.

Hinweis

Wenn die Webkonsole getrennt ist, kommuniziert dieses Applet nicht mit der Konsole.

Eingabe deaktivieren

Dieser Link ermöglicht ein Umschalten der Möglichkeit, Eingaben von der Tastatur an die Webkonsole zu senden.

Tipp

Diese Option hat keine Auswirkungen auf die virtuelle Tastatur.

SSH-Zugang

Auf dieser Seite kann der Remote-SSH-Zugang für die Panda GateDefender-Appliance aktiviert werden. Standardmäßig ist dieser

deaktiviert (empfohlen). Auf der Seite befinden sich zwei Felder: Secure Shell Zugangseinstellungen und SSH Host Schlüssel.

Secure Shell Zugangseinstellungen

Durch Klicken auf den grauen Schalter wird der SSH-Zugang aktiviert. Der SHH-Dienst wird gestartet, und einige Sekunden später

werden die folgenden Konfigurationsoptionen angezeigt:

Beispiel SYS-1 – Tunneln von Datenverkehr über SSH:

Für dieses Beispiel wird davon ausgegangen, dass ein Dienst wie z. B. Telnet (oder ein anderer Dienst, der über SSH getunnelt werden

kann) auf einem Computer innerhalb der GRÜNEN Zone ausgeführt wird. Der verwendete Port ist Port 23, der Hostname ist myhost, und

die IP-Adresse lautet 10.0.0.20. Es soll ein SSH-Tunnel über die Panda GateDefender-Appliance eingerichtet werden, um von außerhalb

des LAN, d. h. aus der ROTEN Zone, sicher auf den Dienst zugreifen zu können. Obwohl ein Zugriff auf GRÜN von der ROTEN

Schnittstelle im Allgemeinen nicht empfohlen wird, kann es in einigen Fällen, z. B. während der Testphase eines Diensts, nützlich sein:

1. Aktivieren Sie SSH und ermöglichen Sie den Zugriff auf den Host, indem Sie unter Menüleiste ‣ Firewall ‣ Systemzugriff die

Firewall so konfigurieren, dass myhost von außerhalb erreichbar ist.

2. Stellen Sie von einem externen System eine Verbindung mit der Panda GateDefender-Appliance her, indem Sie den Befehl

ssh -N -f -L 12345:10.0.0.20:23 root@appliance verwenden. Durch -N wird SSH angewiesen, keine Befehle auszuführen,

sondern lediglich den Datenverkehr weiterzuleiten. Durch -f wird SSH im Hintergrund ausgeführt, und durch -L

12345:10.0.0.20:23 wird der Port 12345 des externen Systems dem Port 23 von myhost zugeordnet, wie er

für die Panda GateDefender-Appliance sichtbar ist.

3. Der SSH-Tunnel zwischen Port 12345 des externen Systems und Port 23 von myhost ist nun eingerichtet. Um myhost zu

erreichen, muss nun auf dem externen System nur noch Port 12345 des Localhost per Telnet angesprochen werden.

Version 1 des SSH-Protokolls

Diese Option wird nur für ältere SSH-Clients benötigt, von denen neuere Versionen des SSH-Protokolls nicht unterstützt werden.

Warnung

Von der Aktivierung von SSH Version 1 wird dringend abgeraten, da diese veraltet ist und nicht mehr gepflegt wird. Sie enthält

bekannte Sicherheitsrisiken, die durch böswillige Benutzer ausgenutzt werden können. SSH-Clients sollten heutzutage stets Version 2

von SSH verwenden, die sicherer und zuverlässiger ist.

Erlaube TCP Weiterleitung

Durch Aktivieren dieser Option werden andere Protokolle über SSH getunnelt. Siehe Beispiel SYS-1 für einen

Anwendungsfall.

Passwortbasierte Authentifizierung zulassen

Zulassen der Anmeldung mithilfe von Passwortauthentifizierung.

Authentifizierung auf Basis öffentlicher Schlüssel zulassen

Zulassen der Anmeldung mithilfe öffentlicher Schlüssel. Die öffentlichen Schlüssel der Clients, die sich per Authentifizierung

mit Schlüssel anmelden können, müssen der Datei /root/.ssh/authorized_keys hinzugefügt

werden.geprüft werden.

Speichern

Klicken Sie im unteren Seitenbereich auf diese Schaltfläche, um die Einstellungen der vier vorherigen Optionen zu speichern.

Bemerkung

Der SSH-Zugang wird automatisch aktiviert, wenn mindestens eine der folgenden Optionen festgelegt wurde:

Der Zugriff für das Panda Supportteam wurde unter Menüleiste ‣ System ‣ Support zugelassen.

Die Hochverfügbarkeit wurde unter Menüleiste ‣ Dienste ‣ Hochverfügbarkeit aktiviert.

Der SSH-Zugang wurde unter Menüleiste ‣ System ‣ Perimetral Console ‣ Fernzugriff zugelassen.

SSH Host Schlüssel

In einem Feld unten auf der Seite werden die öffentlichen SSH-Host-Schlüssel der Panda GateDefender-Appliance, die beim ersten

Starten des openSSH-Servers generiert wurden, mit ihrem jeweiligen Fingerabdruck und der Größe in Bits angezeigt.

GUI-Einstellungen

An dieser Stelle sind zwei Konfigurationsoptionen für die GUI vorhanden. Die erste Option ist die Auswahl der Sprache, die für die

Namen der Abschnitte, die Beschriftungen und alle sonstigen Texte der Weboberfläche verwendet wird. Sie erfolgt aus einem Dropdown-

Menü. Die momentan unterstützten Sprachen sind: Englisch, Deutsch, Italienisch, Chinesisch (vereinfacht), Japanisch, Portugiesisch,

Russisch, Spanisch und Türkisch.

Mit der zweiten Option kann durch Aktivieren des Kontrollkästchens Hostname im Fenstertitel anzeigen der Hostname der Panda

GateDefender-Appliance im Fenstertitel des Browsers angezeigt werden.

Datensicherung

In diesem Abschnitt werden die Datensicherungen verwaltet: Erstellen von Sicherungen der aktuellen Panda GateDefender-Appliance-

Konfiguration und erforderlichenfalls Zurücksetzen des Systems auf eine dieser Sicherungen. Datensicherungen können lokal auf dem

Panda GateDefender-Appliance-Host, auf einem USB-Stick oder durch Herunterladen auf eine Workstation gespeichert werden.

Außerdem ist es möglich, die Konfiguration auf die Werkseinstellungen zurückzusetzen, vollständig automatisierte Sicherungen zu

erstellen und zahlreiche weitere Verwaltungsaufgaben für Datensicherungen auszuführen.

Der Abschnitt ist in zwei Registerkarten unterteilt: Datensicherung und geplante Datensicherungen. Die erste dient dem Verwalten

manueller Datensicherungen und die zweite dem Einrichten automatischer, geplanter Datensicherungen.

Datensicherung

Auf der Registerkarte Datensicherung befinden sich vier Felder, in denen die manuellen Datensicherungen verwaltet werden können.

Datensicherungssätze

Das erste Feld enthält eine Liste der manuellen und geplanten Datensicherungen, die auf der Panda GateDefender-Appliance

gespeichert sind, eine Option zum Erstellen einer neuen Datensicherung und die Legende zu den begleitenden Symbolen. Wenn ein

USB-Stick an die Panda GateDefender-Appliance angeschlossen ist und erkannt wurde, werden auch darauf gespeicherte

Datensicherungen angezeigt.

Beim Klicken auf die Schaltfläche Neue Datensicherung durchführen wird ein Dialogfeld geöffnet, in dem die zu sichernden Daten

ausgewählt werden:

Aktuelle Konfiguration

Die Datensicherung umfasst alle Konfigurationseinstellungen einschließlich aller bisherigen Änderungen und Anpassungen, d.

h. den vollständigen Inhalt des Verzeichnisses /var/efw.

Konfiguration und Datenbankinhalt einschließen

Der Inhalt der Datenbank wird ebenfalls gesichert.

Warnung

Die Datenbank kann sensible Daten enthalten. Daher muss eine Datensicherung, die den Datenbankinhalt umfasst, unbedingt an

einem sicheren Ort gespeichert werden.

Logs aufnehmen

Einschließen der aktuellen Protokolldateien (z. B. /var/log/messages). Protokolldateien der vorherigen Tage

werden nicht eingeschlossen.

Log Archive aufnehmen

Zusätzliches Einschließen älterer, rotierter Protokolldateien (z. B. /var/log/messages.YYYYMMDD.gz).

Nach einiger Zeit können Datensicherungen, die mit dieser Option erstellt werden, sehr umfangreich sein.

Anmerkung

Ein Kommentar zu der Datensicherung, der in der Tabellenspalte Anmerkung angezeigt wird. Er sollte daher aussagekräftig

genug sein, um ihren Inhalt in Erinnerung zu rufen.

Zum Erstellen einer neuen Datensicherung muss mindestens eines der Kontrollkästchen aktiviert sein.

Format und Name der Sicherungsdateien:

Sicherungsdateien werden als Archive im Format tar.gz mithilfe der standardmäßigen Linux-Tools tar und gzip erstellt. Die im Archiv

gespeicherten Dateien können entweder mithilfe von tar zxf archivname.tar.gz oder tar vzxf archivname.tar.gz extrahiert werden, um

alle verarbeiteten Dateien und einige Informationen auf dem Bildschirm anzuzeigen. Die Option v bedeutet hierbei ausführlich. Der Name

der Sicherungsdatei ist eindeutig und beinhaltet die maximale Informationsmenge über den Inhalt. Daher kann es zu sehr lange

Zeichenfolgen kommen, z. B. backup-20130208093337-myappliance.mydomain-settings-db-logs-logarchive.tar.gz, wobei

20130208093337 dem Zeitstempel bei Erstellung der Sicherung im Format JJJJMMTTHHMMSS entspricht – in diesem Beispiel:

8. Februar 2013 um 09:33:37 Uhr. Durch diese Auswahl werden die Sicherungen lexikografisch von der ältesten zur neuesten geordnet.

myappliance.mydomain bezeichnet den Hostnamen und Domänennamen der Panda GateDefender-Appliance, wie sie in Schritt 3 der

Netzwerkkonfiguration (Menüleiste ‣ System ‣ Netzwerkkonfiguration) festgelegt wurden. settings-db-logs-logarchive bezeichnet den

Inhalt der Sicherung. In diesem Fall handelt es sich um eine vollständige Sicherung, da alle vier Bestandteile im Namen angezeigt

werden. Eine Sicherung, die nur Einstellungen und Protokolle enthält, wird beispielsweise durch die Zeichenfolge settings-logs

identifiziert.

Zum Erstellen einer Datensicherung auf einem externen USB-Laufwerk (USB-Stick), muss ein USB-Laufwerk mit der Panda

GateDefender-Appliance verbunden sein. Es wird empfohlen, als Dateisystem FAT32/VFAT zu verwenden, da dadurch die

Übertragbarkeit auf andere Systeme verbessert wird. Wenn der USB-Stick erkannt wurde, werden auf der rechten Seite des Felds die

Meldung USB Stick gefunden und die neue Option Backup auf USB Stick erstellen angezeigt. Zum Speichern der Datensicherung auf

dem USB-Stick muss das Kontrollkästchen neben dieser Option aktiviert sein.

Durch Klicken auf die Schaltfläche Backup erzeugen wird die Datensicherung erstellt. Nach einer kurzen Zeit für das Zusammentragen

und Archivieren der erforderlichen Dateien wird die neue Datensicherung in der Liste angezeigt. Nach Abschluss des

Sicherungsvorgangs wird ein gelber Hinweis oberhalb des Feldes mit der Meldung Datensicherung erfolgreich abgeschlossen angezeigt.

In der zunächst leeren Liste der verfügbaren Datensicherungen werden jeweils das Erstellungsdatum, der Inhalt anhand eines

Buchstabenschlüssels, die Anmerkung und die Liste der Aktionen angezeigt, die für die Datensicherungsdatei verfügbar sind.

Automatische Datensicherungen werden mit der Zeichenfolge Automatische Datensicherung vor Upgrade markiert.

Der Inhalt einer Datensicherung wird gemäß den Optionen, die während der Erstellung ausgewählt wurden, durch mindestens eines der

folgenden Zeichen angegeben:

A: Archiv. Die Datensicherung enthält archivierte Protokolldateien.

C: Cron. Die Datensicherung wurde durch einen geplanten Datensicherungsjob automatisch erstellt.

D: Datenbankinhalt. Die Datensicherung enthält den Datenbankinhalt.

E: Verschlüsselt. Die Datensicherungsdatei ist verschlüsselt.

L: Protokolldateien. Die Datensicherung enthält die heutigen Protokolldateien.

S: Einstellungen. Die Datensicherung enthält die Konfigurationen und Einstellungen.

U: USB. Die Datensicherung wurde auf einem USB-Stick gespeichert.

!: Fehler. Etwas ist beim Senden der Sicherungsdatei per E-Mail fehlgeschlagen.

Die verfügbaren Aktionen sind: Exportieren eines Archivs auf die lokale Workstation , Löschen eines Archivs und

Wiederherstellen eines Archivs auf der Panda GateDefender-Appliance.

Datensicherungsarchive verschlüsseln

Im zweiten Feld können alle Datensicherungen mit einem öffentlichen GPG-Schlüssel verschlüsselt werden. Wählen Sie den GPG-

Schlüssel durch Klicken auf die Schaltfläche Datei auswählen, um die Schlüsseldatei vom lokalen Dateisystem hochzuladen. Wenn das

Kontrollkästchen Datensicherungsarchive verschlüsseln aktiviert ist, wird die Auswahl durch Klicken auf Speichern bestätigt und die

Schlüsseldatei hochgeladen.

Tipp

Verschlüsseln Sie Sicherungsarchive, wenn Sicherungsdateien empfindliche Daten enthalten wie z. B. Passwörter von Benutzern, die in

der Datenbank gespeichert sind, Benutzerdaten für den Hotspot oder Rechnungsinformationen.

Datensicherungsarchiv importieren

Im dritten Feld kann ein zuvor gespeichertes Datensicherungsarchiv in die Panda GateDefender-Appliance hochgeladen werden. Dieses

wird durch Klicken auf die Schaltfläche Datei auswählen und Auswählen der entsprechenden Datei im lokalen Dateisystem angegeben.

Im Feld Anmerkung kann optional eine Notiz zu der Datensicherung eingegeben werden. Durch Klicken auf die Schaltfläche Importieren

wird die Datensicherung schließlich hochgeladen. Nach kurzer Zeit wird sie in der Liste der Datensicherungen oben auf der Seite

angezeigt und kann durch Klicken auf das Symbol wiederhergestellt werden.

Hinweis

In die Panda GateDefender-Appliance können keine verschlüsselten Datensicherungen importiert werden. Diese müssen vor dem

Hochladen entschlüsselt werden.

Konfiguration auf Werkseinstellungen zurücksetzen und dann neu starten

Im vierten Feld können alle bisherigen Konfigurationen und Einstellungen gelöscht werden, indem das System mit der

Standardkonfiguration neu gestartet wird. Dies geschieht durch Klicken auf die Schaltfläche Werkseinstellungen: Nachdem eine

automatische Sicherungskopie der aktuellen Einstellungen gespeichert wurde, wird die Konfiguration auf die Werkseinstellungen

zurückgesetzt und die Panda GateDefender-Appliance umgehend neu gestartet.

Geplante Datensicherungen

Auf der Registerkarte Geplante Datensicherungen können automatische Datensicherungen des Systems aktiviert und konfiguriert

werden. Die Registerkarte enthält zwei Felder:

Zeitgesteuerte automatische Datensicherung

Im ersten Feld werden automatische Datensicherungen aktiviert und konfiguriert. Sind sie aktiviert, können die Elemente der Panda

GateDefender-Appliance, die in die Datensicherung eingeschlossen werden sollen, wie bereits im Feld Datensicherungssätze der

anderen Registerkarte ausgewählt werden. Der einzige Unterschied besteht darin, dass bei geplanten Sicherungen keine Möglichkeit

besteht, Anmerkungen zu machen. Zusätzliche Optionen sind:

Aktiviert

Geplante Sicherungen aktivieren

Anzahl Archive in Aufbewahrung

Wählen Sie aus dem Dropdown-Menü, wie viele Sicherungen auf der Panda GateDefender-Appliance gehalten werden sollen

(2 bis 10, diese können jedoch exportiert werden, um Speicherplatz zu sparen).

Zeitplan für automatische Datensicherungen

Die Häufigkeit von Sicherungen: stündlich, täglich, wöchentlich oder monatlich.

Menü „System“

31

Schicke Datensicherung als Mail

Im zweiten Feld kann konfiguriert werden, ob das System die Datensicherungen per E-Mail senden soll. Folgende Optionen stehen zur

Verfügung:

Aktiviert

Ermöglicht das Senden von Sicherungen via E-Mail.

Emailadresse des Empfängers

Die E-Mail-Adresse, an welche die E-Mail mit der Sicherung gesendet wird.

Emailadresse des Absenders

Die als Absender angezeigte E-Mail-Adresse. Dies ist hilfreich, wenn bei Sicherungen angezeigt werden soll, ob diese von

einer bestimmten Adresse stammen (z. B. [email protected]). Sie muss angegeben werden, wenn

die Domäne oder der Hostname nicht vom DNS aufgelöst werden kann.

Adresse die als Smarthost verwendet werden soll

Die Adresse eines Smarthost zum Versenden der E-Mails ist erforderlich, wenn die ausgehenden E-Mails über einen SMTP-

Server (z. B. den des Unternehmens) anstatt direkt von der Panda GateDefender-Appliance geleitet werden sollen.

Tipp

Die explizite Adresse eines Smarthost ist erforderlich, wenn der SMTP-Proxy (Menüleiste -> Proxy -> SMTP) deaktiviert ist.

Datensicherungsarchiv jetzt senden

Mithilfe dieser Schaltfläche werden die Einstellungen gespeichert, und es wird ein sofortiger Versuch unternommen, eine E-

Mail mit der angehängten Datensicherungsdatei zu senden. Auf diese Weise kann gleichzeitig die Korrektheit der Daten

überprüft werden.

Herunterfahren

Auf dieser Seite kann die Panda GateDefender-Appliance durch Klicken auf die Schaltfläche Herunterfahren bzw. Neustart

heruntergefahren oder neu gestartet werden.

Warnung

Das Herunterfahren oder der Neustart wird durch Klicken auf die entsprechenden Schaltflächen ohne weitere Bestätigungsaufforderung

sofort gestartet.

Nach einem Neustart ist es möglich, die Benutzeroberfläche ohne Authentifizierung zu nutzen.

Lizenzbestimmungen

In diesem Abschnitt wird die Lizenzvereinbarung zwischen Panda und dem Besitzer der Panda GateDefender-Appliance angezeigt.

Bemerkung

Ändert sich nach einem Upgrade die Lizenzvereinbarung, muss bei der ersten Anmeldung die neue Lizenzvereinbarung angenommen

werden, bevor auf das aktualisierte System zugegriffen wird und die Panda GateDefender-Appliance verwendet werden kann.

Menü „Status“ Menü „Status“

Das Menü „Status“ bietet eine Reihe von Seiten mit Informationen in grafischer bzw. in Textform zu verschiedenen Daemons, die auf der

Panda GateDefender-Appliance ausgeführt werden. In diesem Modul sind keine Konfigurationsoptionen verfügbar. Es wird nur der

aktuelle Status der Panda GateDefender-Appliance angezeigt.

Über die folgenden Elemente im Untermenü links im Bildschirm werden detaillierte Informationen zu einigen Funktionen der Panda

GateDefender-Appliance zur Verfügung gestellt:

Systemstatus – Dienste, Ressourcen, Betriebszeit, Kernel

Netzwerkstatus – Konfiguration von Netzwerkschnittstellen, Routingtabellen, ARP-Cache

Systemdiagramme – Diagramme zum Ressourcenverbrauch

Netzwerkdiagramme – Diagramme zur Bandbreitennutzung

Proxydiagramme – Diagramm der HTTP-Proxy-Zugriffsstatistiken der letzten 24 Stunden (Woche, Monat und Jahr)

Verbindungen – Liste der offenen TCP/IP-Verbindungen

OpenVPN-Verbindungen – Liste der OpenVPN-Verbindungen

SMTP Mailstatistik – Diagramm zum SMTP-Dienst.

Mail Queue – E-Mail-Warteschlange der SMTP-Server

Systemstatus

Durch Klicken auf Menüleiste ‣ Status wird die Seite Systemstatus angezeigt. Sie bietet in verschiedenen Feldern einen kurzen Überblick

zu folgenden Komponenten: laufende Dienste, Speicher, Festplattenbelegung, Betriebszeit und Benutzer, geladene Module und Kernel-

Version. Im oberen Seitenbereich befinden sich Hyperlinks zu den einzelnen Feldern. Die entsprechenden Informationen werden in den

einzelnen Feldern weiter ausgeführt, wobei es sich in der Regel um die Ausgabe bestimmter Linux-Befehle handelt.

Dienste

Der Status (Angehalten oder Läuft – markiert durch ein grünes bzw. rotes Quadrat) der auf der Panda GateDefender-Appliance

installierten Dienste wird hier angezeigt. Ein Dienst kann unter dem Status ANGEHALTEN angezeigt werden, wenn der entsprechende

Daemon bzw. das entsprechende Skript nicht aktiviert ist.

Speicher

Die Ausgabe des Linux-Befehls free liefert die hier angezeigten Daten. Sämtliche Daten werden mit ihrer tatsächlichen Datenmenge in

Kilobyte angegeben. Ein Balken illustriert die Speichernutzung. Die erste Zeile zeigt den gesamten verwendeten Arbeitsspeicher an,

wobei ein Wert nahe 100 % bei einem System mit langer Betriebsdauer normal ist, da der Linux-Kernel sämtlichen verfügbaren RAM als

Zwischenspeicher für die Festplatte nutzt, um Lese- und Schreibvorgänge zu beschleunigen. In der zweiten Zeile wird der momentan von

Prozessen genutzte Speicher angezeigt: Idealerweise sollte dieser Wert unter 80 % liegen, um verfügbaren Speicher zum

Zwischenspeichern für die Festplatte freizuhalten. Wenn sich dieser Wert der 100-%-Marke annähert, wird das System verlangsamt, da

aktive Prozesse auf die Festplatte ausgelagert werden müssen. Wenn die Speicherauslastung längere Zeit über 80 % liegt, sollte RAM

hinzugefügt werden, um die Leistung zu steigern. Der dritte Balken veranschaulicht die Nutzung der Swap-Partition. Für ein System mit

langer Betriebsdauer ist eine moderate Nutzung der Swap-Partition normal (der Wert sollte unter 20 % liegen), insbesondere wenn nicht

alle Dienste gleichzeitig laufen.

Festplattenbelegung

Die Ausgabe des Linux-Befehls df zeigt die Festplattengeräte – physische Laufwerke und Partitionen, deren Bereitstellungspunkt und

den Speicherplatz jeder Partition. Abhängig vom Typ der Panda GateDefender-Appliance unterscheiden sich die in diesem Feld

angezeigten Daten. In der Regel sind dies:

Die Hauptfestplatte /dev/hda1,

Die Datenfestplatte /dev/mapper/local-var,

Die Konfigurationsplatte /dev/mapper/local-config, auf der sämtliche Einstellungen der Panda

GateDefender-Appliance gespeichert sind,

Die Protokollplatte /dev/mapper/local-log,

Der gemeinsame Speicher, /dev/shm/.

Hinweis

Die Daten- und Protokollplatte wachsen mit der Zeit, daher sollte genug Speicherplatz für diese reserviert sein – besonders für die

Protokollplatte. Beachten Sie außerdem, dass Festplatten nie zu mehr als 95 % belegt sein sollten, da dies das korrekte Arbeiten des

Systems behindern kann.

Betriebszeit und Benutzer

In diesem Feld wird die Ausgabe des Linux-Befehls w angezeigt. Folgende Informationen werden hier angegeben: aktuelle Zeit,

Betriebszeit des Systems seit dem letzten Neustart, Zahl der momentan beim System angemeldeten Konsolenbenutzer (normalerweise

sollte diese Zahl bei Null liegen) und die durchschnittliche Systembelastung während der letzten Minute sowie den letzten 5 und

15 Minuten. Falls ein Konsolenbenutzer auf dem System angemeldet ist, werden zusätzlich einige Informationen über den Benutzer

angezeigt (wie z. B. der Remote-Host, von dem aus dieser angemeldet ist, oder was dieser ausführt). Weitere Informationen finden Sie

auf Seite w(1) des Handbuchs.

Geladene Module

Die Ausgabe des Linux-Befehls lsmod: Zeigt die aktuell im Arbeitsspeicher geladenen Kernel-Module an. Diese Informationen sind nur

für fortgeschrittene Benutzer von Nutzen.

Kernelversion

Die Ausgabe des Linux-Befehls uname -r zeigt die aktuelle Kernelversion an.

Netzwerkstatus

Diese Seite enthält verschiedene Informationen zum Betriebszustand der Netzwerkschnittstellen. Vier Felder sind auf dieser Seite

vorhanden, und wie für den Systemstatus werden für den Schnellzugriff Hyperlinks am oberen Rand der Seite bereitgestellt. Die

folgenden Informationen in den Feldern repräsentieren die Ausgabe verschiedener Shell-Befehle.

Schnittstellen

Im ersten Feld wird die Ausgabe des Befehls ip addr show angezeigt. Diese beinhaltet die zu jeder Netzwerkschnittstelle gehörende

MAC- bzw. IP-Adresse sowie zusätzliche Kommunikationsparameter. Die aktiven Schnittstellen werden in der Farbe der ihnen

zugeordneten Zone markiert. Bei diesen Schnittstellen kann es sich um Ethernet-Schnittstellen, Brücken oder virtuelle Geräte handeln.

NIC status

An dieser Stelle werden die aktuell ausgeführten Konfigurationen und Kapazitäten der angezeigten Netzwerkkarten (NIC) dargestellt.

Jede Schnittstelle wird in der Farbe der ihr zugeordneten Zone markiert. Mit der Bezeichnung [Link OK] wird angezeigt, dass die

Schnittstelle in Betrieb ist. Schnittstellen, die nicht verwendet werden, erhalten die Bezeichnung ‚[NO Link]‘. Der Befehl für die Ausgabe

lautet ip link show.

Routingtabelleneinträge

Die vom Befehl route -n bereitgestellte Kernel-Routingtabelle. In der Regel sollte eine Zeile pro aktiver Schnittstelle zur Verfügung

stehen, die den Datenverkehr in den von der Panda GateDefender-Appliance unterstützten Zonen ordnungsgemäß leitet, sowie eine

Standardroute (zu erkennen am Feld „0.0.0.0 Destination“), die dem Datenverkehr den Zugang zum Internet ermöglicht.

ARP Tabelleneinträge

Im letzten Feld wird die Ausgabe des Befehls arp -n und die Tabelle ARP angezeigt. Diese beinhaltet die zu jeder bekannten IP-Adresse

im lokalen Netzwerk gehörende MAC-Adresse.

Systemdiagramme

Die auf dieser Seite angezeigten Diagramme veranschaulichen die Ressourcennutzung während der letzten 24 Stunden: CPU, Speicher,

Swap und Festplattenbelegung. Zu allen Ressourcen wird eine Legende mit den im Diagramm enthaltenen Daten bereitgestellt.

Außerdem erhalten Sie Informationen zur farblichen Zuordnung und eine Zusammenfassung des maximalen, durchschnittlichen und

aktuellen Nutzungsprozentsatzes. Darüber hinaus wird eine Meldung angezeigt, die Sie über den Zeitpunkt und das Datum der letzten

Aktualisierung der Diagramme informiert, was dem letzten Zugriff auf diese Seite entspricht.

Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Nutzungsdiagramme vom letzten Tag, der

letzten Woche sowie des letzten Monats und Jahres geöffnet. Klicken Sie auf diesen Seiten auf die Schaltfläche ZURÜCK, um zur

vorherigen Seite zurückzukehren.

Hinweis

Die Zeichenfolge nan (kurz für „Not a Number“), die in den Zusammenfassungen angezeigt werden kann, gibt an, dass es nicht

genügend Daten zum Berechnen der Nutzung der ausgewählten Ressource gibt. Sie kann z. B. in „Verwendung pro Jahr“ auftreten,

wenn die Panda GateDefender-Appliance nur für einige Wochen benutzt wurde.

CPU Diagramm:

In diesem Feld wird die tägliche CPU-Verwendung der Panda GateDefender-Appliance angezeigt, gemessen in Prozent der

verwendeten CPU-Zeit durch die verschiedenen Prozesse. Die Ausgabe wird durch den Befehl top bereitgestellt. Verschiedene Farben

zeigen den Typ der laufenden Prozesse an:

Weiß – im Leerlauf befindlich, d. h. die CPU wird von keinem Prozess verwendet

Grün – normale Prozesse, d. h. Benutzerprozesse, die ihre Standardpriorität geändert haben

Blau – Benutzerprozesse mit Standardpriorität

Orange – Zeit, welche die CPU auf die Fertigstellung von Lese- und Schreibvorgängen gewartet hat

Rot – Systemprozesse (Kernel)

Pink – softirq, d. h. die für Softwareinterrupts aufgewendete Zeit

Braun – Interrupt, d. h. die für Hardwareinterrupts aufgewendete Zeit

Schwarz – Nur von Bedeutung, wenn als virtuelle Maschine ausgeführt. Die vom Hypervisor aufgewendete Zeit für das

Ausführen der VM.

Speicherdiagramm:

Das Diagramm zeigt die Speicherauslastung der letzten 24 Stunden. Verschiedene Farben zeigen den Speichertyp an:

Grün – verfügbarer Speicher, der neuen Prozessen zugewiesen werden kann

Blau – Zwischenspeicher, d. h. eine Kopie der aktuell von Prozessen verwendeten Daten

Orange – Pufferspeicher, d. h. ein temporärer Speicher, der Daten speichert, die von oder zu externen Geräten gesendet

werden

Rot – Belegter Speicher

Auslagerungsdiagramm

Die Nutzung des Auslagerungsbereichs auf der Festplatte wird in diesem Feld angezeigt.

Grün – freier Auslagerungsbereich

Blau – zwischengespeicherter Auslagerungsbereich

Rot – belegter Auslagerungsbereich

Festplattenbelegungsdiagramme

Diese Diagramme zeigen die Belegung der Festplatte an und sind in vier Felder aufgeteilt, wobei jedes die Belegung einer Partition zeigt.

In jedem Diagramm zeigt die grüne Farbe den freien Speicherplatz, während die rote Farbe den belegten Speicher anzeigt.

Netzwerkdiagramme

Diese Seite enthält die Netzwerkdiagramme der letzten 24 Stunden, eingeteilt n Zonen. Demnach enthält diese Seite – abhängig von den

aktivierten und konfigurierten Zonen – 2, 3 oder 4 Felder, jeweils mit Diagrammen. Wie in Systemdiagrammen gibt es für die Diagramme

eine Legende der angezeigten Daten:

Grün – ausgehender Datenverkehr

Blau – eingehender Datenverkehr

Unterhalb der Diagramme werden der Durchschnittswert und das Maximum der momentan gesendeten und empfangenen Daten

angezeigt und in Echtzeit aktualisiert.

Durch Klicken auf eines der Diagramme wird eine neue Seite mit Zusammenfassungen der Datenströme durch die Panda GateDefender-

Appliance vom letzten Tag, der letzten Woche sowie des letzten Monats und Jahres geöffnet. Die angezeigten Daten sind in allen

Diagrammen identisch: Der eingehende und ausgehende Datenverkehr wird in blauer bzw. grüner Farbe dargestellt. Eingehend

Tipp

Klicken Sie am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Seite mit allen Zonendiagrammen zu gelangen.

Proxydiagramme

An dieser Stelle werden die Zugriffsstatistiken für den HTTP-Proxy während der letzten 24 Stunden angezeigt. Diagramme werden nur

angezeigt, wenn der HTTP-Proxy-Dienst aktiviert ist. Selbst wenn der Dienst nur für einen kurzen Zeitraum um vorangegangen Jahr

ausgeführt wurde, können Sie auf alte Daten zugreifen, indem Sie auf das Diagramm klicken. Ähnlich wie bei den anderen Diagrammen

werden auch hier ältere Statistiken für den letzten Tag, die letzte Woche, den letzten Monat und das letzte Jahr angezeigt. Klicken Sie

am unteren Rand der Seite auf den Hyperlink ZURÜCK, um wieder auf die Hauptseite zu gelangen.

Hinweis

Um die Proxydiagramme anzuzeigen, müssen Sie die Protokollierungsfunktion für HTTP-Proxys unter Proxy ‣ HTTP ‣ Konfiguration ‣

Log-Einstellungen durch Auswahl des Kontrollkästchens Protokollierung aktivieren aktivieren. Mithilfe der Optionen Suchbegriffe und

Benutzeragents können detailliertere Protokolle und Diagramme erstellt werden.

Nachdem der HTTP-Proxy aktiviert wurde, enthalten die vier Felder die folgenden Daten:

Gesamter Datenverkehr pro Tag: Die gesamte Datenmenge, die über den Proxy-Dienst der Panda GateDefender-Appliance

geleitet wurde. Der ausgehende Datenverkehr wird in Grün angezeigt, der eingehende in Blau.

Gesamtzugriffe pro Tag: Die Anzahl der HTTP-Anfragen, die von der Panda GateDefender-Appliance empfangen werden,

dargestellt in Blau.

Cachetreffer pro Tag: Die Anzahl angeforderter Cachedaten.

Cache-Trefferverhältnis über 5 Minuten pro Tag: Die Anzahl angeforderter Cachedaten während eines fünfminütigen

Zeitraums.

Verbindungen

Auf dieser Seite wird eine Tabelle mit den Listeneinträgen zu den aktuellen Verbindungen von, zu oder über die Panda GateDefender-

Appliance angezeigt. Die hier gezeigten Daten stammen aus der Tabelle „kernel conntrack“. Die folgenden Farben werden in der Tabelle

als Hintergrund für die Zellen verwendet, um die Quelle und das Ziel der Verbindung darzustellen.

Grün, Rot, Orange und Blau sind die von der Panda GateDefender-Appliance verwalteten Zonen.

Schwarz wird für Verbindungen verwendet, welche die Firewall nutzen, einschließlich Daemons und Dienste wie SSH oder

Webzugriffe.

Violett zeigt Verbindungen über VPN oder IPsec an.

Die in der Tabelle angezeigten Daten sind die folgenden.

Quell-IP-Adresse

Die IP, von der die Verbindung stammt

Quell Port

Der Port, von dem die Verbindung stammt

Ziel IP Adresse

Die IP, zu der die Verbindung geleitet wird

Ziel Port

Der Port, zu dem die Verbindung geleitet wird

Protokoll

Das Protokoll der Verbindung (typischerweise TCP oder UDP)

Status

Der aktuelle Status der Verbindung (nur bei TCP-Verbindungen sinnvoll) Diese sind in RFC 793 definiert; signifikante

Zustände sind AUFGEBAUT (Verbindung ist aktiv) und BEENDET (keine Verbindung).

Verfallsdatum

Dauer eines bestimmten Verbindungsstatus

Tipp

Die Seite wird automatisch alle 5 Sekunden aktualisiert.

Durch Klicken auf die einzelnen IP-Adressen und IP-Ports in der Tabelle erhalten Sie nützliche Informationen. Durch Klicken auf die IP-

Adresse wird die Whois-Anfrage mit Informationen zum Besitzer und Standort der IP-Adresse gestartet. Durch Klicken auf die

Portnummer wird die Webseite Internet Storm Center geöffnet. Auf dieser Seite werden Sie über den Port (d. h. seinen Zweck) informiert

und erhalten Informationen darüber, welche Dienste bzw. Malware (z. B. Trojaner, Viren) den Port benutzen könnten und wie viele

Angriffe auf diese Ports von verschiedenen Servern weltweit gemeldet wurden.

VPN Verbindungen

Auf der Panda GateDefender-Appliance werden OpenVPN- und IPsec-Server ausgeführt. Diese Seite zeigt die verbundenen Benutzer

zusammen mit dem Dienst, den sie für die Verbindung verwenden (OpenVPN, L2TP, IPsec oder XAuth), den Zeitstempel seit

Verbindungsaufbau und die ausführbaren Aktionen. Momentan nur zur Trennung des Benutzers.


http://www.whois.net/

http://isc.sans.edu/about


38

SMTP Mailstatistik

Auf dieser Seite werden vier Felder angezeigt, die Diagramme über die vom lokalen SMTP-Server auf der Panda GateDefender-

Appliance gesendeten E-Mails anzeigen (für den aktuellen Tag, die Woche, den Monat und das Jahr).

Tipp

Es werden keine Informationen angezeigt, wenn der SMTP-Server deaktiviert ist.

Jedes Feld enthält zwei Diagramme, wobei jeweils auf der y-Achse die Zahl der E-Mails pro Minute und auf der x-Achse die Zeit

dargestellt werden. Die Zeiteinheit der x-Achse ändert sich entsprechend des Diagrammtyps: Zwei Stunden in täglichen Diagrammen,

einen Tag in wöchentlichen Diagrammen, eine Woche in monatlichen Diagrammen und einen Monat in jährlichen Diagrammen.

Das Diagramm am oberen Rand zeigt eine Zusammenfassung der durch die Panda GateDefender-Appliance pro Minute gesendeten

(grün) oder empfangenen (blau) Nachrichten. Das Diagramm am unteren Rand kann als feiner unterteilte Version des anderen

Diagramms verstanden werden, da es die E-Mails anzeigt, die zurückgewiesen wurden (rot) oder abgeprallt sind (schwarz), die wegen

Viren abgefangenen wurden (gelb), und die als Spam erkannte wurden (grau).

Unter jedem Diagramm befinden sich außerdem Informationen in Textform zu jeder E-Mail-Kategorie (gesendet, empfangen,

zurückgewiesen, abgeprallt, Virus und Spam), wobei die Gesamtzahl, der Durchschnitt und der höchste Wert verarbeiteter E-Mails (msgs)

sowie der Zeitstempel (Datum und Zeit) der letzten Seitenaktualisierung angegeben sind.

Mail queue

Ist der SMTP-Proxy aktiviert, wird auf dieser Seite die aktuelle E-Mail-Warteschlange angezeigt. Ist die E-Mail-Warteschlange leer, so

wird die Meldung Mail Queue ist leer angezeigt. Anderenfalls ist es möglich, die Warteschlange durch Klicken auf die Schaltfläche Flush

Mailqueue zu leeren. Ist der SMTP-Proxy deaktiviert, wird lediglich eine Meldung angezeigt, die Sie über den deaktivierten Status des

Proxy informiert.

Menü „Netzwerk“ Menü „Netzwerk“

Zudem können Uplinks konfiguriert und VLANs hinzugefügt werden. Das Menü darf nicht mit dem Netzwerkkonfiguration-Assistenten

unter Menüleiste ‣ System ‣ Netzwerkkonfiguration verwechselt werden, über den Schnittstellen und Zonen konfiguriert sowie Uplinks

definiert werden können. Viele Einstellungen und Konfigurationsoptionen – insbesondere die nachfolgend unter Schnittstellen

dargestellten – sind jedoch mit denen unter Netzwerkkonfiguration identisch, wo Sie auch ausführlichere Informationen dazu finden.

Das Untermenü auf der linken Seite enthält die folgenden Elemente, unter denen jeweils mehrere Konfigurationsoptionen

zusammengefasst sind:

Hosts bearbeiten: Definieren von Hosts für die Auflösung lokaler Domainnamen

Routing: Einrichten von statischem und richtlinienbasiertem Routing

Schnittstellen: Bearbeiten der Uplinks und Erstellen von VLANs

Hosts bearbeiten

Die Seite enthält die Liste der zuvor definierten Hosts. In jeder Zeile werden eine IP-Adresse, der zugeordnete Hostname und, sofern

angegeben, der Domänenname angezeigt. Für jeden Eintrag können jeweils zwei Aktionen ausgeführt werden: den Eintrag bearbeiten

oder den Eintrag löschen.

Warnung

Das Löschen eines Hosteintrags durch Klicken auf das kleine Symbol erfordert keine zusätzliche Bestätigung und kann nicht rückgängig

gemacht werden. Wurde ein Eintrag versehentlich gelöscht, muss dieser manuell erneut hinzugefügt werden.

Ein neuer Eintrag kann durch Klicken auf den über der Tabelle angezeigten Link Host hinzufügen hinzugefügt werden. Ein einfaches

Formular wird die Tabelle ersetzen, in dem die folgenden Optionen angegeben werden:

IP-Adresse

Die IP-Adresse des Remote-Hosts.

Hostname

Der Hostname und die IP-Adresse des BDC.

Domainname

Ein optionaler Domainname.

Hinweis

Im Gegensatz zur Datei /etc/hosts (siehe unten) entspricht jede hier hinzugefügte IP-Adresse einem Hostnamen oder

umgedreht. Fügen Sie zum Hinzufügen von zwei Hostnamen zu einer IP-Adresse zwei Einträge mit der gleichen IP-Adresse hinzu.

Durch Klicken auf die Schaltfläche Host hinzufügen wird die Auswahl bestätigt. Weitere Hostnamen für dieselbe IP-Adresse können

zugeordnet werden, indem die IP-Adresse nochmals auf die gleiche Weise mit einem anderen Namen eingefügt wird.

Hostverwaltung, dnsmasq und /etc/hosts:

Die Anwendung „dnsmasq“ wird in kleinen Netzwerken als DNS-Server für lokale Hosts und als DNS-Weiterleitung und Caching-Server

für weltweite DNS-Server verwendet. Die Panda GateDefender Appliance verwendet dnsmasq zur korrekten Lösung und Beantwortung

von DNS-Anfragen der GRÜNEN, ORANGEFARBENEN und BLAUEN Zone. In manchen Fällen ist es wünschenswert (z. B. für

Testzwecke auf einer Remote-Website), einige Einträge in dnsmasq zu überschreiben oder dem Cache von dnsmasq einen lokalen

Server hinzuzufügen, damit sich lokale Clients damit verbinden können.

Die auf dieser Seite hinzugefügten Hosts werden in der Einstellungsdatei von dnsmasq gespeichert und bei jedem Daemon-Neustart mit

der Datei /etc/hosts zusammengeführt. Zu diesen Dateien direkt über CLI hinzugefügte Hosts bleiben nach einem Neustart der

Panda GateDefender Appliance oder einem Neustart von dnsmasq nicht bestehen.

Die Datei /etc/hosts enthält die sogenannte statische Lookup-Tabelle, die das folgende Format aufweist:

IP1 hostname1 [hostname2] IP2 hostname3 [hostname4] [hostname5]

IP1 und IP2 stehen dabei für eindeutige (numerische) IP-Adressen, während hostname1, hostname2, hostname3, hostname4 und

hostname5 für benutzerdefinierte Namen dieser IP-Adressen stehen. Die Namen in eckigen Klammern sind optional: Jeder IP-Adresse

können also Namen bekannter Hosts zugeordnet werden. Es ist möglich, zur Datei benutzerdefinierte Hosteinträge hinzuzufügen, die

dann für alle Clients, die über die Panda GateDefender-Appliance eine Verbindung herstellen, entsprechend aufgelöst werden. Auf einer

typischen Panda GateDefender Appliance enthält die Datei /etc/hosts mindestens die folgenden Einträge:

127.0.0.1 localhost.localhost localhost 172.20.0.21 myappliance.localdomain myappliance 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.localdomain wpad

Hierbei ist 127.0.0.1 die IP-Adresse des Loopback-Geräts, localhost ein Pflichteintrag für den korrekten Arbeitslink eines Linux-Systems

und 172.20.0.21 die IP-Adresse der GRÜNEN Schnittstelle. Die für diese IP-Adresse ausgeführten Einträge haben die folgende

Bedeutung und den folgenden Zweck:

myappliance.localdomain

Der Hostname und Domänenname der Panda GateDefender-Appliance, wie sie in der Netzwerkkonfiguration eingerichtet

sind.

spam.spam spam und ham.ham ham

Diese beiden Einträge werden kombiniert für das Anlernen des E-Mail-Filters „spamassassin“ verwendet.

wpad.localdomain wpad

Eine Einrichtung für einige Browser, um Proxyeinstellungen automatisch und ohne Eingreifen des Benutzers zu erkennen,

wenn der Proxy nicht transparent ist.

Routing

Als Ergänzung zur Standardroutingtabelle unter Menüleiste ‣ Status ‣ Netzwerkstatus kann das Routing auf der Panda GateDefender

Appliance mit den statischen und richtlinienbasierten Routingregeln optimiert werden. Auf dieser Seite wird eine Tabelle mit allen

benutzerdefinierten Routings angezeigt. Neue Regeln werden jedoch von zwei unterschiedlichen Registerkarten auf dieser Seite

hinzugefügt. Dabei erfordern statische und richtlinienbasierte Regeln leicht voneinander abweichende Einstellungen. Die Tabelle enthält

jeweils eine Zusammenfassung der Regel mit Quelle und Ziel für Netzwerke bzw. Zonen, dem Gateway, einer Anmerkung und der Liste

der verfügbaren Aktionen: Regel aktivieren oder deaktivieren, Regel bearbeiten und Regel löschen.

Bei jeder Änderung an der Routingtabelle müssen die Änderungen gespeichert und der Dienst neu gestartet werden.

Statisches Routing

Mithilfe von statischen Routen können bestimmte Quell- und Zielnetzwerke festgelegten Gateways oder Uplinks zugeordnet werden.

Neue Routen werden durch Klicken auf den Link Eine neue Route hinzufügen über der Tabelle erstellt. In dem daraufhin angezeigten

Formular müssen die folgenden Felder definiert werden:

Quell Netzwerk

Angabe des Quellnetzwerks in CIDR-Notation.

Ziel Netzwerk

Angabe des Zielnetzwerks in CIDR-Notation.

Route über

Für die Durchleitung des Datenverkehrs stehen vier Optionen zur Auswahl: Statisches Gateway, Uplink, OpenVPN User und

L2TP Benutzer. Wird Statisches Gateway ausgewählt, muss in dem Textfeld rechts daneben die IP-Adresse eines Gateways

angegeben werden. In jedem anderen Fall wird ein Dropdown-Menü mit der entsprechenden Auswahl verfügbarer Uplinks,

OpenVPN-Benutzer oder L2TP-Benutzer angezeigt.

Aktiviert

Ein aktiviertes Kontrollkästchen steht für eine aktivierte Regel (Standardeinstellung). Wird das Kontrollkästchen deaktiviert,

wird die Regel zunächst nur erstellt und kann später jederzeit aktiviert werden.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Durch Klicken auf eines der Symbole wird für das entsprechende Element eine Aktion ausgelöst:

– Den Status des Elements umschalten: aktiviert oder deaktiviert.

– Die Eigenschaften des Elements ändern.

– Das Element entfernen.

Richtlinienbasiertes Routing

Mithilfe von richtlinienbasierten Routen können bestimmte Netzwerkadressen, Zonen oder Dienste (ausgedrückt als Port und Protokoll)

einem festgelegten Uplink zugeordnet werden.

Die Tabelle enthält alle bereits definierten Regeln für das statische und richtlinienbasierte Routing mit einigen Eigenschaften: Quelle, Ziel,

TOS, Gateway, Dienst, Anmerkung und verfügbare Aktionen:

– Eine Regel verschieben.




Tipp

Die Spalte TOS wird nur angezeigt, wenn mindestens eine Regel mit diesem Feld definiert wurde.

Regeln im oberen Bereich der Tabelle haben eine höhere Priorität.

Richtlinienbasiertes Routing, HTTP-Proxy und Uplink:

Die Interaktion zwischen diesen drei Komponenten der Panda GateDefender Appliance kann zu einem seltsamen oder sogar falschen

Verhalten führen, wenn Clients in den Zonen versuchen, auf das Internet zuzugreifen. Für ein korrektes Verständnis sind drei Schritte

erforderlich, um hervorzuheben, wie der Datenfluss zum Internet erfolgt, wenn sowohl HTTP-Proxy aktiviert als auch richtlinienbasierte

Regeln definiert sind:

1. Ein HTTP-Proxy verwendet den Haupt-Uplink (d. h. er greift auf die ROTE Zone und das Internet mithilfe des Haupt-Uplinks

zu).

2. Ein HTTP-Proxy „unterteilt“ eine Verbindung von einem Client zu einem Remote-Server in zwei Verbindungen: Eine vom

Client zur Panda GateDefender Appliance und eine von der Panda GateDefender Appliance zum Remote-Server.

3. Richtlinienbasierte Routingregeln werden berücksichtigt, nachdem der Datenverkehr durch das HTTP-Proxy gelaufen ist.

Beim Klicken auf den Link Erstelle eine Richtlinienroutingregel wird ein Formular geöffnet, das zunächst komplexer als das für statische

Routen erscheint und dem Firewall-Regeleditor sehr ähnlich sieht. Der Richtlinien-Regeleditor entspricht insgesamt dem zuvor

beschriebenen Formular, erlaubt aber eine detailliertere Regeldefinition. Das Einrichten der Regel wird zusätzlich durch mehrere

Dropdown-Menüs unterstützt, um das Eingeben von Daten in den folgenden Feldern zu erleichtern:

Quelle

Mithilfe des ersten Dropdown-Menüs wird die Quelle des Verkehrs ausgewählt. Es sind mehrere Einträge zulässig, die jeweils

in einer eigenen Zeile stehen und demselben Typ angehören müssen: Zone oder Schnittstelle, OpenVPN- oder L2TP-

Benutzer, IP-Adressen oder Netzwerke, oder MAC-Adressen. Je nach Auswahl müssen unterschiedliche Werte angegeben

werden. Durch Auswahl von <ANY> wird die Regel auf alle Quellen angewendet.

Ziel

Mithilfe des zweiten Dropdown-Menüs werden die Verkehrsziele als Liste von IP-Adressen, Netzwerken oder OpenVPN- bzw.

L2TP-Benutzern ausgewählt. Durch Auswahl von <ANY> trifft die Regel wiederum auf alle Ziele zu.

Service/Port

Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei

Auswahl der Protokolle TCP, UDP oder TCP und UDP wird zusätzlich ein Ziel-Port angegeben. Es sind auch einige

vordefinierte Dienst/Protokoll/Port- Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>,

wobei Letzteres für alle Dienste, Protokolle und Ports steht. Mithilfe von Benutzerdefiniert können ein benutzerdefiniertes

Protokoll und zu blockierende Ports angegeben werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von

Diensten über andere als die Standardports erfolgt.

Protokoll

Die Art des Datenverkehrs, auf den sich die Regel bezieht: TCP, UDP, TCP+UDP, ESP, GRE oder ICMP. Am häufigsten

werden TCP und UDP verwendet. GRE wird von Tunneln, ESP von IPsec und ICMP von den Befehlen ping und traceroute

verwendet.

Route über

Wie der Datenverkehr für diese Regel weitergeleitet werden sollen. Folgende Optionen stehen zur Auswahl:

1. Statisches Gateway: In diesem Fall muss eine IP-Adresse angegeben werden.

2. Uplink: Der Uplink, der für die Regel verwendet werden soll. Optional kann das Routing bei Nichtverfügbarkeit

des ausgewählten Uplinks auf den entsprechenden Backup-Link übertragen werden. Diese Option wird durch

Aktivieren des Kontrollkästchens neben dem Dropdown-Menü aktiviert.

3. OpenVPN-Benutzer: Ein OpenVPN-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.

4. L2TP-Benutzer: Ein L2TP-Benutzer, ausgewählt aus den verfügbaren Benutzern im Dropdown-Menü.

Diensttyp

Hiermit wird der ToS (Type of Service, Diensttyp) ausgewählt. Dabei können je nachdem, was die wichtigste Eigenschaft des

Verkehrs für dieses Regel ist, vier Werte ausgewählt werden: Standard, Kurze Verzögerung, Zuverlässigkeit oder Durchsatz.

Anmerkung

Anmerkung oder Kommentar zum Zweck dieser Regel.

Position

Die Position, an der die Regel eingefügt werden soll (relative Position in der Liste der Regeln).

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert (Standardeinstellung). Wird das Kontrollkästchen

deaktiviert, wird die Regel zwar erstellt, aber nicht aktiviert. Eine Regel kann auch zu einem späteren Zeitpunkt aktiviert

werden.

Alle akzeptierten Pakete loggen

Dieses Kontrollkästchen muss aktiviert sein, wenn alle von der Regel betroffenen Pakete protokolliert werden sollen.

Warnung

Durch die Aktivierung dieser Option kann sich die Größe der Protokolldateien drastisch erhöhen.

Schnittstellen

Mithilfe des Uplinkmanagers können verschiedene Aufgaben im Hinblick auf den Uplink und die Schnittstellen ausgeführt und

insbesondere benutzerdefinierte VLANs an den Netzwerkschnittstellen definiert werden.

Uplink Editor

Durch Klicken auf die letzte Spalte Aktionen werden standardmäßig die im Uplink-Editor erstellten verfügbaren Uplinks und die Aktionen

angezeigt, die für jeden Uplink ausgeführt werden können:




Tipp

Der Haupt-Uplink kann nicht gelöscht werden.

Weitere Uplinks können durch Klicken auf den Link Uplink erstellen über der Uplink-Liste erstellt werden. Daraufhin wird eine

umfangreiche Seite mit zahlreichen Konfigurationsoptionen angezeigt, auf der geeignete Werte angegeben werden müssen, die denen in

der Netzwerkkonfiguration sehr ähnlich sind. Die verfügbaren Einstellungen unterscheiden sich je nach Typ des ausgewählten Uplinks.

Hinweis

Hier werden nicht alle verfügbaren Optionen beschrieben: Sie entsprechen den Optionen im Netzwerkkonfigurationsassistenten und

hängen vom Typ des ausgewählten Uplinks ab. Vollständige Erläuterungen zu den Optionen können dem entsprechenden Abschnitt

entnommen werden.

Beschreibung

Eine Beschreibung des Uplinks

Typ

Die Auswahl des ROTEN Verbindungstyps umfasst ein Protokoll mehr als die im Assistenten für die Netzwerkkonfiguration

verfügbaren Optionen: PPTP: PPTP kann durch Auswahl des entsprechenden Werts im Dropdown-Menü „PPTP

Methode“ für den statischen Modus oder den DHCP-Modus konfiguriert werden. Bei Auswahl der statischen Methode

müssen IP-Adresse und Netzwerkmaske in den entsprechenden Textfeldern angegeben werden. In diesem Fall können auch

zusätzliche Kombinationen von IP/Netzwerkmaske oder IP/CIDR im Feld darunter hinzugefügt werden, sofern das

Kontrollkästchen aktiviert ist. Telefonnummer, Benutzername und Passwort sind nicht erforderlich, werden aber abhängig von

den Einstellungen des Providers unter Umständen für das Funktionieren einiger Konfigurationen benötigt. Als

Authentifizierungsmethode kann entweder PAP oder CHAP verwendet werden. Im Zweifelsfall wird empfohlen, den

Standardwert „PAP oder CHAP“ beizubehalten.

Uplink ist aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Uplink aktiviert.

Uplink beim Starten aktivieren

Durch dieses Kontrollkästchen wird angegeben, ob ein Uplink beim Starten aktiviert werden soll oder nicht. Die Option ist für

Backup- Uplinks nützlich, die zwar verwaltet, aber während des Startvorgangs nicht aktiviert werden müssen.

Uplink ist verwaltet

Durch Aktivieren dieses Kontrollkästchens wird der Uplink verwaltet. Eine Erörterung zum verwalteten und zum manuellen

Modus kann unter Uplink Information Plugin gefunden werden, das über Menüleiste ‣ System ‣ Übersicht aufgerufen wird.

Wenn dieser Uplink fehlschlägt aktiviere

Wenn diese Option aktiviert ist, kann aus einem Dropdown-Menü eine alternative Verbindung ausgewählt werden, die bei

Fehlschlagen des Uplinks aktiviert wird.

Erreichbarkeit dieser Hosts überprüfen

Durch Aktivieren dieser Option kann eine Liste von IP-Adressen oder Hostnamen eingegeben werden, die bei Fehlschlagen des

Uplinks ge pingt werden, um das erfolgreiche Wiederverbinden zu überprüfen.

Tipp

Einer dieser Hosts könnte der DNS-Server oder Gateway des Anbieters sein.

Im Bereich „Erweiterte Einstellungen“ können zwei weitere Optionen angepasst werden:

Wiederverbindungs Timeout

Das Zeitintervall in Sekunden, nach dem von einem fehlgeschlagenen Uplink ein erneuter Verbindungsversuch unternommen

wird. Dieser Wert ist von den Einstellungen des Providers abhängig. Das Feld sollte im Zweifelsfall leer gelassen werden.

MTU

Ein benutzerdefinierter Wert für die MTU-Größe. Mögliche Gründe für ein Ändern des Standardwerts werden hier erörtert.

Siehe auch

Netzwerkkonfiguration: Schritte 1, 4 und 5

Menüleiste ‣ System ‣ Netzwerkkonfiguration

VLANs

Menü „Netzwerk“

45

VLAN wird von der Panda GateDefender-Appliance unterstützt, um beliebige Zuordnungen von VLAN-IDs zu Firewallzonen und eine

zusätzliche Trennungsebene zwischen Zonen zu ermöglichen. Vorhandene VLANs werden in der Tabelle angezeigt, sofern bereits

welche erstellt wurden. Die einzig verfügbare Aktion ist:

– Das VLAN entfernen. Ein Popup-Fenster wird geöffnet, in dem Sie den Löschvorgang bestätigen müssen.

Ein neues VLAN kann durch Klicken auf den Link Neues VLAN hinzufügen über der Liste der VLANs definiert werden. Im daraufhin

angezeigten Formular wird durch Angabe einiger Werte eine Zuordnung zwischen einer Schnittstelle und einem VLAN erstellt:

Schnittstelle

Die physische Schnittstelle, mit der das VLAN verbunden ist. Nur die verfügbaren Schnittstellen können aus dem Dropdown-

Menü ausgewählt werden. Im Menü wird auch der Verbindungsstatus der Schnittstelle angezeigt.

VLAN ID

Die VLAN-ID, bei der es sich um eine ganze Zahl zwischen 0 und 4095 handeln muss.

Zone

Die Zone, der das VLAN zugeordnet ist. Es können nur die Zonen ausgewählt werden, die im Assistenten für die

Netzwerkkonfiguration definiert wurden. Die Option „Keine“ kann ausgewählt werden, wenn die Schnittstelle als Management

Port für Hochverfügbarkeit verwendet wird.

Warnung

Ein VLAN für eine bestimmte Zone (z. B. ein VLAN für BLAU) kann nicht an einer Schnittstelle definiert werden, die bereits für eine

andere Zone (z. B. eth1 für GRÜN) verwendet wird. Bei dem Versuch wird das Formular geschlossen und ein roter Hinweis angezeigt,

dass das VLAN nicht erstellt werden kann.

Bei der Erstellung eines virtuellen LAN wird eine neue Schnittstelle mit dem Namen ethX.y erstellt (wobei X für die Nummer der

Schnittstelle und y für die VLAN-ID steht) und dann der ausgewählten Zone zugeordnet. Danach wird die Schnittstelle in den

verschiedenen Abschnitten mit Netzwerkinformationen, z. B. unter Menüleiste ‣ Status ‣ Netzwerkkonfiguration oder in der Übersicht, als

reguläre Schnittstelle angezeigt und kann zur Darstellung im Diagramm ausgewählt werden.

ärz 2014.

Menü „Dienste“ Die Panda GateDefender-Appliance umfasst viele nützliche Dienste zum Schutz vor Bedrohungen sowie zur Überwachung von

Netzwerken und Daemons. Die Aktivierung und Einrichtung dieser Dienste wird in diesem Abschnitt erläutert. Besonderes Augenmerk

gilt hierbei den verschiedenen Proxy-Diensten wie der Antivirus Engine, dem Intrusion Detection System, der Hochverfügbarkeit und

Traffic Monitoring. Die verfügbaren Dienste sind im Untermenü auf der linken Seite des Bildschirms aufgelistet.

DHCP Server – DHCP-Server für die automatische Zuweisung von IP-Adressen

Dynamischer DNS – Client für Dynamic DNS-Provider wie DynDNS (für den Einsatz zu Hause oder in kleinen Büros)

Antivirus Engine – Konfiguration der für die E-Mail-, Internet-, POP- und FTP-Proxys verwendeten Antivirus-Engine

Zeitserver – Aktivierung und Konfiguration der NTP-Zeitserver, Festlegung der Zeitzone oder manuelle Aktualisierung der Zeit

Mail Quarantäne – E-Mails in Quarantäne verwalten

Spam Training – Training des von den E-Mail-Proxys verwendeten Anti-Spam-Filters

Intrusion Prevention – Konfiguration von SNORT, dem Intrusion Detection System (IPS)

Hochverfügbarkeit – Konfiguration der Panda GateDefender-Appliance im Hochverfügbarkeitsmodus

Traffic Monitoring – Aktivierung bzw. Deaktivierung der Datenverkehrsüberwachung mithilfe von ntop

SNMP Server – Unterstützung für SNMP (Simple Network Management Protocol)

Quality of Service – Priorisierung des IP-Verkehrs.

DHCP Server

Der DHCP-Server wird von den Clients (Workstations und Server) in den von der Panda GateDefender-Appliance gesteuerten Zonen

verwendet, um IP-Adressen zu erhalten („leasen“), und ermöglicht die zentrale Steuerung der IP-Adresszuweisung. Kunden können zwei

Arten von Leases zugewiesen werden: dynamisch und statisch. Die Seite „DHCP Server“ ist in zwei bzw. drei Felder unterteilt: das Feld

DHCP, in dem Sie den DHCP-Server konfigurieren können; das Feld Aktuelle statische Zuordnungen, das die statischen IP-Adressen

anzeigt; und gegebenenfalls das Feld Aktuelle dynamische Zuordnungen, das nur angezeigt wird, wenn mindestens einem Client eine

dynamische IP-Adresse zugeordnet wurde. Dynamische IP-Adressen werden auf Netzwerkbasis innerhalb eines festgelegten Bereichs

zugewiesen und im ersten Feld konfiguriert. Statische IP-Adressen hingegen werden auf Host-Basis zugewiesen und im zweiten Feld

konfiguriert.

DHCP

Wenn ein Client (beispielsweise ein Host oder ein Gerät wie etwa ein Netzwerkdrucker) sich mit dem Netzwerk verbindet, erhält er vom

DHCP-Dienst automatisch aus einer Reihe von IP-Adressen und anderen Parametern eine gültige Adresse. Der Client muss für die

Verwendung von DHCP konfiguriert sein. Die entsprechende Einstellung wird manchmal als „automatische

Netzwerkkonfiguration“ bezeichnet und ist für die meisten Workstations standardmäßig aktiviert. Die dynamische IP-Adressvergabe wird

zonenbasiert konfiguriert: Zum Beispiel ist es möglich, diese nur für Clients in der GRÜNEN Zone zu aktivieren, während die anderen

aktiven Zonen nur statische IP-Adressen erhalten.

Es ist jedoch auch möglich, Geräten in der ORANGEN (DMZ) oder BLAUEN (WLAN) Zone dynamische IP-Adressen zuzuordnen.

Hinweis

Wenn die BLAUE Zone aktiviert ist, aber vom Hotspot verwaltet wird, wird die Meldung DHCP Konfiguration wird vom Hotspot verwaltet

angezeigt und eine Konfiguration an dieser Stelle verhindert.

Um die DHCP-Parameter für die einzelnen Zonen anzupassen, klicken Sie auf das kleine Symbol neben der Aufschrift Einstellungen.

Folgende Optionen stehen zur Auswahl:

Aktiviert

Aktiviert den DHCP-Server in der Zone.

Anfangsadresse, Endadresse

Der für die Clients vorgesehene IP-Adressbereich. Diese Adressen müssen sich innerhalb des Subnetzes befinden, das der

entsprechenden Zone zugewiesen wurde. Sollten einige Hosts eine statische IP-Adresse erhalten (siehe unten), stellen Sie sicher,

dass ihre IP-Adressen weder in diesem Bereich noch im Bereich des OpenVPN-Adresspools vorhanden sind (siehe Menüleiste ‣ VPN

‣ OpenVPN-Server), um Konflikte zu vermeiden.

Das Leerlassen dieser zwei Felder ermöglicht die Verwendung des gesamten IP-Bereichs der Zone für die dynamische Zuweisung.

Nur fixe Leases erlauben

Aktivieren Sie dieses Kontrollkästchen, um nur statische IP-Adressen zu verwenden. Es werden keine dynamischen IP-

Adressen zugewiesen.

Standard Lease Zeit, Maximale Lease Zeit (Min)

Die standardmäßig definierte bzw. maximale Zuweisungszeit in Minuten vor Ablauf der Zuweisung und der erneuten

Beantragung einer IP-Adresse vom DHCP-Server.

Domain-Name-Suffix

Das Suffix des Domänennamens, das an die Clients weitergegeben und für die lokale Suche nach Domänen verwendet wird.

Standardgateway

Das Standardgateway, das die Clients in der Zone verwenden. Bei Leerlassen des Feldes ist die Panda GateDefender-

Appliance selbst das Standardgateway.

Primärer DNS, Sekundärer DNS

Der von den Clients verwendete Domain Name Server (DNS). Da die Panda GateDefender-Appliance einen

zwischenspeichernden DNS-Server enthält, ist der Standardwert die eigene IP-Adresse der Firewall in der entsprechenden

Zone, auch wenn ein zweiter Server oder sogar der primäre Wert geändert werden können.

Erster NTP Server, Zweiter NTP Server

Die von den Clients zur Synchronisierung der Systemuhren verwendeten NTP-Server.

Erste WINS Server, Zweiter WINS Server

Die von den Clients verwendeten WINS-Server. Diese Option ist nur bei Netzwerken von Microsoft Windows notwendig, die

WINS verwenden.

Erfahrene Benutzer können individuelle Einstellungen zur Datei dhcpd.conf hinzufügen (z. B. benutzerdefinierte Routen zu

Subnetzen), indem diese in den Textbereich am unteren Rand geschrieben werden, der mit Benutzerdefinierte Konfigurationszeilen

markiert ist.

Warnung

Es erfolgt keine Syntaxüberprüfung dieser Zeilen: Sie werden an die Konfigurationsdatei angehangen. Jegliche Fehler an dieser Stelle

können den Start des DHCP-Servers verhindern!

Beispiel SRV-1 – Booten mit PXE und Konfiguration von dhcpd.conf:

Die Anpassung des DHCP-Servers hat sich bei abweichenden Netzwerkkonfigurationen als nützlich erwiesen.

Eine weitere typische Anwendung ist für VoIP-Telefone, die ihre Konfigurationsdateien von einem HTTP-Server beim Start abrufen

müssen. In diesem Fall können sich die Dateien auch auf der Panda GateDefender-Appliance befinden. Dadurch kann die Konfiguration

des TFTP-Servers als zusätzliche Zeilen wie folgt übertragen werden:

option tftp-server-name "http://$GREEN_ADDRESS";

option bootfile-name "download/voip/{mac}.html";

Hinweis: $GREEN_ADDRESS ist ein Makro, das in der Datei dhcpd.conf durch die GRÜNE IP-Adresse der Panda

GateDefender-Appliance ersetzt wird.

Aktuelle statische Zuordnungen

Es ist manchmal erforderlich oder wünschenswert, dass bestimmte Geräte stets dieselbe IP-Adresse verwenden, obwohl DHCP

verwendet wird. Dies gilt z. B. bei Servern, die Dienste wie eine VoIP Box, ein SVN-Repository oder Dateiserver bereitstellen, oder bei

Geräten wie Druckern und Scannern. Fixe Leases werden in der Regel als statische IP-Adressen bezeichnet, da ein Gerät bei

Anforderung eines Lease vom DHCP-Server stets dieselbe IP-Adresse erhält.

In diesem Feld werden sämtliche statische IP-Adressen, die derzeit im lokalen Netzwerk aktiv sind, zusammen mit verschiedenen

Informationen zu den entsprechenden Adressen aufgelistet. Durch Klicken auf den Link Fixe Lease hinzufügen können Sie Geräten neue

statische IP-Adressen zuweisen sowie sämtliche Informationen hinzufügen, die in der Liste angezeigt werden sollen. Die Geräte werden

anhand ihrer MAC-Adressen identifiziert.

Hinweis

Die Zuweisung einer statischen IP-Adresse von einem DHCP-Server unterscheidet sich erheblich von der manuellen Einrichtung der IP-

Adresse auf einem Gerät. Im letzteren Fall wird das Gerät den DHCP-Server auch weiterhin kontaktieren, um eine IP-Adresse zu

erhalten und seine Präsenz im Netzwerk anzumelden. Wenn die vom Gerät angeforderte IP-Adresse bereits zugewiesen wurde, erhält

das Gerät eine dynamische IP-Adresse.

Folgende Parameter können bei statischen IP-Adressen definiert werden:

MAC Adresse

Die MAC-Adresse des Clients.

IP Adresse

Die IP-Adresse, die dem Client grundsätzlich zugeordnet wird.

Beschreibung

Eine optionale Beschreibung des Geräts, dem die IP-Adresse zugewiesen wird.

Nächste Adresse

Die Adresse des TFTP-Servers. Diese und die folgenden zwei Optionen sind nur in wenigen Fällen nützlich (weiter unten

finden Sie ein Beispiel).

Dateiname

Der Dateiname des Start-Image. Diese Option ist nur bei Thin Clients oder Netzwerkstarts erforderlich.

Rootpfad

Der Pfad der Start-Image-Datei.

Aktiviert

Wenn dieses Kontrollkästchen aktiviert ist, wird die statische IP-Adresse gespeichert, jedoch nicht in die Datei

dhcpd.conf aufgenommen.

Die für jede statische IP-Adresse verfügbaren Aktionen sind:

– Status der Adresse: aktiviert oder deaktiviert

– Eigenschaften der Adresse ändern

– Adresse entfernen

Anwendungsfall für statische IP-Adressen

Ein Anwendungsfall, der die Nützlichkeit einer statischen IP-Adresse zeigt, sind Thin Clients oder laufwerkslose Workstations im

Netzwerk, die PXE verwenden, d. h. das Betriebssystem wird von einem Abbild auf einem TFTP-Server im Netzwerk bereitgestellt. Wenn

sich der TFTP-Server auf demselben Server wie das DHCP befindet, erhält der Thin Client sowohl die IP-Adresse als auch das Abbild

vom selben Server. Es kommt jedoch öfter vor, dass sich der TFTP-Server auf einem anderen Server im Netzwerk befindet. Daher muss

der Client vom DHCP-Server zu diesem Server umgeleitet werden. Dies ist ein Vorgang, der leicht durch Hinzufügen einer statischen IP-

Adresse auf dem DHCP-Server für den Thin Client ausgeführt werden kann, indem eine Next-Adresse und der Dateiname des Abbildes

dem Boot-Vorgang hinzugefügt werden.

Neben den Informationen, die während der Erstellung der statischen IP-Adresse angegeben werden, ermöglicht die Liste jede Adresse

zu aktivieren oder deaktivieren (durch Aktivieren des Kontrollkästchens) und zu bearbeiten oder zu löschen, indem die Symbole in der

Spalte Aktionen angeklickt werden. Für das Bearbeiten einer Adresse wird das gleiche Formular wie für die Erstellung einer neuen

Adresse geöffnet, während die Adresse beim Löschen sofort aus der Konfiguration entfernt wird.

Hinweis

Alle vom DHCP zugewiesenen Adresse werden standardmäßig in der Datei /var/lib/dhcp/dhcpd.leases

gespeichert. Obwohl der DHCP-Daemon die Bereinigung dieser Datei übernimmt, kann es vorkommen, dass die Datei Adressen

speichert, die bereits abgelaufen und relativ alt sind. Dies ist kein Problem und beeinträchtigt nicht die Funktion des DHCP-Servers. Ein

typischer Eintrag in dieser Datei lautet:

lease 192.168.58.157 {

starts 2 2013/06/11 13:00:21;

ends 5 2013/06/14 01:00:21;

binding state active;

next binding state free;

hardware ethernet 00:14:22:b1:09:9b;

}

Aktuelle dynamische Zuordnungen

Wenn der DHCP-Server aktiv ist und mindestens einem Client eine (dynamische) IP-Adresse zugewiesen wurde, wird unten auf der

Seite ein drittes Feld angezeigt, das die Liste der aktuell zugewiesenen dynamischen IP-Adressen enthält. In dieser Liste werden IP-

Adresse, MAC-Adresse, Hostname und Ablaufdatum der IP-Adressen angegeben, die den einzelnen Clients zugeordnet sind.

Dynamischer DNS

Ein DNS-Server ermöglicht die Auflösung der (numerischen) IP-Adresse eines Hosts auf Basis seines Hostnamens und umgekehrt.

Dieser Vorgang eignet sich besonders für Hosts mit statischen IP-Adressen und Hostnamen.

DDNS-Provider wie DynDNS oder No-IP bieten einen ähnlichen Dienst für dynamische IP-Adressen. Dies ist in der Regel bei lokalen

ADSL-Verbindungen der Fall: Jeder Domänenname kann registriert und einem Server mit dynamischer IP-Adresse zugeordnet werden.

So wird jede an einer IP-Adresse vorgenommene Änderung dem DDNS-Provider übermittelt. Um die Kompatibilität und Integration mit

den DNS-Stammservern zu gewährleisten, muss bei jeder Änderung der IP-Adresse die Aktualisierung aktiv durch den DDNS-Provider

propagiert werden.

Die Panda GateDefender-Appliance enthält einen dynamischen DNS-Client für 14 verschiedene Anbieter. Wenn dieser aktiviert ist,

verbindet er sich automatisch mit dem dynamischen DNS-Anbieter, um die neue IP-Adresse mitzuteilen, wenn sich diese ändert.

Hinweis

Wenn kein dynamisches DNS-Konto eingerichtet wurde, stehen auf der Website der Anbieter detaillierte Anweisungen zur Registrierung

eines neuen Kontos detaillierte Online-Hilfen und Anleitungen bereit.

Diese Seite zeigt die Liste der dynamischen DNS-Konten an. Sie können mehrere DDNS-Provider nutzen. Für jedes Konto werden in der

Liste Informationen zum verwendeten Dienst und zum registrierten Host-/Domänennamen sowie die verfügbaren Aktionen bereitgestellt.

Zudem wird angezeigt, ob der anonyme Proxy-Server und die Platzhalter aktiviert sind.

– Status der Adresse: aktiviert oder deaktiviert

– Eigenschaften der Adresse ändern

– Adresse entfernen

Sie können neue Konten erstellen, indem Sie auf den Link Host hinzufügen klicken. Folgende Parameter werden daraufhin angezeigt:

Dienst

Zeigt die verfügbaren DDNS-Provider im Dropdown-Menü an.

Hinter einem Proxy

Diese Option wird nur beim Provider „no-ip.com“ angewandt. Das Kontrollkästchen muss aktiviert sein, wenn sich die Panda

GateDefender-Appliance über einen Proxy mit dem Internet verbindet.

Wildcards erlauben

Einige Anbieter von dynamischen DNS ermöglichen, dass alle Subdomänen einer Domäne auf dieselbe IP-Adresse

verweisen. In diesem Fall sind zwei Hosts – beispielsweise www.example.myddns.org und second.example.myddns.org –

derselben IP-Adresse zugeordnet. Bei Aktivierung dieses Kontrollkästchens werden alle möglichen Subdomänen an dieselbe

IP-Adresse umgeleitet. Die Funktion muss auch im Konto des DDNS-Providers konfiguriert sein (falls verfügbar).

Hostname und Domäne

Der Hostname und die Domäne werden mit dem DDNS-Anbieter registriert, z. B. „beispiel“ und „meinddns.org“.

Benutzername und Passwort

Die vom Anbieter des dynamischen DNS vergebenen Anmeldeinformationen, um auf den Dienst zuzugreifen.

Hinter einem Router (NAT)

Aktivieren Sie diese Option, falls die Panda GateDefender-Appliance nicht direkt mit dem Internet verbunden ist, d. h. das vor

dem Internetzugriff ein weiterer Router oder ein Gateway liegt. In diesem Fall können Sie den Dienst unter

http://checkip.dyndns.org nutzen, um die IP-Adresse des Routers zu ermitteln.

http://checkip.dyndns.org/

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird das Konto aktiviert. Dies ist die Standardeinstellung.

Hinweis

Es ist immer noch erforderlich, einen Dienst in die ROTE Zone zu exportieren, um mithilfe der dynamischen IP-Adresse den

Domänennamen für die Verbindung mit der Panda GateDefender-Appliance vom Internet aus zu verwenden, da der Anbieter des

dynamischen DNS nur den Domänennamen auflöst, nicht jedoch zugehörige Dienste. Das Exportieren eines Dienstes setzt

normalerweise die Einrichtung einer Portweiterleitung voraus (siehe Menüleiste ‣ Firewall ‣ Portweiterleitung/NAT).

Nachdem Sie eine Änderung in der Konfiguration ausgeführt haben oder Sie den dynamischen DNS sofort für alle definierten Konten

aktualisieren möchten, klicken Sie auf die Schaltfläche Update durchführen. Dies ist insbesondere dann nützlich, wenn beispielsweise

der Uplink getrennt wurde und sich die REDIP geändert hat. In diesem Fall ist es erforderlich, sämtliche DDNS-Konten zu aktualisieren.

Anderenfalls ist die Erreichbarkeit der über DDNS angebotenen Dienste nicht mehr gegeben.

Antivirus-Engine

Die Anti-Virus-Engine der Panda GateDefender-Appliance ist Panda, welche für die Suche nach Viren und Malware innerhalb von

Dateien und Dokumenten verwendet wird. Sie passiert die Panda GateDefender-Appliance über einen der laufenden Proxy-Dienste. Es

gibt nur eine Registerkarte auf dieser Seite: Panda Antivirus

Archivbombe und DoS.

Archivbomben sind Archive, die eine Reihe von Tricks verwenden, um die Virenschutz-Software bis zu einem Punkt zu überladen, ab

dem die meisten Ressourcen des Hostcomputers in Beschlag genommen sind. Dieser Vorgang heißt DoS-Angriff. Diese Tricks

beinhalten: Kleine Archive, die aus großen Dateien mit sich wiederholendem Inhalt bestehen (beispielsweise eine Datei von 1 GB, die

nur Nullen enthält, und mit Zip auf eine Größe von nur 1 MB komprimiert wurde), ineinander verschachtelte Archive (d. h. Zip-Dateien in

Zip-Dateien), Archive, die eine große Anzahl leerer Dateien enthalten usw. Das Dekomprimieren solcher Archivdateien stellt eine ernste

Belastung für die normalen Aktivitäten eines Servers oder einer Workstation dar, da viele Ressourcen (besonders RAM und CPU)

benötigt werden und der Benutzerverfügbarkeit entzogen wird.

Panda Antivirus

Die Panda GateDefender-Appliance nutzt die Anti-Virus-Engine von Panda, um interne Netzwerke vor Viren und Malware zu schützen.

Die erste verfügbare Option ist die Auswahl der Aktualisierungszyklus der Anti-Virus-Signaturen. Dies sind: stündlich, täglich, wöchentlich

oder monatlich.

Die konfigurierbaren Scanoptionen sind in drei Bereiche unterteilt:

Dateien-Inhaltsanalyse

Die folgende Option bezieht sich auf die Suche nach und den Scan auf verschiedenen Typen von Malware, welche die Workstations und

Server hinter der Panda GateDefender-Appliance infizieren könnten.

Infizierte Dateien säubern

Aktivieren Sie das Kontrollkästchen für die Aktivierung der automatischen Dateibereinigung während des Malware-Scans. Bei

Deaktivierung dieser Option wird die infizierte Datei gelöscht, ohne einen Versuch sie zu retten.

Scanne nach bekannten Jokes

Aktiviert den Scan auf Malware-Jokes, d. h. kleine Programmen, die Panik beim Benutzer auslösen, ohne die Workstation

des Benutzers zu beschädigen.

Scanne nach bekannten Einwahlprogrammen

Aktiviert den Scan auf Malware-Dialer, also Programme, die versuchen, Telefonnummern ohne Ihre Zustimmung zu wählen.

Scanne nach bekannter Spyware/Adware

Aktiviert die Suche nach Spyware und Adware.

Scanne nach bekannten Hackertools

Aktivieren Sie dieses Kontrollkästchen, um die Suche nach Hackertools zu aktivieren.

Scanne nach bekannten Sicherheitsrisiken

Aktiviert den Scan nach Malware, die als Sicherheitsrisiken bekannt sind.

Scanne nach bekannten MIME Sicherheitslücken

Aktivieren Sie das Kontrollkästchen, um die Suche nach MIME-Schwachstellen zu aktivieren.

Heuristische Analyse aktivieren

Sie können die heuristische Analyse für Malware verwenden, um neue Malware-Typen zu erkennen, die evtl. noch nicht in

den Signaturen enthalten ist.

Heuristik-Stufe

Wählen Sie die gewünschte Empfindlichkeit der heuristischen Analyse aus den drei verfügbaren Optionen aus: niedrig, mittel

und hoch.

Gepackte und/oder komprimierte Dateien

Diese Optionen betreffen das Verhalten des Virenschutzes beim Umgang mit komprimierten Dateien. Weitere Informationen zu diesem

Thema finden Sie hier.

Analysiere komprimierte/gepackte Dateien

Aktivieren Sie das Kontrollkästchen, um die Analyse komprimierter Dateien zu aktivieren.

Maximale Rekursionsebene

Die maximale Rekursionsebene innerhalb komprimierter Dateien.

Kontrolliere Größe bei Dekomprimierung

Aktivieren Sie das Kontrollkästchen, um die Steuerung der Größe komprimierter Dateien zu aktivieren.

Maximale Größe bei Dekomprimierung

Die maximale Größe dekomprimierter Dateien in Kilobyte für nicht komprimierte Elemente

Maximale Verschachtelungstiefe

Die maximale Verschachtelungstiefe für komprimierte Dateien

Dateierweiterungen

Whitelist-Erweiterungen

Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan durch die Anti-Virus-Engine geleitet.

Erweiterungen verbieten

Nach Aktivieren dieses Kontrollkästchens wird rechts unterhalb der Option ein Textfeld angezeigt, in dem eine Liste mit

Dateierweiterungen angegeben werden kann. Dateien mit einer dieser Erweiterungen werden ohne Scan von der Anti-Virus-

Engine blockiert.

Zeitserver

Die Panda GateDefender-Appliance nutzt das Network Time Protocol NTP, um die Systemzeit mit Zeitservern im Internet zu

synchronisieren. Die verfügbaren Einstellungen werden in zwei Feldern zusammengefasst.

Netzwerk-Timeserver verwenden

Eine Reihe von Zeitserver-Hosts im Internet sind vorkonfiguriert und werden vom System genutzt. Sie haben jedoch die Möglichkeit,

benutzerdefinierte Zeitserver festzulegen, nachdem Sie das Kontrollkästchen Standard NTP Server überschreiben aktiviert haben. Dies

kann sich als notwendig erweisen, wenn eine Einrichtung ausgeführt wird, bei der die Panda GateDefender-Appliance nicht auf das

Internet zugreifen kann. Es können mehrere Adressen von Zeitservern (eine pro Zeile) im angezeigten Kurzformular angegeben werden.

In diesem Feld wird die aktuelle Einstellung für die Zeitzone angezeigt. Die Einstellung kann im Dropdown-Menü geändert werden. Sie

können eine sofortige Synchronisation durchführen, indem Sie auf die Schaltfläche Jetzt synchronisieren klicken.

Manuell anpassen

Im zweiten Feld haben Sie die Möglichkeit, die Systemzeit manuell zu ändern. Obwohl davon abgeraten wird, kann diese Aktion nützlich

sein, wenn die Zeitangabe auf der Systemuhr der Panda GateDefender-Appliance stark abweicht und eine sofortige Korrektur der

Systemzeit erforderlich ist.

Eine automatische Synchronisation mithilfe von Zeitservern wird nicht unverzüglich durchgeführt. Die Systemuhr wird zur

Wiederherstellung und Anpassung an die korrekte Zeit ein Stück weit „verlangsamt“ oder „beschleunigt“. Bei einem System, dessen

Zeitangabe signifikant abweicht, wird möglicherweise ein längerer Zeitraum benötigt, um den Zeitfehler zu korrigieren. In solchen Fällen

stellt die manuelle Synchronisation eine drastische, aber sofortige Lösung dar.

E-Mail-Quarantäne

Die E-Mail-Quarantäne ist ein besonderer Ort auf der Festplatte der Panda GateDefender-Appliance. Hier werden durch den SMTP-

Proxy erkannte E-Mails gespeichert, die Spam, Malware, Viren oder verdächtige Anhänge enthalten, anstatt sie zuzustellen. Hier können

solche E-Mails sicher analysiert und Aktionen zu deren Verwaltung durchgeführt werden. So aktivieren Sie die E-Mail-Quarantäne:

Gehen Sie zu Menüleiste ‣ Proxy ‣ SMTP ‣ Konfiguration. Wählen Sie in den Feldern für Spam-, Viren- und Dateieinstellungen aus den

Dropdown-Menüs die Option „In die Standard-Quarantäne verschieben“ aus.

Die Seite „E-Mail-Quarantäne“ enthält eine Tabelle mit einer Liste aller E-Mails in der Quarantäne. Darüber befindet sich eine

Navigationsleiste, um die E-Mails zu durchsuchen.

Die Tabelle enthält die folgenden Informationen über die in der Quarantäne gespeicherten E-Mails.

Auswählen

Ein Kontrollkästchen, mit dem Sie eine oder mehrere Nachrichten gleichzeitig auswählen und eine Aktion mit diesen

ausführen können.

Grund

Der Grund, warum die Zustellung der E-Mail blockiert wurde: Malware – die E-Mail enthält Viren oder andere Arten von

Bedrohungen, Spam – die E-Mail enthält Spam, Gesperrt – Die E-Mail weist einen Anhang auf, der nicht gesendet werden

kann, und Ungültiger Header – die Informationen im Header sind ungültig.

Datum

Datum und Zeitpunkt, zu dem die E-Mail in die Quarantäne verschoben wurde.

Größe

Die Größe der E-Mail.

Von

Der Absender der E-Mail.

Betreff

Der Betreff der E-Mail.

Anhang

Die Anzahl der Anhänge der E-Mail.

Aktionen

Die vier Symbole in dieser Spalte stellen die verfügbaren Aktionen dar: Nachricht anzeigen, Nachricht

herunterladen, Nachricht freigeben und an den ursprünglichen Empfänger senden sowie E-Mail löschen.

Ausführlichere Informationen erhalten Sie im nachfolgenden Abschnitt.

Zwei Schaltflächen unterhalb der Tabelle ermöglichen es, Aktionen durchzuführen, wenn in der Tabelle mehr als eine Nachricht

ausgewählt ist.

Freigeben

Gibt die ausgewählten Nachrichten zur sofortigen Zustellung frei.

Löschen

Entfernt die ausgewählten E-Mails dauerhaft.

Beim Klicken auf das Symbol Nachricht anzeigen wird die E-Mail-Liste durch eine Seite mit drei Feldern ersetzt, auf der verschiedene

Details zur ausgewählten E-Mail angezeigt werden.

Mail in Quarantäne

Dieses Feld zeigt eine detailliertere Ansicht der E-Mail-Daten aus der E-Mail-Liste: Der Grund, warum die E-Mail in die Quarantäne

verschoben wurde, Absender und Empfänger mit Cc, Betreff, Datum und Uhrzeit des Empfangs sowie die Größe der E-Mail.

Header

Der vollständige, ursprüngliche Header der E-Mail, der nützliche Informationen enthalten kann, beispielsweise den Pfad, dem die E-Mail

gefolgt ist.

Payload

Hier werden die Anhänge der E-Mail (falls vorhanden) mit ihren Details angezeigt. Darüber hinaus wird jeder HTML-Anhang mit seinem

vollständigen Quellcode angezeigt.

Im unteren Bereich ist folgende Option verfügbar:

Nach Freigabe aus der Quarantäne entfernen

Die E-Mail wird aus der Quarantäne entfernt, nachdem sie für den ursprünglichen Empfänger freigegeben wurde.

Spam Training

Die Panda GateDefender-Appliance beinhaltet die Engine „SpamAssasin“ zum Finden und Bekämpfen von Spam-E-Mails. Auch wenn

sich SpamAssassin in vielen Fällen bewährt hat, müssen die Fähigkeiten der Engine optimiert werden, um Spam-Mails effektiv

abzufangen. Sie können das Training der Anti-Spam-Engine auf dieser Seite konfigurieren: SpamAssassin lernt automatisch, welche E-

Mails als Spam klassifiziert werden und welche nicht (die so genannten „Ham“-Mails). Für die Ausführung des Trainings wird eine

Verbindung zu einem IMAP-Host benötigt, um die Spam- und Ham-Mails in den vordefinierten Ordnern zu prüfen.

Ein Feld enthält die für den Lernmodus verwendete Liste der IMAP-Hosts, die auf verschiedenen Ebenen verwaltet werden können. Im

anderen Feld können Sie die geplanten Updates ändern.

Aktuelle Spam Trainingsquellen

Im ersten Feld können die Trainingsressourcen mithilfe von zwei Links konfiguriert werden. Wenn Sie auf diese Links klicken, werden

zwei Abschnitte angezeigt, in denen Sie die verschiedenen Konfigurationswerte angeben können. Die Standardkonfiguration ist zu

Beginn nicht definiert und wird nicht für das Training verwendet. Es werden nur Werte bereitgestellt, die anschließend tatsächlich in die

Trainingsressourcen übernommen werden. Diese können Sie im Folgenden hinzufügen. Sie können diese Einstellung konfigurieren,

indem Sie auf den Link Standardkonfiguration bearbeiten klicken:

Standard IMAP Host

Der IMAP-Host, der die Trainingsordner enthält.

Standard Benutzername

Der Benutzername für den IMAP-Host.

Standard Passwort

Das Benutzerpasswort

Standard-Hamordner

Der Name eines Ordners, der ausschließlich Ham-Nachrichten enthält. Dabei kann es sich beispielsweise um einen speziell

hierfür vorgesehenen Ordner handeln, in dem ausschließlich „saubere“ Nachrichten gespeichert werden, oder sogar um den

Posteingang.

Standard Spamordner

Der Name eines Ordners, der ausschließlich Spam-Nachrichten enthält.

Für automatisches Spamfilter-Training vormerken

Das Zeitintervall zwischen zwei aufeinander folgenden Prüfungen – stündlich, täglich, wöchentlich oder monatlich. Diese

Option kann deaktiviert werden. Wenn Sie den Mauszeiger über die Fragezeichen bewegen, wird der genaue planmäßige

Zeitpunkt angezeigt. Wenn diese Option deaktiviert ist, muss die Antispam-Engine manuell trainiert werden.

Weitere Quellen für das Spam-Training können im Abschnitt hinzugefügt werden, der nach Klicken auf den Link IMAP Spam

Trainingsquelle hinzufügen angezeigt wird. Die Optionen für die zusätzlichen für das Training verwendeten Hosts entsprechen den

Optionen für die Standardkonfiguration. Eine Ausnahme bilden der Zeitplan (hier wird stets die Standardkonfiguration übernommen) und

die folgenden drei neu verfügbaren Optionen:

Aktiviert

Die Trainingsquelle wird jedes Mal verwendet, wenn SpamAssassin trainiert wird. Wenn diese Option deaktiviert ist, wird die

Quelle nur beim manuellen, jedoch nicht beim automatischen Training verwendet.

Anmerkung

Ein Kommentar zu dieser Quelle.

Bearbeitete Mails löschen

Mithilfe dieser Option wird festgelegt, ob verarbeitete E-Mails gelöscht werden sollen.

Die anderen Optionen können wie in der Standardkonfiguration definiert werden und überschreiben, wenn angegeben, die

Standardwerte. Nachdem alle gewünschten Werte festgelegt wurden, klicken Sie auf die Schaltfläche Trainingsquelle hinzufügen, um die

Konfiguration einer Quelle zu speichern. Mithilfe einer Trainingsquelle können mehrere Aktionen durchgeführt werden:

– Status des IMAP-Hosts: aktiviert oder deaktiviert

– Eigenschaften des IMAP-Hosts ändern

– IMAP-Host entfernen

– Verbindung zum IMAP-Host prüfen

Durch Klicken auf das entsprechende Symbol können Sie die Quelle aktivieren, deaktivieren, bearbeiten, entfernen oder die Verbindung

zur Quelle überprüfen.

Zwei weitere Aktionen sind verfügbar und werden auf sämtliche Verbindungen angewendet, wenn Sie auf eine der Schaltflächen rechts

oben im Feld klicken.

Alle Verbindungen testen

Gleichzeitige Überprüfung aller Verbindungen. Dieser Vorgang kann einige Zeit in Anspruch nehmen, wenn eine große

Anzahl an Trainingsquellen definiert wurde oder die Verbindung zum IMAP-Server langsam ist.

Training jetzt starten

Training wird umgehend gestartet. Beachten Sie, dass das Training längere Zeit in Anspruch nehmen kann. Dies hängt von

verschiedenen Faktoren ab: der Anzahl der Quellen, der Verbindungsgeschwindigkeit und insbesondere von der Zahl der

heruntergeladenen E-Mails.

Hinweis

Die Antispam-Engine kann auch auf andere Weise trainiert werden, wenn der SMTP-Proxy sowohl für eingehende als auch ausgehende

E-Mails aktiviert ist. Dies geschieht durch das Senden von Spam-E-Mails an [email protected] und Ham-E-Mails an [email protected].

Die Hostnamen spam.spam und ham.ham werden der Netzwerkkonfiguration nach der Netzwerkeinrichtung hinzugefügt und sind Aliase

des Localhost. Falls diese zwei Adressen nicht vorhanden sind, können sie der Hostkonfiguration auf der Panda GateDefender-

Appliance unter Menüleiste ‣ Netzwerk ‣ Hosts bearbeiten ‣ Host hinzufügen hinzugefügt werden.

Zeitplan für SpamAssassin Regelupdates

In diesem Feld können Sie eine der vier folgenden Optionen für den automatischen Download von SpamAssassin-Signaturen festlegen:

Stündlich, täglich, wöchentlich und monatlich.

Intrusion Prevention

Die Panda GateDefender-Appliance enthält das bekannte System snort zur Einbruchserkennung (IDS) und -verhinderung (IPS), das

direkt in iptables integriert ist, um Verbindungen von unerwünschten oder nicht vertrauenswürdigen Quellen abzufangen und zu

verwerfen.

Die Seite enthält drei Registerkarten: Intrusion Prevention System, Regeln und Editor.

Intrusion Prevention System

Ist SNORT nicht aktiviert, wird auf der Seite neben der Bezeichnung Intrusion Prevention System aktivieren ein grauer Schalter

angezeigt, über den Sie den Dienst starten können. Sie werden in einer Nachricht darüber informiert, dass ein Neustart

des Dienstes durchgeführt wird. Kurze Zeit später werden im Feld einige Optionen zur Konfiguration des Dienstes angezeigt.

SNORT Regeln automatisch herunterladen

Durch Aktivieren dieses Feldes lädt die Panda GateDefender-Appliance automatisch die snort-Regeln von der Panda Perimetral

Management Console herunter.

Hinweis

Wenn die Panda GateDefender-Appliance nicht registriert ist, werden die Regeln von der Webseite „Emerging

Threats“ heruntergeladen. Außerdem wird eine informative Meldung am unteren Rand der Seite angezeigt.

Updateintervall wählen

Die für die Regeln festgelegte Download-Häufigkeit: Mithilfe eines Dropdown-Menüs können Sie die einzelnen Optionen –

stündlich, täglich, wöchentlich oder monatlich – auswählen. Diese Option ist nur verfügbar, wenn die vorherige Option

aktiviert wurde.

Benutzerdefinierte SNORT Regeln

Datei mit benutzerdefinierten SNORT-Regeln, die hochgeladen werden sollen. Wählen Sie aus dem Fenster, das nach

Klicken auf die Schaltfläche Durchsuchen angezeigt wird, eine Datei aus, und laden Sie sie hoch, indem Sie auf die

Schaltfläche Benutzerdefinierte Regeln hochladen klicken.

Regeln

Auf der Registerkarte Regeln wird eine Liste von Regelsätzen angezeigt, die auf der Panda GateDefender-Appliance gespeichert werden.

Dazu werden die Anzahl der darin enthaltenen Regeln und den Aktionen aufgeführt, die damit ausgeführt werden können:

– Status des Regelsatzes: aktiviert oder deaktiviert

– Die auf Pakete angewendete Richtlinie: durchlassen oder blockieren

– Eigenschaften des Regelsatzes ändern

– Regelsatz entfernen

Hinweis

Wenn Sie auf der Registerkarte Regeln bestimmte Regeln bearbeiten, werden diese beim Öffnen der Seite Editor (siehe unten)

automatisch angezeigt.

Alle Aktionen außer „Bearbeiten“ können für mehrere Regelsätze gleichzeitig ausgeführt werden. Wählen Sie dazu die Regelsätze (durch

Aktivieren des Kontrollkästchens links neben dem Dateinamen) aus, und klicken Sie auf die Schaltfläche unterhalb der Liste.

Die Richtlinie Alarm ist für alle Regelsätze standardmäßig aktiviert. Sie können diese Einstellung ändern, indem Sie auf das Alarmsymbol

klicken. Für die Richtlinie ist nun die Einstellung Blockieren konfiguriert, und das Alarmsymbol wird als rotes Schildsymbol angezeigt.

Nach Klicken auf die Schaltfläche Übernehmen wird durch die betreffende Regel kein Alarm mehr ausgelöst. Der gesamte von der Regel

betroffene Datenverkehr wird blockiert.

Sie können Regeln löschen, indem Sie auf das Papierkorbsymbol klicken. Wenn Sie auf das Stiftsymbol klicken, werden Sie hingegen

zur Editor-Seite umgeleitet, auf der Sie die Regeln unabhängig voneinander bearbeiten können.

Editor

Im oberen Bereich der Seite Editor werden die Regelsätze angezeigt, die Sie bearbeiten können. Sie können mehrere Regelsätze

gleichzeitig auswählen, indem Sie während des Anklickens der Regeln die Taste STRG gedrückt halten.

Nachdem Sie die Regelsätze ausgewählt und auf die Schaltfläche Bearbeiten geklickt haben, werden in einer Liste die ausgewählten

Regeln angezeigt. Sie können die Liste durch Eingabe einiger Begriffe im Textfeld neben der Bezeichnung Suche einschränken. Wie auf

der Seite Regeln können auch hier die Richtlinien zu den einzelnen Einträgen geändert werden.

Warnung

Wenn Sie das IPS-System aktivieren, wird SNORT zwar ausgeführt, aber der Datenverkehr wird noch nicht gefiltert. Damit snort Pakete

filtert, muss die Filterrichtlinie Mit IPS erlauben für die auf den verschiedenen Konfigurationsseiten der Firewall definierten Regeln

ausgewählt werden.

Hochverfügbarkeit

Die Panda GateDefender-Appliance kann im HV-Modus ausgeführt werden. Für dessen unkomplizierte Einrichtung werden mindestens

zwei Panda GateDefender-Appliances benötigt, von denen eine die Rolle der aktiven (Master) Firewall übernimmt. Die restlichen

Firewalls (Slaves) sind im Standby-Betrieb.

Wenn die Master-Firewall ausfällt, wird eine der Slave-Firewalls als neue Master-Firewall ausgewählt. So wird ein transparentes Failover

gewährleistet. Wenn jedoch nur ein Slave vorhanden ist, werden sofort die Aufgaben des Masters übernommen, und es wird im Fall

eines Hardwareausfalls der primären Appliance ein nahtloser Failover-Übergang auf die zweite Panda GateDefender-Appliance

ermöglicht. Dies gewährleistet eine beispiellose Verfügbarkeit und Redundanz der Hardware, die für kritische Netzwerkvorgänge und für

die Sicherheit unerlässlich ist.

Zum Starten des HV-Dienstes müssen mindestens eine Panda GateDefender-Appliance als Master und eine als Slave entsprechend den

folgenden Richtlinien konfiguriert sein.

Hinweis

Das Hochverfügbarkeitsmodul erfordert mindestens zwei identische Panda GateDefender-Appliances.

Achten Sie darauf, dass beim Einrichten des Hochverfügbarkeitsmoduls für jede Verbindung zur Panda-Appliance eine Duplizierung

ermöglicht werden muss. Jede Verbindung auf der primären Einheit (beispielsweise WAN, LAN usw.) muss auf den einzelnen Standby-

Einheiten repliziert werden, um eine vollständige Replikation gewährleisten zu können.

In diesem Szenario ist jedes Netzwerk auf der Panda GateDefender-Appliance (WAN, LAN usw.) mit einem extern verwalteten Switch

verbunden, der für jedes zugewiesene Netzwerk ein eindeutiges VLAN besitzt. Bei dieser Bereitstellungsoption werden am wenigsten

Netzwerkports benötigt, wodurch höhere Erweiterungskapazitäten vorhanden sind. Eine andere Möglichkeit besteht darin, einen zentral

verwalteten (VLAN-fähigen) Switch durch kleinere, separate Switches für die einzelnen Netzwerke (WAN, LAN usw.) zu ersetzen. Diese

Einrichtung könnte jedoch nicht kosteneffizient und weniger verlässlich sein, da ein Ausfall auf einem beliebigen Switch zu einem

teilweisen oder vollständigen Failover führen kann.

Warnung

Der Hochverfügbarkeitsdienst wird automatisch über das GRÜNE Netzwerk ausgeführt. Sie können die Einstellung jedoch so

konfigurieren, dass der Dienst über die Switch-Verbindung ausgeführt wird. Alternativ können Sie dem GRÜNEN Netzwerk auch einen

Ethernet-Port zuweisen, um das Master-Gerät direkt mit der Slave-Einheit zu verbinden. Der Vorteil einer direkten Verbindung besteht

darin, dass der Switch nicht mehr für den Failover benötigt wird. Mögliche Problemquellen werden somit beseitigt, was zu einer höheren

Zuverlässigkeit führt. Die Wahl dieser Option hängt größtenteils von der Zuverlässigkeit des verwalteten Switches ab (doppelte

Stromversorgung, Ausfallrate der Ports, Garantiebestimmungen usw.). Je zuverlässiger/redundanter die Switch-Konfiguration ist, desto

unbedenklicher wird die Verwendung einer direkten Verbindung sein.

Auf dieser Seite wird nur ein Feld angezeigt, in dem zunächst eine Option verfügbar ist:

Hohe Verfügbarkeit (HA) aktivieren

Aktivierung des HV-Dienstes auf der Panda GateDefender-Appliance. Der Dienst ist standardmäßig deaktiviert.

Nach Aktivierung wird ein zweites Dropdown-Menü mit der Bezeichnung Hochverfügbarkeit Seite angezeigt. Hier können Sie die Panda

GateDefender-Appliance als Master oder Slave konfigurieren. Je nach Auswahl sind unterschiedliche Konfigurationsoptionen verfügbar.

Für die Konfiguration einer Slave-Einheit wird eine bereits eingerichtete Master-Einheit benötigt.

Die folgenden Optionen sind für die Master-Seite verfügbar:

Management Netzwerk

Spezielles Subnetz, mit dem alle Panda GateDefender-Appliances verbunden werden müssen, die am eingerichteten

Hochverfügbarkeitsdienst beteiligt sind. Die Standardkonfiguration des Subnetzes lautet 192.168.177.0/24.

Sofern dieses Subnetz nicht bereits für andere Zwecke verwendet wird, muss es nicht modifiziert werden.

IP-Adresse des Primärrechners

Erste IP-Adresse des Management-Netzwerks. Sie ist automatisch mit 1 auf dem ausgewählten Netzwerk eingerichtet und

nimmt standardmäßig den Wert 192.168.177.1 an.

Benachrichtigung: Emailadresse des Empfängers, Benachrichtigung: Absender Emailadresse, Benachrichtigung: E-Mail-Betreff, Hinweis: zu verwendender SMTP-Server

Diese Optionsfelder können ausgefüllt werden, um per E-Mail über Ausfälle benachrichtigt zu werden. Diese Optionen

werden auf dieselbe Weise konfiguriert wie die Optionen für andere Ereignisbenachrichtigungen unter Menüleiste ‣ System ‣

Ereignisbenachrichtigung. Folgende Angaben werden für den E-Mail-Versand benötigt: ein benutzerdefinierter Absender,

Empfänger, E-Mail-Betreff und ein SMTP-Smarthost.

STP aktivieren

Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Diese Option und die

nachfolgende sind wichtig, wenn die Panda GateDefender-Appliance im Gateway-Modus ausgeführt wird.

STP Bridge Priorität

Die Priorität der Bridge. Sie muss 1 auf der Seite des Masters sein.

Nach Aktivierung des Hochverfügbarkeitsdienstes wird ein weiteres Feld mit einer Liste der Slaves und der zugehörigen IP-Adressen

angezeigt. Des Weiteren haben Sie hier die Möglichkeit, über einen Link auf die entsprechende Management-GUI zuzugreifen und

Slaves zu entfernen.

Management-Netzwerk des Hochverfügbarkeitsdienstes:

Die Panda GateDefender-Appliance verwendet ein spezielles Netzwerk, um die Master- und Slave-Einheit(en) zu verbinden:

192.168.177.0/24. Wenn dieses Netzwerk bereits in anderen Zonen verwendet wurde, wird keines der bereits definierten Netzwerke

gelöscht und es ist keine Modifizierung der Netzwerke erforderlich. Weisen Sie in diesem Fall dem HV-Management-Netzwerk einfach

einen anderen IP-Adressbereich zu, beispielsweise 172.19.253.0/24 oder 10.123.234.0/28. Es ist wichtig zu beachten, dass die einzige

Voraussetzung des Verwaltungsnetzwerks seine Größe ist. Es muss groß genug sein, um den Master und alle Slaves unterzubringen.

Daher sollte im Falle nur eines Master- und Slave-Geräts auch ein Netzwerk mit einer Größe von 192.168.177.0/29 ausreichend sein.

Das Management-Netzwerk wird als Schnittstelle im GRÜNEN Netzwerk eingerichtet, und wird auf dem Gerät bzw. beim Anzeigen des

Netzwerkstatus als solche angezeigt.

Warnung

Stellen Sie sicher, dass das Management-Netzwerk über das aktuelle LAN erreichbar ist. Anderenfalls ist eine Anmeldung bei der

Master-Einheit nicht möglich!

Nach Konfiguration der Master-Einheit können Sie die zweite Panda GateDefender-Appliance einrichten, die als Slave genutzt wird. Auf

dieselbe Weise werden alle weiteren Slave-Einheiten konfiguriert.

Warnung

Es wird dringend empfohlen, vor der Konfiguration ein Backup der Slave-Einheit zu erstellen und an einem sicheren Ort zu speichern, da

es nützlich sein kann, um eine Slave-Einheit wiederherzustellen, nachdem diese aus ihrer Rolle entfernt wurde.

Für die Slave-Einheiten sind folgende Optionen verfügbar:

IP-Adresse des Primärrechners

Die IP-Adresse der Master-Einheit ist standardmäßig 192.168.177.1/24, wenn das Verwaltungsnetzwerk nicht

geändert wurde. Dieser Wert muss mit dem Wert übereinstimmen, der auf der Master-Einheit unter IP-Adresse des

Primärrechners angezeigt wird.

Master Rootpasswort

Das Passwort root-Benutzers der Konsole (nicht der grafischen Administrationsoberfläche) auf der Master-Einheit.

Diese Daten werden von der Slave-Einheit verwendet, um alle erforderlichen Daten von der Master-Einheit abzurufen und die

Synchronisation zu gewährleisten.

STP aktivieren

Wählen Sie aus dem Dropdown-Menü, ob das Spanning Tree-Protokoll (STP) aktiviert werden soll. Auf der Seite des Slaves

muss diese Option denselben Wert wie auf der Master-Seite haben.

STP Bridge Priorität

Die Priorität der Bridge. Auf der Seite des Slave muss dies eine Ziffer oder Zahl größer als die auf der Master-Seite sein.

Nach Speichern der Einstellungen wird im Laufe der Erstellung des Management-Netzwerks die Verbindung zum Gerät vorübergehend

unterbrochen. Anschließend werden beide Geräte (die Master- und aktuell definierte Slave-Einheit) synchronisiert.

Nach Abschluss des Synchronisationsvorgangs ist die Slave-Einheit nicht mehr über die alte IP-Adresse (die werksseitig eingestellte

oder vorherige GRÜNE IP-Adresse) erreichbar, da sich die Einheit nun im Standby-Modus befindet und nur über das Management-

Netzwerk mit der Master-Einheit verbunden ist. Alle Änderungen an der primären Einheit (wie das Aktivieren von Diensten, Ändern von

Einstellungen, Löschen eines VPN-Benutzers usw.) werden automatisch an die Slave-Einheit(en) übermittelt – mit Ausnahme von

Updates, Upgrades oder Datensicherungen (diese müssen manuell auf der Slave-Einheit durchgeführt werden).

Zudem wird die Slave-Einheit der Panda-Appliance automatisch in der Slave-Liste der Master-Einheit angezeigt und nur noch als

informative Weboberfläche verwendet, auf die Sie von der Master-Einheit über den Link Zur Management-GUI wechseln neben den

einzelnen Einträgen in der Slave-Liste zugreifen können.

Die ROTE MAC-Adresse

Während des HV-Failovers wird die MAC-Adresse der ROTEN Schnittstelle auf der Slave-Einheit nicht repliziert. Dies kann ein Problem

darstellen, wenn der Internetdienstanbieter die Einstellungen für die statische IP-Adresse benötigt. In diesem Fall wird die vom

Internetdienstanbieter zugewiesene IP-Adresse von der MAC-Adresse der Client-Netzwerkschnittstelle bestimmt, ähnlich wie bei einer

statischen IP-Adresse, die von einem DHCP-Server an den Client vergeben wird. Es könnte nicht möglich sein, sich erneut mit der

Slave-Einheit zu verbinden. Zur Vermeidung dieser Situation ist es notwendig, die Funktion für gefälschte MAC-Adressen auf der

ROTEN Schnittstelle zu verwenden, damit HV korrekt funktioniert. Um diese Situation zu vermeiden, müssen Sie für ein

ordnungsgemäßes Funktionieren des Hochverfügbarkeitsdienstes für die ROTE Schnittstelle eine gespoofte MAC-Adresse verwenden.

Dies kann auf dem Slave vor der Aktivierung durch Auswahl der Option Verwende benutzerdefinierte MAC Adresse unter Menüleiste ‣

Netzwerk ‣ Schnittstellen ‣ Main Uplink bearbeiten ‣ Erweiterte Einstellungen erreicht werden. Alternativ können Sie in Schritt 4 des

Netzwerkinstallationsassistenten im Optionsfeld Verwende diese MAC Adresse die MAC-Adresse der Master-Einheit eingeben.

Netzwerkmonitoring

Der Dienst Traffic Monitoring wird von ntopng ausgeführt und kann durch Betätigen des Hauptschalters auf dieser Seite aktiviert bzw.

deaktiviert werden. Sobald die Überwachung des Datenverkehrs aktiviert ist, wird im unteren Abschnitt der Seite ein Link zu einer neuen

Administrationsoberfläche angezeigt. Der Verkehr kann durch den Host, das Protokoll, die lokale Netzwerkschnittstelle und viele andere

Informationstypen visualisiert und analysiert werden: Alle diese Vorgänge können direkt vom Modul Netzwerkmonitoring im Menü

„Protokolle und Berichte“ ausgeführt werden.

SNMP-Server

Der SNMP-Dienst dient der Überwachung von mit dem Netzwerk verbundenen Geräten. Er wird unter anderem zur Überprüfung des

Status der internen Infrastruktur verwendet.

Um den SNMP-Server zu aktivieren, müssen Sie nur auf den grauen Schalter neben der Option Aktiviere SNMP Server klicken.

Daraufhin werden im Feld Einstellungen verschiedene Optionen angezeigt.

Community String

Schlüssel zum Lesen von Daten mithilfe des SNMP-Clients.

Standort

Eine Zeichenfolge, die auf einen beliebigen Wert gesetzt werden kann. Es ist jedoch ratsam, dass sie den Ort der Panda

GateDefender-Appliance beschreibt.

Überschreibe globale Benachrichtigunsemailadresse

Der SNMP-Server muss eine E-Mail-Adresse als Kontaktstelle mit dem System konfigurieren. Standardmäßig wird die im

Laufe der Installation bereitgestellte globale E-Mail-Adresse verwendet. Um eine benutzerdefinierte E-Mail-Adresse zu

verwenden, aktivieren Sie das Kontrollkästchen, und geben Sie im direkt unterhalb aktivierten Feld System Kontakt

Emailadresse die benutzerdefinierte E-Mail-Adresse ein.

Quality of Service

Der Zweck des QoS-Moduls ist es, den IP-Verkehr zu priorisieren, der dienstabhängig durch die Panda GateDefender-Appliance strömt.

Mithilfe von QoS lässt sich ein Teil der verfügbaren (eingehenden und ausgehenden) Bandbreite für einen spezifischen Dienst bequem

reservieren. Anwendungen, die für gewöhnlich höher als der übliche Datenverkehr priorisiert werden müssen, sind interaktive Dienste

wie SSH oder VoIP.

Die Konfigurationsoptionen des Moduls sind in drei Registerkarten angeordnet: Geräte, Klassen und Regeln.

Geräte

Die Registerkarte Geräte ist gleichzeitig die Startseite des Moduls und zu Beginn leer. Nach der Eingabe von Daten wird eine Tabelle mit

der Liste sämtlicher definierter Geräte angezeigt. Für jedes Gerät werden einige Parameter sowie die verfügbaren Aktionen dargestellt.

Sie können neue QoS-Geräte hinzufügen, indem Sie über der Liste auf den Link QoS Gerät hinzufügen klicken und einige Optionen

konfigurieren.

Zielgerät

Die Netzwerkschnittstelle, die von diesem Gerät verwendet wird. Sie können im Dropdown-Menü aus verschiedenen, auf

dem System aktivierten Netzwerkschnittstellen oder Zonen auswählen.

Downstream Bandbreite (kbit/s)

Die Downstream-Geschwindigkeit der Schnittstelle.

Upstream Bandbreite (kbit/s)

Die Upstream-Geschwindigkeit der Schnittstelle.

Aktiviert

Aktivierung des QoS (Standard).

Die möglichen Aktionen für das Gerät sind:

– Das Gerät aktivieren oder deaktivieren

– Eigenschaften des Geräts ändern

– Gerät entfernen

Beim Bearbeiten eines Geräts wird das gleiche Formular geöffnet wie beim Hinzufügen eines neuen Geräts. In diesem Formular können

Sie die aktuellen Parameter des Geräts ändern.

Für jedes Gerät, das neu hinzugefügt wird, werden auf der Registerkarte Klassen vier Elemente angezeigt: Drei Symbole stehen für hohe,

mittlere und niedrige Priorität, das letzte Symbol für den übrigen Verkehr (siehe unten).

Klassen

Auf dieser Registerkarte wird eine Liste mit sämtlichen Dienstqualitätsklassen angezeigt, die erstellt wurden (falls vorhanden). Zu jedem

Eintrag werden verschiedene Daten angezeigt. Sie können neue Elemente hinzufügen, indem Sie über der Klassenliste auf den Link

Quality of Service Klasse hinzufügen klicken. Die zu konfigurierenden Parameter sind die gleichen wie in der Liste:

Name

Name der QoS-Klasse.

QOS Gerät

Das Dropdown-Menü ermöglicht die Auswahl des QoS-Geräts, für das die Klasse erstellt wurde.

Tipp

Es muss mindestens ein QoS-Gerät erstellt werden, bevor Sie eine QoS-Klasse definieren können.

Reserviert

Prozentsatz der Bandbreite, der von der gesamten verfügbaren Bandbreite des Geräts für diese Klasse reserviert wurde.

Limit

Maximaler Prozentsatz der Bandbreite, die von dieser Klasse genutzt werden kann.

Priorität

Die Priorität der Klasse von 0 (niedrig) bis 10 (hoch), auswählbar in einem Dropdown-Menü.

Hinweis

Die Summe der reservierten Prozentsätze pro Gerät kann nicht größer als 100 sein. Zudem kann die reservierte Bandbreite nicht höher

sein als die begrenzte Bandbreite.

Die verfügbaren Aktionen sind: * – Ändern der Geräteeigenschaften, * – Verschieben der Klasse in die Liste, * – Gerät

entfernen.

Klassen können in der Liste nach oben oder unten verschoben werden: Elemente weiter oben auf der Liste werden zuerst verarbeitet,

wenn die Bandbreite nicht für den gesamten Datenverkehr ausreicht und die Panda GateDefender-Appliance entscheiden muss, welcher

Datenverkehr priorisiert wird.

Regeln

Auf der dritten Registerkarte wird eine Liste der bereits definierten Dienstqualitätsregeln angezeigt. Hier können Sie bestimmen, welche

Arten von Datenverkehr welcher Klasse zugeordnet werden sollen. Klicken Sie auf den Link Quality of Service Regel hinzufügen, um

eine neue Regel hinzuzufügen. Im daraufhin angezeigten Formular, das dem Formular zur Definition der Firewall-Regeln ähnelt, müssen

verschiedene Werte konfiguriert werden. Eine Reihe von Dropdown-Menüs soll die Auswahl und den Konfigurationsprozess erleichtern.

Quelle

Wählen Sie aus dem Dropdown-Menü die Quelle für den Datenverkehr aus: Zone, Schnittstelle, Netzwerk, IP- oder MAC

Adresse. Je nach Auswahl können unterschiedliche Werte angegeben werden: eine der verfügbaren Zonen oder

Schnittstellen, die angezeigt werden; eine oder mehrere IP- bzw. MAC- Adressen oder ein bzw. mehrere Netzwerke.

Zielgerät/Datenverkehrsklasse

Wählen Sie das Gerät/die Klasse aus dem Dropdown-Menü aus. Tragen Sie anschließend die Ziel-IP-Adresse oder die

Netzwerke in das Textfeld auf der rechten Seite ein.

Service/Port, Protokoll

Mithilfe der beiden nachfolgenden Dropdown-Menüs werden der Dienst und das Protokoll für die Regel angegeben. Bei

Auswahl der Protokolle „TCP“, „UDP“ oder „TCP und UDP“ wird zusätzlich ein Zielport angegeben. Es sind auch einige

vordefinierte Dienst/Protokoll/Port-Kombinationen vorhanden, z. B. HTTP/TCP/80, <ALL>/TCP+UDP/0:65535 und <ANY>,

wobei Letzteres für alle Dienste, Protokolle und Ports steht. Unter Ziel Port können eine oder mehrere Portnummern

bereitgestellt werden. Diese Option ist besonders dann nützlich, wenn das Ausführen von Diensten über andere als die

Standardports erfolgt.

TOS/DSCP

Mithilfe dieser Option wird der passende TOS- oder DSCP-Wert ausgewählt.

Wert bei Datenverkehr anwenden

Durch Auswahl von TOS oder der DSCP-Klasse im vorherigen Dropdown-Menü kann nun aus einem anderen Dropdown-

Menü ein geeigneter Wert für den passenden Datenverkehr ausgewählt werden. Wurde DSCP-Wert ausgewählt, kann ein

benutzerdefinierter Wert eingegeben werden, welcher der Regel entspricht.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Regel aktiviert.

Kommentar

Kommentar zur Identifizierung dieser Regel

Hinweis

Wenn mehr als ein Dienst für eine Dienstqualitätsklasse verfügbar ist, wird die reservierte Bandbreite auf alle Dienste aufgeteilt.

Die für die Regeln verfügbaren Aktionen sind:

Menü „Dienste“

65

– Die Regel aktivieren oder deaktivieren

– Eigenschaften der Regel ändern

– Regel entfernen

am 31. Januar 2014.

Menü „Firewall“ Menü „Firewall“

Auf dieser Seite finden Sie:

Gemeinsame Konfigurationselemente

Portweiterleitung / NAT

o Portweiterleitung / Destination NAT

o Source NAT

o Eingehender gerouteter Datenverkehr

Ausgehender Datenverkehr

Inter-Zone-Datenverkehr

VPN-Datenverkehr

Systemzugriff

Firewalldiagramme

In diesem Abschnitt wird das Einrichten von Regeln beschrieben, mit denen die Durchleitung des Netzwerkdatenverkehrs in der Panda

GateDefender-Appliance gesteuert wird. Die Firewall der Panda GateDefender-Appliance ist in verschiedene Module unterteilt. Über

diese werden die verschiedenen Datenverkehrstypen überwacht, zugelassen oder blockiert. Die folgenden Module sind verfügbar:

Portweiterleitung / NAT: Portweiterleitung und abbr:NAT (Network Address Translation) (Network Address Translation)

Ausgehender Datenverkehr: Datenverkehr in Richtung der ROTEN Schnittstelle

Inter-Zone Datenverkehr: Datenverkehr zwischen den einzelnen Zonen

VPN Datenverkehr: Datenverkehr von VPN-Benutzern

Systemzugriff: Gewähren von Zugriff auf den Panda GateDefender-Appliance-Host

Firewalldiagramme: Grafische Darstellung des von den jeweiligen Firewalltypen unterbrochenen Datenverkehrs

In den Untermenüs, in denen jeweils alle vorhandenen Regeln aufgeführt sind, können für jeden Diensttyp bzw. für alle Port/Protokoll-

Kombinationen benutzerdefinierte Regeln hinzugefügt werden. Die verschiedenen Komponenten der Firewall sind für unterschiedliche

Typen von Datenverkehr zuständig (z. B. OpenVPN für den Datenverkehr von VPN- Benutzern und Inter-Zone für den Datenverkehr

zwischen Zonen). Sie sind so konzipiert, dass Regelüberschneidungen und -konflikte vermieden werden. Es ist somit ausgeschlossen,

dass zwei Regeln in zwei unterschiedlichen Firewallmodulen erstellt werden, deren Zusammenwirken ein unerwünschtes Blockieren oder

Erlauben von Paketen zur Folge hat.

Durch die Trennung der von der Panda GateDefender-Appliance gesteuerten Netzwerke wird auch die Verwaltung der Firewall

vereinfacht, deren Konfiguration sehr komplex werden kann. Tatsächlich sollten die Module als eigenständige Firewalls betrachtet

werden, durch deren Zusammenwirken alle durch die Panda GateDefender-Appliance geleiteten Paketströme abgedeckt werden.

Für jedes der oben aufgeführten Module existieren unter Umständen Regeln, die weder deaktiviert noch entfernt werden können. Diese

sogenannten Regeln der Systemdienste (oder auch Systemregeln) dienen der Interoperabilität der auf der Panda GateDefender-

Appliance ausgeführten Dienste mit der Infrastruktur der Panda Perimetral Management Console.

Die hier definierten Regeln werden in Befehle für iptables (Standard-Firewalltool von Linux ab Kernel 2.4) umgewandelt und in Tabellen,

Ketten und Regeln gegliedert. Ausführlichere Beschreibungen der verschiedenen Firewall-Komponenten sowie Informationen zur

Feinabstimmung und Verwaltung komplexer Firewalls können auf der Manpage zu iptables(8) auf jedem Linux-System oder in den

zahlreichen Online-Ressourcen und Tutorials im Internet gefunden werden.

Gemeinsame Konfigurationselemente

Da alle Werte mithilfe von iptables eingerichtet werden, sind die meisten Werte, die beim Hinzufügen einer Regel in den verschiedenen

Modulen konfiguriert werden müssen, desselben Typs (z. B. die Quell- und Zielschnittstellen). Daher werden aus Gründen der

Lesefreundlichkeit alle gemeinsamen Konfigurationselemente der Firewallmodule an dieser Stelle nur einmal dargestellt. Zusätzliche

Erläuterungen werden nur dann bereitgestellt, wenn wesentliche Unterschiede zu den hier aufgeführten Beschreibungen bestehen.

Quelle oder Eingehende IP: Mit dieser Einstellung wird, meist aus einem Dropdown-Menü, die entsprechende Art der Quelle bzw.

eingehenden Verbindung ausgewählt. Je nach Auswahl können in dem kleinen Feld darunter Verbindungen ausgewählt werden, auf

die die Regel angewendet werden soll: Zone/VPN/Uplink für die Quellzone, den VPN-Client oder den Uplink, Netzwerk/IP/Bereich für

die IP-Adresse, den IP-Adressbereich oder die Netzwerkadressen und OpenVPN User und L2TP Benutzer für die OpenVPN- bzw.

L2TP-Benutzer.

Ziel: Mit dieser Einstellung wird über ein Dropdown-Menü das entsprechende Ziel ausgewählt. Die drei verfügbaren Optionen sind

grundsätzlich mit denen im Dropdown-Menü Quelle identisch: Zone/VPN/Uplink, Netzwerk/IP, OpenVPN User und L2TP Benutzer. Es

bestehen jedoch geringfügige Unterschiede: So sind z. B. OpenVPN- oder L2TP-Benutzer für manche Regeltypen als Ziel nicht

zulässig.

Dienst, Port und Protokoll: Ein Dienst ist in der Regel als Kombination aus Port und Protokoll definiert. So wird beispielsweise der SSH-

Dienst standardmäßig über Port 22 mithilfe des TCP- Protokolls ausgeführt. Mithilfe dieser drei Optionen werden Port und Protokoll

bestimmt, auf die die Regel angewendet werden soll. Über die zwei Dropdown-Menüs wird entweder ein vordefinierter Dienst

ausgewählt, wodurch auch Protokoll und Portbereich in das Textfeld eingetragen werden, oder ein Protokoll und optional ein Port oder

Portbereich. Folgende Protokolle sind verfügbar: die am häufigsten verwendeten Protokolle TCP und UDP, das von Tunneln

verwendete GRE, das von IPsec verwendete ESP und das von den Befehlen ping und traceroute verwendete ICMP.

Hinweis

Die Dropdown-Menüs enthalten eine große Auswahl vordefinierter Dienste, wodurch der Internetzugriff der am häufigsten verwendeten

Dienste ermöglicht werden sollte. Benutzerdefinierte Kombinationen aus Port und Protokoll sollten nur verwendet werden, wenn

Dienste nicht über ihre Standardports ausgeführt werden (z. B. ein SSH-Server mit Port 2345 oder ein Webserver mit Port 7981) oder

ein ganz bestimmter Port benötigt wird (z. B. für Multiplayerspiele über das Internet).

Untergeordnete Regel „Zugriff von“‘: Nahezu jede Regel kann mithilfe verschiedener „Zugriff von“-Regeln näher spezifiziert werden. So

können Sie beispielsweise für einen Client verschiedene Zugriffsbeschränkungen je nach Zone einrichten, von der eine Verbindung mit

der Panda GateDefender-Appliance hergestellt wird. „Zugriff von“-Regeln können im erweiterten Modus konfiguriert werden (weiter

unten beschrieben). Als Folge kann sich eine Regel je nach Anzahl der definierten Zugriffsrichtlinien über zwei oder noch mehr Zeilen

erstrecken. Die untergeordneten „Zugriff von“-Regeln können ohne Änderung der Hauptregel einzeln gelöscht werden. Auf jede

untergeordnete Regel kann hierbei sogar eine unterschiedliche Filterrichtlinie Anwendung finden.

Richtlinie und Filterrichtlinie: Die Aktion, die für die von der aktuellen Regel betroffenen Pakete ausgeführt werden soll. Im Dropdown-

Menü stehen vier Optionen zur Auswahl: Mit der Option GESTATTEN mit IPS werden Pakete durchgelassen und mithilfe von Intrusion

Prevention System analysiert. Mit GESTATTEN werden Pakete ohne Prüfung durchgelassen, und durch VERWERFEN werden sie

verworfen. Durch die Option ZURÜCKWEISEN werden Pakete verworfen, und als Antwort wird ein Fehlerpaket gesendet.

Aktiviert. Erstellte Regeln sind standardmäßig aktiv, können aber durch Deaktivieren des Kontrollkästchens auch in nicht aktiviertem

Zustand gespeichert werden. Sie werden dann beim Filtern der Pakete nicht angewendet. Das Deaktivieren von Regeln kann für die

Fehlerbehebung bei Verbindungsproblemen nützlich sein.

Protokoll und Alle akzeptierten Pakete loggen: Standardmäßig ist das Protokollieren beim Filtern von Datenverkehr deaktiviert. Durch

Aktivieren des Kontrollkästchens kann es für eine Regel aktiviert werden.

Warnung

Bei großen Mengen von Daten und zu analysierenden Paketen erreichen Protokolldateien in kurzer Zeit eine enorme Größe. Deshalb

sollten Protokollverzeichnisse regelmäßig geprüft werden, um sicherzustellen, dass genügend Speicherplatz verfügbar ist.

Anmerkung: Eine Beschreibung oder Anmerkung zum Zweck der Regel.

Position: Beachten Sie, dass die iptables-Regeln gemäß der Reihenfolge in der Liste verarbeitet werden, und dass manche Regeln

„endgültigen“ Charakter haben, d. h. dass sie Pakete verwerfen oder ablehnen, wodurch die Verarbeitung nachfolgender Regeln

entfällt. Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, an welcher Position eine Regel gespeichert werden soll.

Aktionen: Für Regeln können stets mehrere Aktionen ausgeführt werden:

o – Regeln in der Liste nach oben oder unten verschieben.

Tipp

Beachten Sie, dass die Reihenfolge wichtig ist. Die Firewall-Regeln werden in der Reihenfolge verarbeitet, in der sie auf der Seite

von oben nach unten erscheinen.

o – Die Regel aktivieren oder deaktivieren.

o – Die Regel bearbeiten.

o – Die Regel entfernen.

Nach dem Speichern aller Änderungen in den Firewallregeln muss die Firewall neu gestartet werden, damit die geänderte Konfiguration

geladen wird. Zur Erinnerung wird ein Hinweis mit der Schaltfläche Übernehmen angezeigt.

Portweiterleitung / NAT

Das Modul „Portweiterleitung / NAT“ besteht aus drei Registerkarten: „Port forwarding / DNAT“, „Source NAT“ und „Eingehender

gerouteter Datenverkehr“. Das Modul verwaltet den gesamten Uplink-Datenverkehr aus der ROTEN Zone zur Panda GateDefender-

Appliance sowie den eingehenden und ausgehenden NAT-Datenverkehr.

Portweiterleitung / Destination NAT

Destination NAT wird in der Regel zur Zugriffsbeschränkung für nicht vertrauenswürdige Netzwerke oder zum Umleiten von

Datenverkehr aus einem solchen Netzwerk zu einem festgelegten Port oder einer festgelegten Adresse-Port-Kombination verwendet. Es

kann definiert werden, welcher Port an welcher Schnittstelle zu welchem Host und Port weitergeleitet werden soll.

Die Liste der konfigurierten Regeln zeigt mehrere Informationen an: Die ID (#), die für die Reihenfolge der auf den Datenverkehr

angewendeten Regeln steht, die Adresse für die Eingehende IP, der Dienst (Port und Protokoll), zu dem der Datenverkehr geleitet wird,

die auf den Datenverkehr angewendete Richtlinie, die Übersetze zu-Adresse (Zielhost und -port für die Umleitung des Datenverkehrs),

eine benutzerdefinierte Anmerkung, sowie die verfügbaren Aktionen.

Beim Bearbeiten einer Regel wird das gleiche Formular geöffnet wie beim Hinzufügen einer neuen Regel durch Klicken auf Neue Port

forwarding / Destination NAT Regel hinzufügen. Mithilfe eines Links rechts oben auf der Formularseite kann zwischen Einfacher Modus

und Erweiterter Modus gewechselt werden. Im erweiterten Modus können auch die Option Zugriff von, die Richtlinie und der Typ

Übersetze zu exakt eingestellt werden.

Zusätzlich zu den gemeinsamen Optionen können folgende Einstellungen konfiguriert werden:

Übersetze zu

Die Optionen in diesem Formularbereich sind davon abhängig, ob zur Bearbeitung der einfache oder der erweiterte Modus aktiviert ist.

Neben dem Hinzufügen von untergeordneten Zugriff von-Regeln können im erweiterten Modus aus dem zusätzlichen Dropdown-Menü

Typ vier unterschiedliche Arten von Übersetzungen ausgewählt werden:

1. Diese entspricht der einzigen Option, die unter Einfacher Modus verfügbar ist. Hier müssen die Ziel-IP-Adresse (neben Port und NAT)

sowie der Port oder Portbereich angegeben werden, zu dem die Weiterleitung erfolgt, und ob auf eingehende Pakete NAT

angewendet werden soll oder nicht.

2. OpenVPN User: Auswahl eines OpenVPN-Benutzers als Ziel für den Datenverkehr.

3. Lastverteilung: Angabe eines IP-Adressbereichs, auf den der Datenverkehr zur Vermeidung von Engpässen oder der Überlastung

einer einzelnen IP-Adresse aufgeteilt wird.

4. Netzwerk umwandeln: Einfügen eines Subnetzwerks, in das der eingehende Datenverkehr übersetzt werden soll.

Hinweis

Durch die Übersetzung mithilfe von Netzwerk umwandeln werden die gesamten Adressen eines Netzwerks statisch in Adressen

eines anderen Netzwerks umgewandelt. Dies kann für Unternehmen nützlich sein, in denen alle Niederlassungen dasselbe interne

Netzwerk verwenden. In einem solchen Fall können alle Netzwerke mithilfe der Netzwerkumwandlung untereinander verbunden

werden.

Beispiel:

Ursprüngliches Netzwerk 1: 192.168.0.0/24 zugeordnetes Netzwerk 1:

192.168.1.0/24 ursprüngliches Netzwerk 2: 192.168.0.0/24 zugeordnetes Netzwerk 2: 192.168.2.0/24

5. L2TP Benutzer: Auswahl eines L2TP-Benutzers als Ziel für den Datenverkehr.

Sofern nicht die Option Netzwerk umwandeln ausgewählt wird, kann stets der Port oder Portbereich angegeben werden, zu dem die

Weiterleitung des Datenverkehrs erfolgt, sowie ob auf diesen NAT angewendet werden soll oder nicht. Bei Auswahl von Kein NAT darf

unter Zugriff von (im erweiterten Modus) keine Filterrichtlinie angegeben werden.

Warnung

Bei Auswahl von IP, OpenVPN User, L2TP Benutzer oder Lastverteilung erfolgt für Portbereiche keine 1:1-Umwandlung, sondern eine

Verteilung nach dem Round-Robin-Verfahren. Eine Umwandlung der eingehenden Ports 137 bis 139 in die Zielports 137 bis 139 führt

beispielsweise zu einer zufälligen Verwendung dieser Ports: Eingehender Datenverkehr für Port 138 kann unvorhersehbar zu Port 137,

138 oder 139 umgeleitet werden. Um dies zu vermeiden, sollte das Feld Port/Bereich für Übersetzungen leer gelassen werden.

Fehlerbehebung für die Portweiterleitung

Für eine nicht funktionierende Portweiterleitung gibt es zwei Hauptursachen:

1. Die Panda GateDefender-Appliance befindet sich hinter einem NAT-Gerät.

In diesem Fall werden direkte eingehende Verbindungen durch ein Gerät verhindert, das sich zwischen der Panda GateDefender-

Appliance und dem Internet befindet. Die Lösung des Problems besteht in der Konfiguration einer Portweiterleitung an die ROTE IP-

Adresse („RED IP“) der Panda GateDefender-Appliance, sofern möglich auch auf diesem Gerät.

2. Der Standardgateway des Zielservers ist fehlerhaft.

Für den als Ziel einer Portweiterleitungsregel eingestellten Server ist ein falsches oder kein Standardgateway konfiguriert.

Verbindungen werden zwar an die Ziel-IP-Adresse geleitet, aber Pakete werden aufgrund eines fehlerhaften Standardgateways nicht

durch die Panda GateDefender-Appliance geleitet. Die Lösung des Problems besteht in der korrekten Konfiguration des

Servergateways.

Source NAT

Auf dieser Seite können Regeln definiert werden, mit denen SNAT (Source NAT) auf ausgehende Verbindungen angewendet wird.

Zudem wird die Liste bereits definierter Regeln angezeigt, die für jede Regel die Quell- und Ziel-IP-Adressen, den Dienst, den NAT-

Status, eine benutzerdefinierte Beschreibung sowie verfügbare Aktionen enthält.

„Source NAT“ kann nützlich sein, wenn ein Server hinter der Panda GateDefender-Appliance über eine eigene externe IP-Adresse

verfügt, die von ausgehenden Paketen anstelle der ROTEN IP-Adresse der Firewall verwendet werden soll. Klicken Sie zum Hinzufügen

einer neuen Regel auf Neue Quell-NAT-Regel hinzufügen, und fahren Sie wie beim Hinzufügen einer Portweiterleitungsregel fort. Neben

den gemeinsamen Optionen kann nur eine weitere Einstellung konfiguriert werden:

NAT

Auswählen der Anwendung von NAT, Kein NAT oder Netzwerk umwandeln. Bei der Auswahl von SNAT kann die zu

verwendende IP-Adresse aus den im Dropdown-Menü verfügbaren Adressen ausgewählt werden. Durch die Einträge Auto

wird automatisch die IP-Adresse ausgewählt, die der ausgehenden Schnittstelle entspricht.

SNAT und SMTP-Server in der ORANGEN Zone

In bestimmten Fällen ist es empfehlenswert, für „Source NAT“ ausdrücklich Kein NAT anzugeben, beispielsweise für einen SMTP-

Server in der DMZ (Demilitarized Zone), der mit einer externen IP- Adresse konfiguriert wurde, aber dessen ausgehende Verbindungen

die ROTE IP-Adresse als Quelle verwenden sollen. Ein SMTP-Server in der DMZ mit der IP-Adresse „123.123.123.123“ (wobei dies eine

weitere IP- Adresse des Uplinks ist) kann auf folgende Weise mit „Source NAT“ konfiguriert werden:

1. Konfigurieren Sie die ORANGE Zone mit einem beliebigen Subnetz (z. B. 192.168.100.0).

2. Richten Sie den SMTP-Server zum Abhören von Port 25 an einer IP- Adresse in der ORANGEN Zone ein (z. B.

129.168.100.13).

3. Fügen Sie in dem Abschnitt unter Menüleiste ‣ Netzwerk ‣ Schnittstellen der Panda GateDefender-Appliance einen

statischen Ethernet-Uplink mit der IP-Adresse „123.123.123.123“ hinzu.

4. Fügen Sie eine Source-NAT-Regel hinzu, und geben Sie die ORANGE IP-Adresse des SMTP-Servers als Quelladresse an.

Stellen Sie sicher, dass NAT verwendet wird und „123.123.123.123“ als Quell- IP-Adresse für NAT eingerichtet ist.

Eingehender gerouteter Datenverkehr

Mithilfe dieser Registerkarte kann durch die Panda GateDefender- Appliance gerouteter Datenverkehr umgeleitet werden. Dies ist sehr

nützlich, wenn mehrere externe IP-Adressen vorhanden sind und einige der Adressen in der DMZ verwendet werden sollen, ohne dass

NAT erforderlich ist. Für jede Regel werden als Listenfelder Quelle und Ziel für den Datenverkehr, der Dienst, die anzuwendende

Richtlinie, eine Anmerkung sowie die verfügbaren Aktionen angezeigt.

Außer den gemeinsamen Optionen können keine weiteren Einstellungen konfiguriert werden.

Ausgehender Datenverkehr

In der Panda GateDefender Appliance sind für ausgehenden Datenverkehr vordefinierte Regeln vorhanden, mit denen der Datenfluss

der jeweiligen Dienste, Ports und Anwendungen von den verschiedenen Zonen zur ROTEN Schnittstelle und damit ins Internet erlaubt

wird. Diese Regeln sind erforderlich, damit die am häufigsten verwendeten Dienste stets auf das Internet zugreifen und ordnungsgemäß

funktionieren können. Die Seite besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden

können, und einem für das Einrichten der Optionen für die ausgehende Firewall.

Hinweis

In der ausgehenden Firewall definierte Regeln werden ignoriert, wenn die Panda GateDefender Appliance im Modus Kein Uplink ist.

Beim Betrieb im Uplink-Tarnmodus wird nur ein Teil des Verkehrs aus der Zone hinter der Panda GateDefender Appliance nach außen

als ausgehend angesehen. Weitere Informationen finden Sie in der Beschreibung des Uplink-Tarnmodus.

Panda GateDefender Appliance und Anwendungsfirewall (Anwendungssteuerung):

Anwendungsfirewalls sind eine neue Entwicklung und Verbesserung der zustandsbehafteten Firewalls, welche die Funktionen der

ersteren zur Verfolgung des Verbindungsursprungs und Pfades mit den Funktionen von Intrusion Prevention Systems zur

Inhaltserkennung von Paketen zu dem Zweck kombinieren, einen besseren Schutz vor Würmern, Viren, Malware und allen

Bedrohungsarten zu bieten. Das finale Ergebnis aus Sicht der Benutzerfreundlichkeit ist, dass Firewalls nicht nur den Verkehr zwischen

Ports und IP-Adressen sondern auch den Verkehr blockieren können, der von einzelnen Anwendungen erzeugt wird. Dies erfordert

jedoch einen größeren Firewall-Aufwand: Obwohl für den Verkehr zwischen IP-Adressen nur das erste Paket geprüft werden muss, um

den gesamten Datenfluss zu blockieren oder zuzulassen und so den korrekt generierten Datenverkehr einer Anwendung zu erkennen, ist

manchmal eine Analyse mehrerer Pakete erforderlich, meistens jedoch nicht mehr als 3.

Ab Version 5.50 ist jede Panda GateDefender Appliance mit nDPI ausgestattet, einer OpenSource-Bibliothek mit Deep Paket Inspection,

welche die Regelbereitstellung für Anwendungsfirewalls zulässt. nDPI wird als Kernel-Modul bereitgestellt und interagiert für die

Paketanalyse mit den IP-Tabellen.

Deshalb gibt es nun zwei Regelarten, die in der ausgehenden Firewall definiert werden können:

Zustandsbehaftete Firewall-Regeln, die den Verkehr zwischen IP-Adressen und Ports filtern.

Anwendungsregeln, d. h. Regeln, die den von einer Anwendung generierten Verkehr filtern.

Wenn keine Anwendungsregeln definiert wurden, entspricht das Verhalten der Firewall genau der vorherigen Version. Wenn jedoch eine

Anwendungsregel definiert wurde, verhalten sich die vorausgehenden zustandsbehafteten Regeln normal, während alle nachfolgenden

Regeln nDPI unterliegen.

Es muss beachtet werden, dass die Verwendung von nDPI einige Feinheiten aufweist, die im folgenden Beispiel dargestellt sind und zu

einigen unerwünschten Nebenwirkungen führen können.

http://www.ntop.org/products/ndpi/

Nehmen wir an, dass ein Unternehmen den gesamten HTTP-Verkehr zulassen möchte, mit der Ausnahme von YouTube und Gmail. Die

erste in der Panda GateDefender Appliance definierte Standardregel erlaubt den gesamten HTTP-Verkehr ohne Einschränkungen.

Deshalb muss diese Regel zunächst deaktiviert werden. Anschließend müssen zwei Regeln definiert werden:

1. eine Anwendungsregel zur Blockierung der Gmail- und YouTube-Protokolle

2. eine zustandsbehaftete Regel für den gesamten HTTP-Verkehr.

Wenn die zweite Regel eine Anwendungsregel mit dem HTTP-Protokoll wäre, würde nur der von nDPI als HTTP erkannte Verkehr

zugelassen werden, aber andere Protokolle, die HTTP verwenden (wie Yahoo und Facebook) würden passieren, da nDPI sie nicht als

HTTP ansieht, sondern als unabhängige Protokolle.

Aktuelle Regeln

Die folgenden Dienste und Protokolle dürfen standardmäßig aus der jeweiligen Zone auf die ROTE IP-Adresse zugreifen und werden im

oberen Bereich angezeigt:

GRÜN: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3s, IMAPs, DNS, ICMP; BLAU: HTTP, HTTPS, DNS, ICMP; ORANGE: DNS, ICMP

Außer den Systemregeln, durch die der Zugriff auf Dienste in der Panda Perimetral Management Console ermöglicht wird, ist

standardmäßig nichts weiter erlaubt. Die Systemregeln sind auch dann definiert, wenn die entsprechenden Zonen nicht aktiv sind.

Die für die Regeln möglichen Aktionen sind Aktivieren bzw. Deaktivieren, Bearbeiten und Löschen. Weitere Regeln können durch Klicken

auf den Link Neue Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sollte beachtet werden, dass die Reihenfolge der

Regeln wichtig ist: Unabhängig von der Anzahl der nachfolgenden zutreffenden Regeln wird durch die erste zutreffende Regel

entschieden, ob ein Paket erlaubt oder abgelehnt wird. Die Reihenfolge der Regeln kann mithilfe der Nach-oben- und Nach-unten-

Symbole neben den Regeln geändert werden.

Folgende Einstellungen weichen vom Standard der gemeinsamen Optionen ab:

Quelle

Mögliche Auswahl von einem oder mehreren der Elemente „Zone/Netzwerk-Schnittstelle“, „Netzwerk/IP“ oder „MAC Adresse“.

Ziel

Mögliche Auswahl der ROTEN Zone, eines oder mehrerer Uplinks oder einer Netzwerk/Host-Adresse bzw. mehrerer

Netzwerk/Host-Adressen, auf die außerhalb der ROTEN Schnittstelle zugegriffen werden kann.

Anwendung

Dieses Such-Widget ermöglicht die Auswahl der Anwendungen, die Teil der Regel sein sollen. Anwendungen werden in Kategorien

(z. B. Datenbank, Dateifreigabe usw.) unterteilt.

Tipp

Geben Sie mindestens einen Buchstaben ein, um alle Anwendungen mit diesem Anfangsbuchstaben anzuzeigen.

Ausgehende Firewalleinstellungen

Die ausgehende Firewall kann durch Klicken auf den Schalter Ausgehende Firewall aktivieren deaktiviert oder aktiviert werden. Bei

deaktivierter ausgehender Firewall wird der gesamte ausgehende Datenverkehr erlaubt, und Pakete werden nicht gefiltert. Es wird

ausdrücklich empfohlen, diese Einstellung nicht zu verwenden und die ausgehende Firewall aktiviert zu lassen.

Alle akzeptierten ausgehenden Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zur ROTEN Schnittstelle protokolliert.

Proxy und ausgehende Firewall

Wird für einen bestimmten Dienst der Proxy aktiviert (z. B. für HTTP, POP, SMTP oder DNS), werden die Firewallregeln in der

ausgehenden Firewall aufgrund der allgemeinen Proxyeigenschaften nicht angewendet.

Geht bei aktiviertem Proxy eine Verbindung von einem Client zum Internet aus, wird diese entweder vom Proxy der Panda

GateDefender- Appliance unterbrochen (im transparenten Modus) oder direkt an die Firewall geleitet, passiert diese jedoch nie. Vom

Proxy wird dann eine neue Verbindung zum tatsächlichen Ziel hergestellt, woraufhin die Daten abgerufen und an den Client gesendet

werden. Verbindungen dieser Art gehen stets von der Panda GateDefender-Appliance aus, wodurch die interne IP-Adresse des Clients

nicht sichtbar wird. Da es sich tatsächlich um lokale Verbindungen handelt, wird die ausgehende Firewall auch nicht von ihnen passiert.

Inter-Zone-Datenverkehr

Mithilfe dieses Moduls können Regeln für den Datenverkehr zwischen den lokalen Netzwerkzonen eingerichtet werden. Datenverkehr

durch die damit ausgeschlossene ROTE Zone kann unter Ausgehender Datenverkehr und Portweiterleitung / NAT gefiltert werden.

Klicken Sie zur Aktivierung der Zwischenzonen-Firewall auf den grauen Schalter . Die Seite besteht aus zwei Bereichen:

einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das Einrichten der Optionen für die

Inter-Zone-Firewall.

Hinweis

Wenn die Panda GateDefender Appliance im Modus Kein Uplink konfiguriert ist, wird der gesamte Netzwerkverkehr mithilfe der

Zwischenzonen-Firewall gefiltert. Wenn im Uplink-Tarnmodus mehr als eine Zone definiert ist, wird der gesamte Verkehr, der nicht über

den Gateway geleitet wird, mithilfe der Zwischenzonen-Firewall gefiltert. Weitere Informationen finden Sie in der Beschreibung des

Uplink-Tarnmodus <stealth>.

Aktuelle Regeln

In der Panda GateDefender-Appliance sind einige einfache vordefinierte Regeln vorhanden: Datenverkehr aus der GRÜNEN Zone in

eine andere Zone (ORANGE oder BLAU) sowie Datenverkehr innerhalb der einzelnen Zonen ist erlaubt, während jeder andere

Datenverkehr standardmäßig verboten ist.

Wie bei der Firewall für ausgehenden Datenverkehr können Regeln mithilfe der entsprechenden Symbole auf der rechten Seite der

Tabelle deaktiviert bzw. aktiviert, bearbeitet oder gelöscht werden. Neue Regeln können durch Klicken auf den Link Eine neue Inter-Zone

Firewallregel hinzufügen oben auf der Seite hinzugefügt werden. Es sind nur die gemeinsamen Optionen konfigurierbar.

Inter-Zone Firewalleinstellungen

Die Inter-Zone-Firewall kann mithilfe des Schalters Inter-Zone Firewall aktivieren deaktiviert bzw. aktiviert werden. Bei deaktivierter Inter-

Zone-Firewall wird sämtlicher Datenverkehr zwischen den BLAUEN, GRÜNEN und ORANGEN Zonen erlaubt. Von einer Deaktivierung

wird ausdrücklich abgeraten.

Akzeptierte Inter-Zone Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen zwischen den Zonen protokolliert.

VPN-Datenverkehr

Mithilfe der Firewall für VPN-Datenverkehr können anzuwendende Firewallregeln für Benutzer und Hosts hinzugefügt werden, die über

OpenVPN verbunden sind.

Die Firewall für VPN-Datenverkehr ist standardmäßig nicht aktiv. Dies bedeutet zum einen, dass Datenverkehr zwischen VPN-Hosts und

Hosts in der GRÜNEN Zone uneingeschränkt erlaubt ist, und zum anderen, dass von VPN-Hosts auf alle anderen Zonen zugegriffen

werden kann. VPN-Hosts sind nicht von den Firewalls für ausgehenden Datenverkehr und Inter-Zone- Datenverkehr betroffen. Die Seite

besteht aus zwei Bereichen: einem, in dem die aktuellen Regeln angezeigt und neue hinzugefügt werden können, und einem für das

Einrichten der Optionen für die VPN-Firewall.

Aktuelle Regeln

Handhabung und Definition der Regeln erfolgen genau wie bei der Firewall für ausgehenden Datenverkehr. Deshalb erhalten Sie

Anleitungen für dieses Modul in dem entsprechenden Abschnitt und unter gemeinsame Optionen.

VPN Firewalleinstellungen

Die VPN-Firewall kann mithilfe des Schalters VPN-Firewall aktivieren aktiviert oder deaktiviert werden.

Akzeptierte VPN Verbindungen protokollieren

Durch Aktivieren dieses Kontrollkästchens werden alle akzeptierten Verbindungen von VPN-Benutzern protokolliert.

Systemzugriff

In diesem Bereich werden die Regeln festgelegt, durch die der Zugriff auf die Panda GateDefender-Appliance gewährt oder verweigert

wird.

Es ist eine Liste vorkonfigurierter Regeln vorhanden, durch die das ordnungsgemäße Funktionieren der Firewall sichergestellt wird und

die nicht geändert werden können. Für einige Dienste, die von der Panda GateDefender-Appliance bereitgestellt werden, ist es

erforderlich, dass von Clients in den verschiedenen lokalen Zonen auf sie zugegriffen werden kann: Beispielsweise für DNS zum

Auflösen von Remote-Hostnamen (wofür Port 53 geöffnet sein muss) oder zur Verwendung der Webschnittstelle für die Administration

(die Port 10443 verwendet): Bei Aktivierung solcher Dienste werden automatisch Regeln erstellt, um die Effizienz dieser Dienste zu

gewährleisten.

Die Liste der vordefinierten Regeln wird durch Klicken auf die Schaltfläche Regeln der Systemdienste anzeigen unten auf der Seite

angezeigt.

Weitere Systemzugangsregeln können durch Klicken auf den Link Eine neue Systemzugangsregel hinzufügen hinzugefügt werden. Für

dieses Firewallmodul sind die folgenden spezifischen Einstellungen vorhanden:

Pakete protokollieren

Wenn dieses Kontrollkästchen aktiviert ist, werden alle Pakete protokolliert, von denen auf die Panda GateDefender-

Appliance zugegriffen wird bzw. werden soll. Diese Option ist nützlich, um Zugriffe bzw. Zugriffsversuche auf ihren Ursprung

zurückführen zu können.

Quelladresse

Die MAC-Adressen von eingehenden Verbindungen.

Quellschnittstelle

Die Schnittstelle, von der auf das System zugegriffen werden kann.

Hinweis

Eine Adresse für Ziel ist nicht vorhanden, da es sich um die IP-Adresse der Schnittstelle handelt, von der der Zugriff gewährt oder

versucht wird.

Die verfügbaren Aktionen sind Deaktivieren bzw. Aktivieren, Bearbeiten und Löschen von Regeln in der Liste.

Firewalldiagramme

Menü „Firewall“

75

An dieser Stelle wird für alle auf dieser Seite beschriebenen Module jeweils ein Diagramm angezeigt, in dem der Datenverkehr zwischen

den Zonen gemeinsam mit dem zuständigen Firewallmodul dargestellt ist. Durch die grünen Pfeillinien wird angezeigt, welcher

Datenverkehr in welchen Richtungen in den Zonen jeweils erlaubt ist. Für VPN sind die Pfeile zur ROTEN Schnittstelle und von dieser

weg mit einem roten „X“ gekennzeichnet, da Datenverkehr zwischen diesen Punkten nicht möglich ist.

Durch Klicken auf eine Abbildung wird diese in einer Galerie geöffnet, in der alle vorhandenen Abbildungen wie in einer Slideshow

durchsucht werden können.

am 28. März 2014.

Menü „Proxy“ Menü „Proxy“

Zur Verbesserung der Online-Sicherheit verfügt die Panda GateDefender-Appliance über mehrere Dienste, deren Funktionen mit denen

des Proxys kombiniert werden. Mithilfe des Untermenüs auf der linken Seite kann auf die entsprechenden Seiten und

Konfigurationsoptionen zugegriffen werden. Diese sind im Folgenden zusammengefasst:

HTTP – Webproxy: Zugriffsrichtlinien, Authentifizierung, Inhaltsfilter und Virenschutz

POP3 – Proxy für den E-Mail-Abruf: Spamfilter und Virenschutz

FTP – über FTP heruntergeladene Dateien: Virenschutz

SMTP – Proxy für den E-Mail-Abruf oder -Versand: Spamfilter und Virenschutz

DNS – zwischenspeichernder DNS: Anti-Spyware

Jeder Proxydienst kann eigenständig konfiguriert, aktiviert und deaktiviert werden. Sind für eine ordnungsgemäße Funktion weitere

Dienste erforderlich, werden diese gestartet. Wird beispielsweise der SMTP-Proxy konfiguriert und gestartet, wird auch der SMTP-Dienst

gestartet, sofern er nicht bereits ausgeführt wird. Daher muss zunächst der SMTP-Dienst konfiguriert werden, bevor der SMTP-Proxy

verwendet wird.

Mit Version 5.50 wurde die gesamte Proxy-Architektur geändert.

Die alte und neue HTTP-Proxy-Architektur

Mit der Veröffentlichung von Version 5.50 der Panda GateDefender-Appliance wurde eine leichtere aber leistungsfähigere Architektur für

den HTTP-Proxy implementiert und bereitgestellt.

Die zuvor verwendete HTTP-Proxy-Architektur basierte auf dem so genannten Proxy Chaining. Hierbei fand ein Prozess aus 5 Schritten

statt, wenn ein Client eine Remote-Quelle anforderte, die zuvor nicht zwischengespeichert wurde.

1. Der HTTP-Proxy (Squid) verschickte eine GET-Anfrage zum Server und erhielt eine HTML-Seite als Antwort.

2. Die gesamte Seite wurde zur Inhaltsfilterung (DansGuardian) an das Daemon gesendet und dort analysiert.

3. DansGuardian wiederum leitete die Seite zur Analyse auf Viren und andere Malware zum Anti-Virus-Daemon (HAVP) weiter.

4. Ließ sich kein Virus oder bösartiger Inhalt finden, wurde die gesamte HTML-Seite zurück zu Squid gesendet. Anderenfalls

wurde die Originalseite durch eine HTML-Fehlermeldung (Fehlerseite) ersetzt.

5. Squid speicherte die HTML-Seite (oder die Fehlerseite) für zukünftige Anfragen und lieferte diese an den Client, der sie

ursprünglich angefordert hatte.

Der große Nachteil – und Engpass – dieser Architektur ist der intensive Ressourcenverbrauch. Die gesamte HTML-Seite wurde

sequentiell durch die gesamte Kette geleitet, Schritt für Schritt, ohne Möglichkeit den Vorgang zu beschleunigen. Die HTML-Seite wurde

von Squid abgerufen und zur Inhaltsanalyse an DansGuardian gesendet. Selbst wenn der Inhaltsfilter an diesem Punkt bösartigen Inhalt

fand (die Seite also nicht an den anfordernden Client geleitet werden konnte), wurde sie weiter in der Kette an HAVP und dann zurück an

Squid geleitet. Erst an diesem Punkt wurde die Fehlerseite an den ursprünglichen Client gesendet.

Daher wurde entschieden, dieses Problem anders anzugehen und einen völlig neuen Ansatz zu verwenden, der zuverlässiger und sehr

viel ressourcenschonender ist. Der HTTP-Proxy wird nun durch einen ICAP-Server abgesichert. Wenngleich dies zunächst als

komplexere Architektur erscheint, stellt es eine signifikante Leistungsverbesserung dar.

Kurz gesagt ist ICAP ein Protokoll, das in RFC 3507 definiert ist und es ermöglicht, den Inhalt von Webseiten zu verändern und diese

dann zurück an den Client zu leiten. Diese Funktion kann unterschiedlich ausgenutzt werden. Auf der Panda GateDefender-Appliance

wird sie mit C-ICAP bereitgestellt, um Inhaltsfilterungen und Anti-Virus-Scans von Remote-Quellen zu ermöglichen (HTML-Seiten, aber

auch Audio-, Video-, Text- und Bilddateien).

Dank C-ICAP gibt es zwei Bereiche, deren Leistung gesteigert wurde:

1. Von Squid zu C-ICAP:


http://c-icap.sourceforge.net/

C-ICAP erhält zwei parallele Anfragen vom HTTP-Proxy

2. Zwischen C-ICAP und den Daemons:

Siehe auch

Weitere Informationen zum Thema „ICAP“ zusammen mit den zugehörigen Spezifikationen stehen auf der Webseite ICAP-Forum zur

Verfügung.

HTTP

In der Panda GateDefender-Appliance wird Squid als HTTP-Proxy verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von

Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die

eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-Proxy-

Einstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung,

Webfilter, AD-Beitritt und HTTPS-Proxy.

Konfiguration

Der HTTP-Proxy wird durch Klicken auf den Schalter HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das

Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs

Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die - bzw. -

Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.

Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen

können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:

nicht transparent

Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des

Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum

Einrichten der Proxyeinstellungen).

transparent

Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTP-

Datenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den

Clients bereitstellt.

Hinweis

Manche Browser, einschließlich Internet Explorer und Firefox, können Proxy-Server durch Verwendung von WPAD automatisch

erkennen. Die meisten Browser unterstützen außerdem PAC über eine spezielle URL. Bei Verwendung einer Panda GateDefender-

Appliance als Proxyserver sieht die URL folgendermaßen aus: http://<GREENIP>/proxy.pac.

Zonenweises Deaktivieren des HTTP-Proxys

Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden.

Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC

umgehen hinzugefügt werden. Der entsprechende Wert kann unter Menüleiste ‣ Dienste ‣ DHCP Server gefunden werden.

Proxyeinstellungen

Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:

Port der vom Proxy verwendet wird

http://www.icap-forum.org/

http://www.squid-cache.org/

Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.

Fehlersprache

Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI

Einstellungen ausgewählte Sprache verwendet.

Sichtbarer Hostname des Proxy

Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.

Emailadresse für Benachrichtigungen (Cache Admin)

Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.

Maximale Download-Größe (eingehend in KB)

Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für eine unbegrenzte

Größe.

Maximale Upload-Größe (ausgehend in KB)

Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht

für eine unbegrenzte Größe.

Erlaubte Ports und SSL-Ports

Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:

Erlaubte Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder

Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.

Erlaubte SSL-Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder

Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.

Log-Einstellungen

Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:

HTTP Proxy Protokollierung

Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die

folgenden vier Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um

Speicherplatz auf der Festplatte der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht

aktiv.

Suchbegriffe protokollieren

Protokollieren von URL-Parametern (z. B. ?id=123).

Benutzeragent-Protokollierung

Von jedem Browser gesendeten Benutzeragenten protokollieren

Protokollierung des Inhaltsfilters

Protokollieren der Inhaltsfilterung für Webseiten.

Firewall-Protokollierung (nur bei transparentem Proxy)

Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese

Option ist nur für transparente Proxys anwendbar.

Transparenten Proxy umgehen

In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen

(Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.

Transparenten Proxy von SUBNETZ/IP/MAC umgehen

Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.

Transparenten Proxy nach SUBNET/IP umgehen

Die Ziele, auf die der transparente Proxy nicht angewendet wird.

Tipp

CIDR Notation verwenden, um Subnetze einzugeben

Cache-Verwaltung

Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten

Objekte festgelegt:

Zwischenspeichergröße auf der Festplatte (MB)

Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.

Zwischenspeichergröße im Speicher (MB)

Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.

Maximale Objektgröße (KB)

Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Minimale Objektgröße (KB)

Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Hinweis

Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder Client-

Anfrage erneut heruntergeladen.

Aktiviere Offline-Modus

Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom Upstream-

Webserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt

werden.

Warnung

Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderte Seite zuvor zwischengespeichert

wurde. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom

HTTP-Proxy stets die zwischengespeicherte Seite bereitstellt wird. In diesem Fall muss für eine aktualisierte Version einer Webseite

der Cache des Proxyservers gelöscht werden.

Lösche Zwischenspeicher

Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.

Diese Ziele nicht zwischenspeichern

Die Domänen, deren Ressourcen nicht zwischengespeichert werden sollen.

Vorgelagerter Proxy

Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Originalressource kontaktiert werden. Dieser

Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem

vorgelagerten Proxy:

Vorgelagerter Proxy

Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei

aktiviertem Kontrollkästchen wird eine Webseite, die nicht bereits vom Proxy der Panda GateDefender-Appliance

zwischengespeichert wurde, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen wird.

Upstream Server

Der Hostname oder die IP-Adresse des Upstream-Servers.

Upstream Port

Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.

Proxy-Benutzername / Proxy-Passwort

Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.

Client Benutzernamen weiterleiten

Aktivieren Sie das Kontrollkästchen, um den Benutzernamen an den vorgelagerten Proxy weiterzuleiten.

Client IP Adressen weiterleiten

Aktivieren Sie das Kontrollkästchen, um die IP-Adresse des Clients an den vorgelagerten Proxy weiterzuleiten.

Zugriffsrichtlinien

Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine

Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder

verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs)

sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzeragent, MIME-Typen, Virenscannen und Inhaltsfilterung).

Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff

blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Die Tabelle enthält die folgenden

Informationen für jede dort aufgelistete Regel: Die aufsteigende Identifikationsnummer (#), den Namen (``), die Quelle und das

vorgesehene Ziel, der Authentifizierungstyp, falls erforderlich die aktiven Zeiträume, die passenden Benutzeragenten und die

verfügbaren Aktionen:

– Richtlinie ändern

– Richtlinie entfernen

– Richtlinien nach oben oder unten in der Liste verschieben

– Aktivieren oder Deaktivieren der Richtlinie

Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular

können für die Regel die folgenden Parameter konfiguriert werden:

Ressourcentyp

Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert <ANY>, eine Zone, eine Liste von

Netzwerken, IP-Adressen oder MAC-Adressen handeln.

Zieltyp

Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert <ANY>, eine Zone oder

eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.

Authentifizierung

Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine

Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder

Gruppen ausgewählt werden, auf welche die Richtlinie angewendet werden soll.

Tipp

Die Authentifizierung erfolgt nur lokal, weshalb auf der Registerkarte Authentifizierung mindestens ein Benutzer oder eine Gruppe

erstellt werden muss, bevor diese verwendet werden kann.

Zeitbeschränkung

Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel

dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. Durch

Aktivieren des Kontrollkästchens werden die folgenden Optionen verfügbar:

Aktive Tage

Wählen Sie einen oder mehrere Wochentage.

Tipp

Halten Sie zum Auswählen mehrerer Tage die Taste Strg gedrückt, und klicken Sie mit der Maustaste auf den Namen des Tages.

Startstunde, Stopstunde, Startminute, Stopminute

Wählen Sie für eine feinere Unterteilung des Tagesintervalls, zu dem die Zugriffsrichtlinie aktiv ist, aus den Dropdown-Menüs

die Start- und Endzeiten aus.

Benutzeragents

Die zugelassenen Clients und Browser, wie sie durch ihren Benutzeragenten identifiziert werden, d. h. ihrer Zeichenfolge für

die Identifizierung.

MIME Typen

Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h.

in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für

Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der

Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).

Hinweis

Die Liste der verfügbaren MIME-Typen kann in der Datei /etc/mime.types auf jedem Linux-System, auf der offiziellen

IANA-Webseite sowie in RFC 2045 und RFC 2046 gefunden werden.

Zugriffsrichtlinie

Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Falls Ablehnen

eingestellt ist, wird die darüber befindliche Option MIME Typen aktiviert.

Filterprofil

Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Es ermöglicht

die Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Folgende Optionen sind verfügbar: keine für keine

Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die

Regel angewendet werden, sofern eines erstellt wurde (siehe unten).

Richtlinienstatus

Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden

Regeln aktiviert.

Position

Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.

Die für die Regeln in der Liste verfügbaren Aktionen sind „Ändern der Priorität“, „Bearbeiten“, „Deaktivieren“ bzw. „Aktivieren“ und

„Löschen“.

Authentifizierung

Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem Dropdown-

Menü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows

Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefender-

Appliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen

angegeben werden, die für den Zugriff auf den Server erforderlich sind.

Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich

Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl

des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.

Authentifzierungs Einstellungen

In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:

Authentication Realm

Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder

Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet

werden.

http://www.iana.org/assignments/media-types/index.html



Tipp

Wenn der Servername localauth lautet, und der Domänenname beispiel.org ist, dann lautet der FQDN

localauth.beispiel.org.

Anzahl an Authentifizierungsprozessen

Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.

Authentifizierungscache TTL (in Minuten)

Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.

Anzahl der unterschiedlichen IP Adressen pro Benutzer

Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.

Benutzer / Ip Cache TTL (in Minuten)

Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.

Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp

konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder

RADIUS.

Parameter für die NCSA-Authentifizierung

NCSA Benutzerverwaltung

Durch Klicken auf die Schaltfläche Benutzer verwalten wird die GUI zur Benutzerverwaltung geöffnet, die aus einer einfachen Liste evtl.

vorhandener Benutzer und aus dem Link NCSA Benutzer hinzufügen zum Hinzufügen weiterer Benutzer besteht. Ein Benutzer wird

hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später kann dieser bearbeitet oder gelöscht

werden.

Tipp

Das Passwort muss mindestens 6 Zeichen lang sein.

NCSA Gruppenverwaltung

Durch Klicken auf die Schaltfläche Gruppen verwalten wird die GUI zur Gruppenverwaltung geöffnet, die aus einer einfachen Liste der

bestehenden Gruppen und ihren eventuell erstellten Mitglieder und dem Link NCSA Gruppe hinzufügen zum Hinzufügen weiterer

Gruppen besteht. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt

werden. Ein Benutzer kann mehreren Gruppen angehören.

Warnung

Obwohl ein Benutzer mehreren Gruppen angehören kann, muss dabei beachtet werden, dass durch die Gruppen, denen der Benutzer

angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier

Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie

der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der

Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die

Zugriffsrichtlinien konzipiert.

Min. Passwortlänge

Die Mindestlänge für das Passwort eines lokalen Benutzers.

Parameter für die Windows Active Directory-Authentifizierung

Domainname des AD Servers

Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.

AD Domain beitreten

Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt

werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.

PDC Hostname des AD Servers und PDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des PDC. Sowohl der Hostname als auch die IP-Adresse sind für die Erstellung des DNS-

Eintrags erforderlich.

BDC Hostname des AD Servers und BDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-

Adresse erforderlich.

Anforderungen für das Verwenden von NTLM

Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen

erfüllt sein:

Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt.

Die Panda GateDefender-Appliance muss der Domäne beitreten.

Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein.

Als „Authentication Realm“ muss ein FQDN verwendet werden.

Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.

Tipp

Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der

folgende Befehl ausgeführt wird:

net time set -S IP_OF_AD_SERVER

NTLM-Authentifizierung mit Windows Vista und Windows 7

Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist

jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert

ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden.

Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:

1. Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.

2. Öffnen Sie: Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣

Sicherheitsoptionen.

3. Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene

4. Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn

ausgehandelt)“ aus.

Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen

ordnungsgemäß am HTTP-Proxy authentifiziert werden.

Parameter für die LDAP-Authentifizierung

LDAP-Server

Die IP-Adresse oder der FQDN des LDAP-Servers.

Port des LDAP Servers

Der Port, der vom Server abgehört wird. Der Standardwert ist 389.

Bind DN Einstellungen

Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.

LDAP Typ

Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder

LDAP v3.

Bind DN Benutzername

Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.

Bind DN Passwort

Das Passwort des Bind-DN-Benutzers.

Objekt-Klasse der Benutzer

Die Objekt-Klasse, welcher der Bind-DN-Benutzer angehören muss.

Objekt-Klasse der Gruppe

Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.

Parameter für die RADIUS-Authentifizierung

RADIUS Server

Die IP-Adresse oder URL des RADIUS-Servers

Port des RADIUS Servers

Der Port, der vom RADIUS-Server abgehört wird.

Kennung

Eine zusätzliche Kennung.

Shared Secret

Das Passwort, das verwendet werden soll.

Webfilter

Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL-Filterlösung von Commtouch. Von dieser werden

zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.

Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode

verwendet eine Kombination aus White- und Blacklist-URLs und Domänen: Alle von Clients angeforderten URLs werden in der Liste

nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.

Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil ist verfügbar, das den Zugriff auf jede Webseite

ermöglicht und nicht gelöscht werden darf. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht

erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.

Auf der Seite befindet sich eine Liste bestehender Profile zusammen mit einer Anmerkung und den verfügbaren Aktionen:

– Profil bearbeiten

– Profil löschen

Oberhalb der Tabelle befindet sich der Link Profil erstellen: Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile

konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können

die folgenden Einstellungen definiert werden:

Profilname

Der Name des Profils.

Virenscanner aktivieren

Aktivieren Sie den Virenschutz im Inhaltsfilter.

Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole und links neben ihren Titeln erweitert oder

reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil

oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet

werden.

URL-Filter

Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln

zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil bedeutet, dass die Elemente der (Unter-)Kategorie für den

Inhaltsfilter verwendet werden. Ein roter Pfeil bedeutet, dass diese nicht verwendet werden. Das Symbol neben dem Namen

der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.

Benutzerdefinierte Black- und Whitelists

Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden

(Whitelist), oder nie an den Client weitergeleitet werden (Blacklist).

Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von

Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den

Ergebnissen der Inhaltsfilteranalyse angewendet.

AD-Beitritt

In diesem Bereich können Anmeldeinformationen eingegeben werden, um dem Active Directory-Server beizutreten. Dieser Vorgang ist

nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.

Benutzername des ADS-Administrators

Der Benutzernamen des Active Directory-Servers.

Passwort des ADS Administrators

Das Kennwort des Active Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des

Kontrollkästchens rechts vom Textfeld angezeigt werden.

HTTPS-Proxy

Auf dieser Seite können Sie den Proxy-Server für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr

über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server

weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein

„zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden.

Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.

Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPS-

Proxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Appliance.

HTTPS-Proxy aktivieren

Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.

Jedes Zertifikat akzeptieren

Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren,

selbst solche, die ungültig oder veraltet sind.

Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.

Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird,

oder um ein neues zu generieren, das ein bereits existierendes ersetzt.

Proxy Zertifikat hochladen

Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen

Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.

Erzeuge ein neues Zertifikat

Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine

Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen

Schritt zurückzugehen.

Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy-Zertifikat hochladen eine neue Option in Form eines Hyperlinks

verfügbar:

Herunterladen

Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.

POP3

Diese Seite enthält Konfigurationsoptionen für den SpamAssassin-E-Mail-Filter sowie für die Behandlung von E-Mails, die als Spam

erkannt wurden.

Globale Einstellungen

Auf dieser Seite können durch Aktivieren der entsprechenden Kontrollkästchen folgende globale Konfigurationseinstellungen des POP3-

Proxys aktiviert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE

Aktivieren des POP3-E-Mail-Scanners für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt,

wenn die entsprechende Zone aktiviert ist.

Virusscanner

Aktivieren des Virenscanners.

Spam-Filter

Aktivieren des Spam-Filters für E-Mails.

SSL/TLS verschlüsselte Verbindungen abfangen

Wenn dieses Kontrollkästchen aktiviert ist, werden Verbindungen über SSL/TLS überwacht.

Firewall protokolliert ausgehende Verbindungen

Protokollieren aller ausgehenden Verbindungen durch die Firewall.

Spam-Filter

Auf dieser Seite kann konfiguriert werden, wie der POP3-Proxy beim Entdecken einer Spam-E-Mail vorgehen soll.

Hinweis

E-Mails werden auch dann dem ursprünglichen Empfänger zugestellt, wenn sie als Spam markiert wurden. Eine Nichtzustellung würde

gegen RFC 2821 verstoßen, da diese besagt, dass einmal angenommene E-Mails dem Empfänger zugestellt werden müssen.

Spam Betreffzeile

Das Präfix, das dem Betreff von E-Mails hinzugefügt wird, die als Spam erkannt wurden.

Spam Report in Inhalt der Mail einfügen

Aktivieren Sie das Kontrollkästchen, um in jeder Spam-E-Mail den Textkörper der ursprünglichen Nachricht gegen einen

Bericht des Daemons SpamAssassin auszutauschen und eine Zusammenfassung der Funde einzufügen, d. h. mit dem

Grund, warum die E-Mail als Spam gemeldet wurde.

Benötigte Punktezahl

Die Anzahl der Punkte, die für das Einstufen einer Nachricht als Spam erforderlich ist.

Unterstützung für japanische Emails aktivieren

Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt, um die Suche nach

entsprechendem Spam zu ermöglichen.

Prüfsummenbasierte Spamerkennung aktivieren (pyzor)

Erkennen von Spam-E-Mails mithilfe von Pyzor. Dabei werden Spam-E-Mails in eine eindeutige Digest-Nachricht konvertiert, die zur

Erkennung weiterer entsprechender Spam-E-Mails verwendet werden kann.

Warnung

Durch Aktivierung dieser Option kann der POP3-Proxy deutlich verlangsamt werden.

Whitelist


Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B.

*@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden

nicht auf Spam überprüft.

Blacklist

Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B.

*@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden

immer als Spam markiert.

Durch Klicken auf die Schaltfläche Speichern werden die Einstellungen gespeichert.

Verschlüsselte E-Mails

E-Mails, die über eine POP3-SSL-Verbindung gesendet wurden, können von der Panda GateDefender-Appliance nicht überprüft werden,

da es sich um einen verschlüsselten Kanal handelt.

Damit von Clients POP3 über SSL-Verbindungen verwendet werden kann, muss dies entsprechend konfiguriert und die Verschlüsselung

zwischen Clients und der Panda GateDefender-Appliance deaktiviert werden. Die Verschlüsselung wird zwar deaktiviert (d. h. keine

Verwendung von SSL), aber der Port für den POP3-Datenverkehr im Nur-Text-Format wird vom Standardport 110 auf Port 995 geändert.

Nach Abschluss dieser Konfiguration bleibt die Verbindung zwischen Clients und der Panda GateDefender-Appliance weiterhin auf „Nur-

Text“ eingestellt. Es wird jedoch Port 995 verwendet, wodurch von der Panda GateDefender-Appliance eine verschlüsselte POP3-SSL-

Verbindung mit dem POP3-Server eingerichtet wird.

FTP

Der FTP-Proxy ist nur als transparenter Proxy in den aktivierten Zonen verfügbar. Er kann zur Virenprüfung für Dateien verwendet

werden, die über FTP heruntergeladen wurden. Als FTP-Proxy der Panda GateDefender-Appliance wird „frox“ verwendet.

Hinweis

An den Proxy werden nur Verbindungen mit dem Standardport für FTP (Port 21) umgeleitet. Ist ein Client so konfiguriert, dass der HTTP-

Proxy auch für das FTP-Protokoll verwendet wird, werden die Einstellungen für den FTP-Proxy umgangen.

Folgende Optionen können auf dieser Seite konfiguriert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE

Aktivieren des FTP-Proxys für die jeweilige Zone. Diese Option ist nur für die aktivierten Zonen verfügbar.

Firewall protokolliert ausgehende Verbindungen

Protokollieren der ausgehenden Verbindungen in der Firewall.

Umgehe den transparenten Proxy von folgenden Quellen

Zulassen von Quellen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.

Umgehe den transparenten Proxy für folgende Ziele

Zulassen von Zielen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.

FTP-Proxy und aktiver/passiver Modus von FTP-Clients

Die Verwendung von frox als transparentem FTP-Proxy wird von der Panda GateDefender-Appliance nur bei direkter Verbindung mit

dem Internet unterstützt.

Probleme können zudem auftreten, wenn sich bei aktiviertem transparenten FTP-Proxy ein NAT-Gerät zwischen der Panda

GateDefender-Appliance und dem Internet befindet. Bei einer solchen Konfiguration werden FTP-Verbindungen mit einem Remote-FTP-

Standort blockiert und nach gewisser Zeit mit einem Timeout beendet. Die Protokolle enthalten dann Meldungen wie die folgende:

Mo, 2. März 2009, 11:32:02 frox[18450] Verbindungszeitüberschreitung beim

Versuch, eine Verbindung mit <IP Ihres FTP-Client> herzustellen

Mo, 2. März 2009, 11:32:02 frox[18450] Kontaktieren des Client-Datenports fehlgeschlagen.

Zur Vermeidung solcher Probleme sollte der FTP-Client so konfiguriert werden, dass als Übertragungsmodus der passive Modus

(PASV) verwendet wird. Zusätzlich muss unter Menüleiste ‣ Firewall ‣ Systemzugriff eine Regel erstellt werden, durch die der

Datenverkehr über die Ports 50000 bis 50999 für das NAT-Gerät zugelassen wird. Aus Sicherheitsgründen sollten diese Ports jedoch nur

bei Bedarf aktiviert werden. Zum besseren Verständnis des Zwecks einer solchen Konfiguration folgt eine ausführlichere Beschreibung

der Funktionsweise von aktiven und passiven Modi und deren Zusammenspiel mit dem FTP-Proxy.

Beim aktiven Modus muss die Datenverbindung mit dem Client vom Server (in diesem Fall der FTP-Proxy) hergestellt werden. Befindet

sich zwischen Client und Proxy ein NAT-Gerät, kann der Client vom Server aber nicht erreicht werden. Aus diesem Grund muss vom

Client der passive Modus verwendet werden.

Beim passiven Modus muss die Verbindung mit dem Server (wieder der FTP-Proxy) vom Client hergestellt werden. Dafür wird ein

dynamischer Port verwendet, der über die Steuerverbindung ausgehandelt wurde. Der entsprechende Port wird vom FTP-Proxy

abgehört. Datenverkehr für diesen Port muss jedoch von der Systemzugriffsfirewall erlaubt werden.

Da Zugriffsversuche auf den FTP-Proxy durch mehrere Datenverbindungen gleichzeitig erfolgen können, müssen Verbindungen für

einen gesamten Portbereich zugelassen werden. Dies bedeutet, dass alle Ports, die für passive Datenverbindungen reserviert sind

(Ports 50000 bis 50999), von der Systemzugriffsfirewall erlaubt werden müssen.

SMTP

Mithilfe des SMTP-Proxys kann E-Mail-Verkehr vermittelt und gefiltert werden, der von den Clients an die Mailserver gesendet wird.

Der SMTP-Proxy dient dazu, den SMTP-Datenverkehr zu steuern und zu optimieren und die lokalen Netzwerke bei der Verwendung des

SMTP-Protokolls vor Bedrohungen zu schützen. SMTP wird immer dann verwendet, wenn eine E-Mail von einem lokalen E-Mail-Client

an einen Remote-Mailserver gesendet wird, d. h. für den ausgehenden E-Mail-Verkehr. SMTP wird auch verwendet, wenn sich ein

Mailserver im LAN (in der GRÜNEN Zone) oder in der DMZ (in der ORANGEN Zone) befindet und E-Mails von außerhalb des lokalen

Netzwerks (eingehende Anforderungen) über diesen gesendet werden können, den Clients also das Senden von E-Mails von der

ROTEN Schnittstelle gestattet ist.

Zum Herunterladen von E-Mails von einem Remote-Mailserver zu einem lokalen E-Mail-Client wird das POP3- oder das IMAP-Protokoll

verwendet. Um auch diesen Datenverkehr zu schützen, kann der POP3-Proxy unter Menüleiste ‣ Proxy ‣ POP3 aktiviert werden.

Warnung

Das Überprüfen von IMAP-Datenverkehr wird derzeit nicht unterstützt.

Mithilfe der Funktionen des E-Mail-Proxys kann sowohl eingehender als auch ausgehender E-Mail-Verkehr auf Viren, Spam und andere

Bedrohungen überprüft werden. Falls erforderlich werden E-Mails blockiert und Empfänger und Administrator darüber benachrichtigt. Da

die Möglichkeit besteht, eingehende E-Mails zu überprüfen, können mithilfe des E-Mail-Proxys eingehende Verbindungen von der

ROTEN Schnittstelle bearbeitet und E-Mails an interne Mailserver weitergeleitet werden. Dadurch wird ein eigener Mailserver hinter der

Firewall ermöglicht, ohne dass entsprechend definierte Portweiterleitungsregeln erforderlich sind.

Die Konfiguration des SMTP-Proxys ist auf sechs Registerkarten aufgeteilt, von denen jeweils ein Aspekt des SMTP-Proxy abgedeckt

wird.

Konfiguration

Hierbei handelt es sich um die Hauptseite für die Konfiguration des SMTP-Proxys. Durch Klicken auf den Schalter kann

der SMTP-Proxy aktiviert werden. Ist der SMTP-Proxy aktiviert, kann mithilfe der folgenden Optionen für jede aktivierte Zone dessen

Status ausgewählt werden:

aktiv

Der SMTP-Proxy ist für diese Zone aktiviert und nimmt über Port 25 Anfragen entgegen.

transparenter Modus

Ist der transparente Modus aktiviert, werden alle Anfragen mit dem Zielport 25 unterbrochen und an den SMTP-Proxy

weitergeleitet, ohne dass die Konfiguration der Clients geändert werden muss. Diese Option ist für die ROTE Zone nicht

verfügbar.

inaktiv

Der SMTP-Proxy ist für diese Zone nicht aktiviert.

Zusätzliche Optionen sind verfügbar, die in fünf Bereiche gruppiert sind. Jeder Bereich kann durch Klicken auf das Symbol erweitert

oder durch Klicken auf das Symbol ausgeblendet werden.

Spameinstellungen

In diesem Bereich können die von der Panda GateDefender-Appliance zur Erkennung und Filterung von Spam verwendeten

Softwareanwendungen konfiguriert werden. Folgende Optionen sind konfigurierbar:

Mails auf SPAM prüfen

Aktivieren des E-Mail-Spamfilters. Darunter werden weitere Optionen angezeigt, die konfiguriert werden können.

Spambehandlung auswählen

Drei Aktionen können mit E-Mails durchgeführt werden, die als Spam erkannt wurden:

in die Standard-Quarantäne verschieben: Spam-E-Mails werden an den Standardspeicherort verschoben.

an die Quarantäne-Emailadresse senden: Spam-E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet.

Diese kann im Textfeld Emailadresse für Spam Quarantäne angegeben werden, das bei Auswahl dieser Option angezeigt

wird.

als Spam markieren: Die E-Mails werden vor ihrer Zustellung als Spam markiert.

Email verwerfen: Die Spam-E-Mail wird sofort gelöscht.

Präfix für Betreffzeile

Dem Betreff aller E-Mails, die als Spam markiert wurden, wird ein Präfix hinzugefügt.

Emailadresse zur Benachrichtigung von SPAM (SPAM Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten Spam-E-Mail eine Benachrichtigung gesendet wird.

Spam Kennzeichnungsstufe

Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header X-Spam-Status und X-Spam-Level

hinzugefügt.

Spam Markierungsstufe

Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header Spam subject und X-Spam-Flag

hinzugefügt.

Spam Quarantäne Level

E-Mails, deren Spampunktzahl über diesem Wert liegt, werden an den Quarantäneort verschoben.

Maximale SPAM Punktezahl für Senderbenachrichtigung

E-Mail-Benachrichtigungen werden nur gesendet, wenn die Spampunktzahl unter diesem Wert liegt.

Spamfilterung

Aktivieren Sie die Option Spam-Greylisting, um die folgende Option anzuzeigen.

Verzögerung für Greylisting (Sek)

Der Wert darf zwischen 30 und 3600 liegen.

Spam-Bericht

Aktivieren Sie dieses Kontrollkästchen, um dem Textkörper von E-Mails, die als Spam erkannt wurden, einen Bericht

hinzuzufügen.

Japanization

Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt und entsprechende Spam-

E-Mails gefiltert.

Hinweis

Da die einfachsten und gängigsten Spamnachrichten sowie E-Mails von bekannten Spamhosts blockiert werden, passen die Absender

von Spam ihre Nachrichten fortlaufend so an, dass Spamfilter umgangen werden. Daher ist es absolut notwendig, auch den Spamfilter

fortlaufend zu trainieren, damit dieser personalisiert und leistungsfähiger wird (Bayes-Filter).

Viruseinstellungen

In diesem Bereich können die folgenden Optionen zur Behandlung erkannter Viren konfiguriert werden:

Mails nach Viren durchsuchen

Aktivieren Sie den Virenfilter für E-Mails, um weitere Virenfilteroptionen anzuzeigen.

Virusbehandlung auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für E-Mails, bei denen Viren erkannt wurden, drei oder vier

verschiedene Aktionen ausgeführt werden. Sie sind mit denen, die zuvor unter Spameinstellungen beschrieben wurden, identisch:

in die Standard-Quarantäne verschieben: Virenbehaftete E-Mails werden an den Standardspeicherort verschoben.

an die Quarantäne-Emailadresse senden: Virenbehaftete E-Mails werden an eine benutzerdefinierte E-Mail-Adresse

weitergeleitet. Diese kann im Textfeld Quarantäne Emailadresse für Viren angegeben werden, das bei Auswahl dieser

Option angezeigt wird.

an den Empfänger schicken (unabhängig von schädlichen Inhalten): Virenbehaftete E-Mails werden auf normale Weise

zugestellt.

Email verwerfen: Die E-Mail mit dem Virus wird sofort gelöscht.

Mailadresse zur Virus Benachrichtigung (Virus Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten virenbehafteten E-Mail eine Benachrichtigung gesendet wird.

Dateieinstellungen

Dieser Bereich enthält Einstellungen, durch die bestimmte E-Mail-Anhänge anhand ihrer Dateierweiterungen blockiert werden. Wird bei

einem Anhang eine bestimmte Dateierweiterung erkannt, wird die ausgewählte Aktion ausgeführt.

Blockiere Dateien nach Erweiterung

Aktivieren des Dateierweiterungsfilters und Anzeigen der weiteren Filteroptionen.

Behandlung von blockierten Dateien auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für blockierte E-Mails drei oder vier verschiedene Aktionen ausgeführt

werden. (Sie sind mit denen, die zuvor unter Spameinstellungen und Viruseinstellungen beschrieben wurden, identisch):

in die Standard-Quarantäne verschieben: E-Mails mit blockierten Dateien werden an den Standardspeicherort verschoben.

an die Quarantäne-Emailadresse senden: E-Mails mit blockierten Dateien werden an eine benutzerdefinierte E-Mail-

Adresse weitergeleitet. Diese kann im Textfeld Emailadresse zur Benachrichtigung gesperrter Dateien angegeben werden,

das bei Auswahl dieser Option angezeigt wird.

an den Empfänger schicken (unabhängig von blockierten Dateien): E-Mails mit blockierten Dateien werden auf normale

Weise zugestellt.

Zu blockierende Dateitypen auswählen (anhand der Erweiterung)

Die Erweiterungen für Dateien, die blockiert werden sollen.

Tipp

Halten Sie die Taste Strg gedrückt, und klicken Sie mit der linken Maustaste, um mehrere Erweiterungen auszuwählen.

Emailadresse zur Benachrichtigung gesperrter Dateien (Datei Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten E-Mail mit blockierten Anhängen eine Benachrichtigung gesendet wird.

Dateien mit doppelten Endungen blockieren

Aktivieren der Blockierung von Dateien mit doppelten Erweiterungen.

Hinweis

Bei Dateien mit doppelten Erweiterungen handelt es sich in der Regel um böswillige Dateien, die z. B. als harmlose Bilder oder

Dokumente getarnt sind. Wenn sie angeklickt werden, wird eine Anwendung ausgeführt, die eine Beschädigung des Computers oder

den Diebstahl persönlicher Daten zum Ziel hat. Eine Datei mit doppelter Erweiterung entspricht einer normalen Datei, wobei der Name

(z. B. image.jpg) von .com, .vbs .exe, .scr, .bat, .pif, .dll oder .cmd gefolgt ist (z. B. image.jpg.exe).

Es muss konfiguriert werden, für welche E-Mail-Domänen die lokalen Server jeweils zuständig sein sollen. Die entsprechende Liste der

Zuordnungen von Domänen und SMTP-Servern kann unter Menüleiste ‣ Proxy ‣ SMTP –> Eingehende Domains definiert werden.

Quarantäneeinstellungen

In diesem Bereich ist nur eine Option verfügbar:

Speicherzeit der Quarantäne (in Tagen)

Die Anzahl der Tage, die eine E-Mail in der Quarantäne auf der Panda GateDefender-Appliance gespeichert wird, bevor sie gelöscht

wird.

Tipp

Die in der Quarantäne gespeicherten E-Mails können über Mail Quarantäne unter Menüleiste ‣ Dienste ‣ Mail Quarantäne verwaltet

werden

Transparenten Proxy umgehen

Im letzten Bereich können folgende benutzerdefinierte Listen von Domänen definiert werden, für die der transparente Proxy deaktiviert

werden soll:

Transparenten Proxy von SUBNETZ/IP/MAC umgehen

Die Quellen für E-Mails, auf die der transparente Proxy nicht angewendet wird.

Transparenten Proxy nach SUBNET/IP umgehen

Auf E-Mails, die an diese Ziele gesendet werden, wird der transparente Proxy nicht angewendet.

Black- & Whitelisten

Auf dieser Seite befinden sich vier Bereiche: Drei Bereiche dienen der Definition verschiedener benutzerdefinierter Blacklists und

Whitelists und einer der Auswahl und Verwendung vorhandener RBLs.

Beispiele für Blacklist- und Whitelist-Einträge für Absender und Empfänger

Vollständige Domänen oder Unterdomänen und einzelne Adressen können auf folgende Weise in eine Blacklist oder Whitelist

aufgenommen werden:

Eine Domäne einschließlich ihrer Unterdomänen: example.com

Nur die Unterdomänen einer Domäne: beispiel.com

Eine einzelne Adresse: [email protected], [email protected]

Clients können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:

Eine Domäne oder IP-Adresse: beispiel.com, 10.10.121.101, 192.168.100.0/24

Akzeptierte Mails (Black & Whitelisten)

Im ersten Bereich kann eine beliebige Anzahl von Domänen, Unterdomänen oder einzelnen E-Mail-Adressen angegeben werden, die in

eine Blacklist oder Whitelist aufgenommen werden sollen. Dazu können für die entsprechende Blacklist oder Whitelist jeweils beliebig

viele Absender, Empfänger oder Clients in die folgenden Textbereiche eingegeben werden:

Whitelist Absender

Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das

E-Mail-Feld From:.

Blacklist Absender

Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das

E-Mail-Feld From:.

Whitelist Empfänger

Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-

Mail-Feld To:.

Blacklist Empfänger

Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-

Mail-Feld To:.

Whitelist Client

Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden akzeptiert.

Blacklist Client

Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden abgelehnt.

Echtzeit Blacklist (RBL)

Eine gängige Methode zum Blockieren von Spam-E-Mails sind die sogenannten RBLs. Ihre Verwendung kann im zweiten Bereich

konfiguriert werden. Die Listen werden von verschiedenen Organisationen erstellt, verwaltet und aktualisiert, deren Ziel das zügige

Erkennen und Blockieren neuer SMTP-Server ist, die für den Spamversand verwendet werden. E-Mails von Domänen oder IP-Adressen,

die in einer dieser Blacklists stehen, werden ohne jeden Hinweis abgelehnt. Die Verwendung von RBLs schont die Bandbreite, da

entsprechende E-Mails nicht angenommen und wie legitime E-Mails verarbeitet, sondern sofort verworfen werden, wenn die IP-Adresse

oder Domäne des Absenders in einer der Blacklists gefunden wird. Von der Panda GateDefender-Appliance werden zahlreiche IP-

basierte und domänenbasierte RBLs verwendet. Die Blacklists der einzelnen Kategorien können durch Klicken auf das Symbol

angezeigt werden. Gemeinsam aktiviert oder deaktiviert werden sie durch Klicken auf den roten bzw. grünen Pfeil ganz oben in der

Liste. Alternativ können sie auch einzeln aktiviert oder deaktiviert werden. Wird der Name einer Liste angeklickt, wird die Homepage der

Organisation aufgerufen, die diese Liste pflegt.

Warnung

Gelegentlich werden IP-Adressen oder Domänen von RBL-Betreibern irrtümlich aufgeführt. Dies kann die Kommunikation stören, da

auch legitime E-Mails von entsprechenden Domänen abgelehnt werden, ohne dass sie wiederhergestellt werden können. Da es keine

Möglichkeit gibt, direkten Einfluss auf die RBLs zu nehmen, müssen vor ihrer Verwendung die Richtlinien der Organisationen

berücksichtigt werden, die sie verwalten. Panda ist nicht für E-Mails verantwortlich, die bei der Verwendung von RBLs verloren gehen

könnten.

Folgende Blacklists sind u. a. installiert:

bl.spamcop.net

Eine Blacklist, die auf Beiträgen ihrer Nutzer beruht.

zen.spamhaus.org

Diese Liste ist der Nachfolger von „sbl-xbl.spamhaus.org“. Sie enthält die „Spamhaus Block List“, die „Exploits Block List“ und

die „Policy Block List“ von Spamhaus.

cbl.abuseat.org

Die CBL-Liste bezieht ihre Quelldaten von sehr großen Spamfallen. Es werden nur IP-Adressen aufgeführt, die spezifische

Eigenschaften unterschiedlicher offener Proxys (z. B. HTTP, SOCKS, AnalogX oder WinGate) aufweisen, die für das

Versenden von Spam, Würmern, Viren mit eigenem direkten E-Mail-Versand oder von manchen Arten von trojanischen

Pferden oder Stealth-Spamware missbraucht wurden. Die offenen Proxys werden dabei nicht überprüft.

[name].dnsbl.sorbs.net und rhsbl.dnsbl.sorbs.net

Von dieser Organisation werden mehrere Blacklists bereitgestellt (z. B. „safe“ oder „relays“ anstelle von [name]). Sie können

einzeln oder durch Aktivieren der Blacklist dsnbl.sorbs.net auch gemeinsam aktiviert werden.

uceprotect.net

Listen, in denen Domänen bekannter Spamquellen für höchstens sieben Tage aufbewahrt werden. Nach Ablauf dieses

Zeitraums werden sie aus den Listen ausgetragen. Bei wiederholten Verletzungen werden jedoch strengere Richtlinien

angewendet.

dsn.rfc-ignorant.org

Diese Liste enthält Domänen oder IP-Netzwerke, die nicht gemäß den RFC-Standards für das Internet administriert werden.

Hinweis

Die Website „rfc-ignorant.org“ hat am 30.11.2012 den Dienst eingestellt (siehe Ankündigung), aber ihre Arbeit wird unter http://www.rfc-

ignorant.de/ fortgeführt. Diese Arbeit hat bis jetzt (November 2013) jedoch noch nicht zu funktionierenden RBLs geführt.

Die RBLs werden in zwei Feldern gruppiert. Auf der linken Seite befinden sich IP-basierte RBLs, während sich auf der rechten Seite

domänenbasierte RBLs befinden. Klicken Sie zur Aktivierung aller RBLs in einem Feld auf das Symbol neben der Titelleiste des

Feldes (das Symbol wird zu ). Klicken Sie zur Aktivierung einzelner RBLs auf das Symbol neben dem jeweiligen Namen der RBL.

In diesem Fall wird das Symbol oder in der Titelleiste durch das Symbol ersetzt.

Greylisting für Spam

Im dritten Bereich können Whitelists für Greylisting erstellt werden, indem Empfänger, IP-Adressen oder Netzwerke in den folgenden

beiden Textbereichen eingetragen werden. Auf diese wird kein Greylisting angewendet:

Whitelist Empfänger

Alle E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden als

sicher angesehen. Von dort empfangene E-Mails werden nicht auf Spam überprüft.

Whitelist Client

Alle Adressen des Mailservers in diesem Textbereich werden als sicher betrachtet. E-Mails, die von dieser Serveradresse

gesendet wurden, werden nicht auf Spam überprüft.

Greylisting

Greylisting ist eine von MTAs verwendete Methode, mit der die Legitimität von E-Mails überprüft wird. Dabei wird eine E-Mail zunächst

abgelehnt und ihre erneute Zustellung abgewartet. Wird sie kein zweites Mal empfangen, wird der Absender als Spam-Quelle betrachtet.

Beim Greylisting wird davon ausgegangen, dass für den Massenversand verwendete Spam-Bots abgelehnte E-Mails nicht noch einmal

senden und nur legitime E-Mails ein zweites Mal gesendet werden.

Spam (Black- & Whitelists)

Im letzten Bereich werden die folgende Blacklist und die folgende Whitelist für den Spam-Filter explizit definiert:

Whitelist Absender

Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden in die

Whitelist aufgenommen. Sie werden nicht als Absender von Spam erkannt.

Blacklist Absender

http://web.archive.org/web/20121123184538/http://www.rfc-ignorant.org/endofanera.php

http://www.rfc-ignorant.de/

http://www.rfc-ignorant.de/

Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „[email protected]“ oder „example.com“) werden in die

Blacklist aufgenommen. Sie werden immer als Absender von Spam klassifiziert.

Eingehende Domains

Wenn eingehende E-Mails aktiviert wurden, können von Clients, die sich außerhalb der ROTEN Schnittstelle befinden, E-Mails über

einen lokalen SMTP-Server gesendet werden. Sollen zu sendende E-Mails an einen Mailserver hinter der Panda GateDefender-

Appliance (typischerweise in der ORANGEN Zone) weitergeleitet werden, muss angegeben werden, an welchen Mailserver die

Weiterleitung der eingehenden E-Mails erfolgen soll und welche Domänen vom SMTP-Proxy akzeptiert werden. Dabei können mehrere

Mailserver hinter der Panda GateDefender-Appliance für jeweils unterschiedliche Domänen angegeben werden.

Auf der Seite wird ggf. eine Liste von Domänen mit den jeweils zuständigen Mailservern angezeigt. Durch Klicken auf die Schaltfläche

Eine Domain hinzufügen kann eine neue Domäne hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die

Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:

Domäne

Die Domäne, für die dieser Mailserver zuständig ist.

Mailserver IP

Die IP-Adresse des Mailservers.

Der neu erstellte Eintrag wird unten in der Liste angezeigt. Die für jede Domäne verfügbaren Aktionen sind:

– Eigenschaften der Domäne ändern

– Domäne entfernen

Warnung

Sie werden nach dem Klicken auf das Symbol nicht zur Bestätigung aufgefordert. Die Domäne wird sofort entfernt.

Domainrouting

Die Seite zeigt eine Liste von Domänen zusammen mit zuständigen Smarthost für die E-Mail-Zustellung an oder den E-Mail-Empfang

von diesen Domänen. Die Informationen in der Liste sind dieselben, die beim Hinzufügen einer neuen Domäne bereitgestellt werden

müssen. Folgende Aktionen sind verfügbar:

– Domainrouting ändern

– Domainrouting entfernen

Durch Klicken auf die Schaltfläche Eine neue Domainroute hinzufügen kann eine neue Domainroute hinzugefügt werden. Daraufhin wird

ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden

Optionen:

Richtung

Legen Sie fest, ob die Richtlinie für die mit dem Sender oder dem Empfänger verbundene Domäne gelten soll.

Domäne

Die Domäne, für die dieser Mailserver zuständig ist.

Ausgehende Adresse

Die Schnittstelle oder IP-Adresse des Uplinks, durch den die E-Mails gesendet werden, auswählbar aus dem Dropdown-

Menü. Wird dieses Feld leer gelassen, legt der Smarthost den zu verwendenden Uplink und die IP-Adresse fest.

Smarthost

Durch Aktivieren dieses Kontrollkästchens werden eine oder mehrere Optionen zum Überschreiben des Smarthost des

Systems durch einen externen Smarthost angezeigt. Die Optionen entsprechen denen unter Smarthost-Konfiguration weiter

unten.

Regelpriorität

Nehmen Sie an, Sie haben zwei Regeln für das Domainrouting erstellt: Eine mit der Domäne „mydomain.com“ als Sender und dem

Uplink main als Route und eine zweite mit der Domäne „example.org“ als Empfänger und dem Uplink secondary als Route. Was passiert

mit einer E-Mail, die vom Server „foo.mydomain.com“ an einen Benutzer auf „bar.example.org“ gesendet wird? Die Antwort liegt in der

Verarbeitung der Regeln zum Senden der E-Mails durch das MTA Postfix der Panda GateDefender-Appliance. Zunächst werden alle

Regeln gelesen, welche die Quellen betreffen, dann die der Empfänger. Daher wird die von „foo.mydomain.com“ an

„bar.myexample.org“ gesendete E-Mail durch den Uplink secondary geroutet.

Mailrouting

Mithilfe dieser Option können BCCs von E-Mails an eine angegebene Adresse gesendet werden. Sie wird auf alle E-Mails angewendet,

die entweder von einer bestimmten Absenderadresse oder an einem bestimmten Empfänger gesendet wurden. Die Liste zeigt die

Richtung, die Adresse, und falls vorhanden die BCC-Adresse, sowie die verfügbaren Aktionen:

– Mailrouting ändern

– Mailrouting entfernen

Durch Klicken auf die Schaltfläche Eine Mailroute hinzufügen kann eine neue Mailroute hinzugefügt werden. Im daraufhin geöffneten

Formular können die folgenden Optionen konfiguriert werden:

Richtung

Auswahl aus einem Dropdown-Menü, ob die Mailroute für einen E-Mail-Absender oder E-Mail-Empfänger definiert werden

soll.

Mailadresse

Je nach ausgewählter Richtung die E-Mail-Adresse des Absenders oder Empfängers, auf den die Route angewendet werden

soll.

BCC Adresse

Die E-Mail-Adresse, an die Kopien der E-Mails gesendet werden sollen.

Warnung

Absender und Empfänger werden nicht darüber benachrichtigt, dass eine Kopie an einen Dritten gesendet wird. In den meisten Ländern

ist es hochgradig illegal, private Nachrichten anderer mitzulesen. Daher darf diese Funktion nicht zweckentfremdet und keinesfalls

missbraucht werden.

Erweitert

Die letzte Konfigurationsseite für den SMTP-Proxy enthält Optionen für erweiterte Einstellungen. Diese sind in vier Bereichen gruppiert,

die durch Klicken auf die Symbole und links neben den Bereichstiteln ein- oder ausgeblendet werden können.

Smarthost Konfiguration

Im ersten Bereich kann ein Smarthost aktiviert und konfiguriert werden. Verfügt der SMTP-Server über eine dynamische IP-Adresse, z. B.

bei einer ISDN- oder DSL-Einwahlverbindung, können Probleme beim Senden von E-Mails an andere Mailserver auftreten. Die IP-

Adresse kann in einer RBL aufgeführt sein (siehe weiter oben unter Black- und Whitelists), wodurch gesendete E-Mails von Remote-

Mailservern möglicherweise abgelehnt werden. Dadurch wird es erforderlich, für den E-Mail-Versand einen Smarthost zu verwenden.

Smarthost für Zustellung

Durch Aktivieren dieses Kontrollkästchens wird für die Zustellung von E-Mails ein Smarthost aktiviert, und es werden weitere

Optionen angezeigt.

Smarthost Adresse

Die IP-Adresse oder der Hostname des Smarthost

Smarthost Port

Der Port, der vom Smarthost abgehört wird. Der Standardport ist 25.

Smarthost Authentifizierung

Dieses Kontrollkästchen muss aktiviert werden, wenn für den Smarthost eine Authentifizierung erforderlich ist. In diesem Fall

werden die drei nachfolgenden Zusatzoptionen angezeigt.

Smarthost Benutzername

Der Benutzername für die Authentifizierung beim Smarthost.

Smarthost Passwort

Das Passwort für die Authentifizierung beim Smarthost.

Authentifizerungsmethode auswählen

Die erforderlichen Authentifizierungsmethoden für den Smarthost. Unterstützt werden PLAIN, LOGIN, CRAM-MD5 und

DIGEST-MD5. Bei gedrückter Taste STRG kann durch Anklicken der gewünschten Methoden eine Mehrfachauswahl

getroffen werden.

Hinweis

Kurz zusammengefasst ist ein Smarthost ein Mailserver, der vom SMTP-Proxy als ausgehender SMTP-Server verwendet wird. Der

Smarthost muss die E-Mails annehmen und vermittelt sie dann. In der Regel wird als Smarthost der providereigene SMTP-Server

verwendet, da von diesem die E-Mails zur Vermittlung angenommen werden, was bei anderen Mailservern nicht der Fall ist.

IMAP Server für die SMTP Authentifizierung

Dieser Bereich enthält Konfigurationsoptionen für den IMAP-Server, der beim Senden von E-Mails zur Authentifizierung verwendet

werden soll. Die Einstellungen sind besonders wichtig für eingehende SMTP-Verbindungen, die aus der ROTEN Zone geöffnet werden.

Die folgenden Einstellungen können konfiguriert werden:

SMTP Authentifizierung

Durch Aktivieren dieses Kontrollkästchens wird die IMAP-Authentifizierung aktiviert, und es werden weitere Optionen

angezeigt.

Anzahl der Authentifikations Daemons wählen

Die Anzahl der gleichzeitig möglichen Anmeldungen über die Panda GateDefender-Appliance.

IMAP Authentifierungsserver

Die IP-Adresse des IMAP-Servers

IMAP Authentifizierungsport

Der Port, der vom IMAP-Server abgehört wird. Der Standardport ist 143 (einfaches IMAP) bzw. 993 (IMAP über SSL).

Mailserver-Einstellungen

In diesem Bereich können die folgenden zusätzlichen Parameter des SMTP-Servers definiert werden:

SMTP HELO

Wenn dieses Kontrollkästchen aktiviert ist, muss von Clients, von denen eine Verbindung hergestellt wird, zu Beginn einer

SMTP-Sitzung ein HELO-Befehl (oder EHLO-Befehl) gesendet werden.

Ungültiger Hostname

Clients, von denen eine Verbindung hergestellt wird, werden abgewiesen, wenn durch ihre HELO- oder EHLO-Parameter ein

ungültiger Hostname übermittelt wird.

SMTP HELO Name

Der Hostname, der mit dem HELO- oder EHLO-Befehl gesendet werden soll. Der Standardwert ist die ROTE IP-Adresse. Es

kann aber auch eine benutzerdefinierte IP-Adresse oder ein benutzerdefinierter Hostname angegeben werden.

Immer BCC an Adresse

Eine E-Mail-Adresse, an die BCCs aller Nachrichten gesendet werden, die den SMTP-Proxy passieren.

Sprache für die Mailvorlage auswählen

Die Sprache, in der die Fehlermeldungen versendet werden sollen. Möglich sind: Englisch, Deutsch, Italienisch und

Japanisch.

Empfängeradresse überprüfen

Aktivieren der Überprüfung auf gültige Empfänger-Adressen vor dem Senden von Nachrichten.

Limite für schwerwiegende Fehler auswählen

Die maximale Anzahl von Fehlern, die von einem Remote-SMTP-Client erzeugt werden darf, ohne dass eine E-Mail

übermittelt wird. Wird dieses Limit überschritten, wird die Verbindung vom SMTP-Proxyserver getrennt. Der Standardwert

beträgt 20.

Maximalgröße des Email-Inhaltes auswählen

Die maximal zulässige Größe für einzelne E-Mails. Mehrere vordefinierte Werte können aus den Dropdown-Menü ausgewählt

werden. Durch Auswählen der Option Benutzerdefinierte Größe des E-Mail-Inhalts wird die nächste Option angezeigt.

Benutzerdefinierte Maximalgröße des Email-Inhaltes (in KB)

Die maximale E-Mail-Größe in Megabyte, die vom SMTP-Server akzeptiert wird.

DSN in Zonen aktivieren

Wählen Sie aus den verfügbaren Zonen diejenigen aus, die eine Unzustellbarkeitsnachricht (d. h. eine DSN-Nachricht) für

nicht zustellbare E-Mails oder nicht korrekt versendbare E-Mails senden. Anders gesagt ist es nur möglich,

Zustellungsbenachrichtigungen für E-Mails von den hier ausgewählten Zonen zu erhalten.

HELO/EHLO und Hostname

Von fast allen Mailservern wird verlangt, dass durch Clients, von denen über SMTP eine Verbindung hergestellt wird, eine entsprechende

Ankündigung mit einem gültigen Hostnamen im HELO/EHLO erfolgt. Anderenfalls wird die Verbindung getrennt. Von der Panda

GateDefender-Appliance wird jedoch zur Ankündigung bei fremden Mailservern ein eigener Hostname verwendet, der im globalen DNS

nicht immer öffentlich gültig ist.

In einem solchen Fall kann unter Menüleiste ‣ Proxy ‣ SMTP ‣ Erweitert ‣ Mailserver Einstellungen ‣ SMTP HELO Name ein anderer

benutzerdefinierter Hostname konfiguriert werden, der vom Remote-Mailserver verstanden werden kann.

Anstelle eines benutzerdefinierten Hostnamens kann auch eine numerische IP-Adresse in Klammern angegeben werden (z. B.

[192.192.192.192]). Dabei sollte es sich um die ROTE IP-Adresse handeln.

Spamabwehr

Im letzten Bereich können zusätzliche Parameter für den Spam-Filter definiert werden, indem eines oder mehrere der folgenden vier

Kontrollkästchen aktiviert werden:

Ungültiger Empfänger

Eine Anforderung wird zurückgewiesen, wenn die Adresse für RCPT TO kein FQDN-Format aufweist, wie durch RFC 821

verlangt.

Ungültiger Absender

Ein Client, von dem eine Verbindung hergestellt wird, wird zurückgewiesen, wenn es sich bei dem Hostnamen, der mit dem

HELO- oder EHLO-Befehl übermittelt wird, nicht um einen FQDN handelt, wie durch RFC 821 verlangt.

Unbekannte Empfänger-Domain

Eine Verbindung wird abgewiesen, wenn für die Domäne der Empfängeradresse kein A-Eintrag oder MX-Eintrag im DNS

vorhanden ist.

unbekannter Absender

Eine Verbindung wird abgewiesen, wenn für die Domäne der Absenderadresse kein A-Eintrag oder MX-Eintrag im DNS

vorhanden ist.

Fehlerbehebung für den SMTP-Proxy

Wird in der Protokolldatei die Meldung „Mail for xxx loops back to myself“ angezeigt, deutet dies auf eine Fehlkonfiguration beim

benutzerdefinierten SMTP-HELO-Namen in der Appliance hin. Dieser ist identisch mit dem Hostnamen des internen Mailservers, an den

eingehende E-Mails weitergeleitet werden sollen.

In diesem Fall enthält die SMTP-Verbindung, die vom internen Mailserver empfangen wird, einen Hostnamen (den aus der HELO-Zeile

der SMTP-Proxyeinstellung), der mit dem Hostnamen des internen Mailservers identisch ist. Daher wird vom internen Mailserver

angenommen, dass von ihm dieselbe E-Mail gesendet und empfangen wird, wodurch diese Fehlermeldung verursacht wird.

Die folgenden Lösungen sind möglich:

Ändern des Hostnamens des internen Mailservers.



Erstellen eines neuen, öffentlich gültigen A-Eintrags in der DNS-Zone, durch den auch auf die Panda

GateDefender-Appliance verwiesen wird, und Verwenden des entsprechenden Hostnamens als HELO-Zeile

im SMTP-Proxy.

Verwenden der numerischen IP-Adresse des Uplinks als HELO-Zeile.

Antispam

Diese Seite enthält Konfigurationseinstellungen für die Anti-Spam-Engine. Folgende Optionen können konfiguriert werden:

Commtouch aktivieren

Aktiviert die Anti-Spam-Engine von Commtouch. Diese Option ist nur verfügbar, wenn Commtouch auf der

Panda GateDefender-Appliance installiert ist.

Mit Spamassassin kurzschließen

Durch Aktivieren dieses Kontrollkästchens wird SpamAssassin übergangen, wenn von Commtouch eine Nachricht als Spam

markiert wird.

IPs/Netzwerke ignorieren

Definieren von IP-Adressen und Netzwerken, die nicht von Commtouch überprüft werden sollen.

Im Abschnitt „Spam Kennzeichnungsstufe“ können die folgenden Optionen konfiguriert werden: Die gültigen Werte für jede Option liegen

zwischen einschließlich -10 und 10.

BESTÄTIGT

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Spam erkannt.

BULK

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Massensendungen identifiziert.

SUSPEKT

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden unter Spamverdacht gestellt.

UNBEKANNT

E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden als unbekannt eingestuft.

KEIN SPAM

E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden nicht als Spam eingestuft.

DNS

Beim DNS-Proxy handelt es sich um einen Proxyserver, von dem DNS-Anfragen abgefangen und beantwortet werden, ohne dass zum

Auflösen einer IP-Adresse oder eines Hostnamen ein Remote-DNS-Server kontaktiert werden muss. Wenn eine Abfrage häufig

wiederholt wird, kann das Zwischenspeichern der Ergebnisse die Leistung merklich steigern. Die verfügbaren Einstellungen für den DNS-

Proxy sind auf drei Registerkarten gruppiert.

DNS-Proxy

Auf dieser Seite können einige Optionen für den DNS-Proxy konfiguriert werden.

Transparent auf Grün, Transparent auf Blau, Transparent auf Orange

Aktiviert dem DNS-Proxy als transparent für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt,

wenn die entsprechende Zone aktiviert ist.

Bestimmte Quellen und Ziele, für die der Proxy umgangen werden soll, können durch Eingeben ihrer Werte in die zwei Textbereiche

eingerichtet werden.

Quellen, die den transparenten Proxy umgehen dürfen

Ermöglicht, das Quellen unter den entsprechenden Textfeldern vom DNS-Scan ausgenommen zu werden. Die Quellen

können in Form von IP-Adressen, Netzwerken oder MAC-Adressen angegeben werden.

Ziele, zu welchen der transparente Proxy umgangen wird

Lässt Ziele unter dem jeweiligen Textfeld zu, die nicht vom DNS-Proxy überprüft werden sollen. Die Ziele können in Form von

IP-Adressen oder Netzwerken angegeben werden.

DNS-Routing

Diese Seite ermöglicht die Verwaltung benutzerdefinierter Paare von Domänen und Nameservern. Kurz gesagt: Wenn eine Subdomäne

von einer Domäne abgefragt wird, wird der entsprechende Nameserver in der Liste verwendet, um die Domäne in die korrekte IP-

Adresse aufzulösen.

Eine neue Kombination von Domäne und Nameserver kann durch Klicken auf den Link Einen neuen benutzerdefinierten Nameserver für

eine Domain hinzufügen hinzugefügt werden. Dabei können Werte für die folgenden verfügbaren Optionen eingegeben werden:

Domäne

Die Domäne, für die der benutzerdefinierte Nameserver verwendet werden soll.

DNS Server

Die IP-Adresse des Nameservers.

Anmerkung

Ein zusätzlicher Kommentar

Für jede Domäne in der Liste können folgende Aktionen ausgeführt werden:

– Regel bearbeiten

– Regel löschen

Anti-Spyware

Auf dieser Seite werden Konfigurationsoptionen angezeigt, durch die bestimmt wird, wie von der Panda GateDefender-Appliance auf

Anforderungen zur Namensauflösung reagiert werden soll, wenn die angeforderte Domäne als Verteiler von Spyware oder als Phishing-

Seite bekannt ist. Folgende Optionen können festgelegt werden:

Aktiviert

Die Anforderungen werden an den Localhost umgeleitet. Der Remotestandort wird also nicht kontaktiert und ist nicht

erreichbar.

Erlaubte Domains

Menü „VPN“

105

Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste nicht als Spyware-Ziele behandelt werden.

Blacklist Domains

Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste immer als Spyware-Ziele behandelt werden.

Spyware Domainlisten Updateintervall

Die Aktualisierungshäufigkeit für die Spyware-Domänenlisten. Die möglichen Optionen sind Täglich, Wöchentlich und

Monatlich. Der genaue Zeitpunkt der Aktualisierung wird angezeigt, wenn der Mauszeiger über das entsprechende

Fragezeichen geführt wird.

Tipp

Zum Herunterladen aktualisierter Signaturen muss Ihr System in der Panda Perimetral Management Console registriert sein.

Menü „VPN“ Menü „VPN“

OpenVPN Server

o Serverkonfiguration

OpenVPN Client (Gw2Gw)

IPSec

o IPSec

o L2TP

Authentifizierung

o Benutzer

o Gruppen

o Einstellungen

Zertifikate

o Zertifikate

o Zertifizierungsstelle

o Gesperrte Zertifikate

o Zertifikatssperrliste (CRL)

Mit VPN können zwei lokale Netzwerke über unsichere Netzwerke wie das Internet direkt miteinander verbunden werden. Der gesamte

Datenverkehr über die VPN-Verbindung wird innerhalb eines verschlüsselten Tunnels übertragen und vor unerwünschtem Zugriff

geschützt. Solche Konfigurationen werden Gateway-zu-Gateway-VPN oder kurz Gw2Gw-VPN genannt. Ebenso kann ein einzelner

externer Computer einen VPN-Tunnel nutzen, um sich mit einem lokalen vertrauenswürdigen LAN zu verbinden. Wenn der VPN-Tunnel

aktiv ist, scheint der externe Computer – auch Road Warrior genannt – direkt mit dem vertrauenswürdigen LAN verbunden zu sein.

Die Panda GateDefender-Appliance unterstützt die Erstellung von VPNs entweder basierend auf dem Protokoll IPsec, das von den

meisten Betriebssystemen und Netzwerkgeräten unterstützt wird, oder über den Dienst OpenVPN.

Die Panda GateDefender-Appliance kann entweder als OpenVPN-Server oder als Client eingerichtet werden. Sie kann sogar beide

Rollen zur gleichen Zeit übernehmen, um ein Netzwerk von Anwendungen zu erstellen, die über OpenVPN verbunden sind. Folgende

Menüelemente stehen im Untermenü zur Verfügung:

OpenVPN-Server – Richten Sie den OpenVPN-Server so ein, dass die Clients (sowohl Road-Warriors als auch andere

Panda-GateDefender-Hilfsmittel in einer Gateway-zu-Gateway-Einstellung) eine Verbindung zu einer der lokalen Zonen

herstellen können.

OpenVPN Client (Gw2Gw) – Client-seitige Einrichtung eines Gateway-to-Gateway-Setups zwischen zwei oder mehr Panda

GateDefender-Appliances.

IPsec/L2TP – Richten Sie IPsec-basierte VPN-Tunnel und L2TP-Verbindungen ein.

Authentifizierung – Verwaltung der Benutzer von VPN-Verbindungen.

Zertifikate – Verwalten der Zertifikate, die für die VPN-Verbindungen verwendet werden sollen.

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.

OpenVPN-Server

Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert

und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.

Beginnend mit Version 5.50 ermöglicht der auf der Panda GateDefender-Appliance bereitgestellte OpenVPN-Server die gleichzeitige

Präsenz mehrerer Instanzen. Jeder Server überwacht einen anderen Port, sodass nur eingehende Verbindungen über diesen Port

akzeptiert werden. Darüber hinaus kann, falls die Hardware, auf der die Panda GateDefender-Appliance installiert wird, mehrere CPU-

Kerne besitzt, jeder Instanz mehr als eine CPU zugewiesen werden. Das resultiert in einer Erhöhung des Durchsatzes und der

Datenverarbeitung dieser Instanz. Es ist auch möglich, mehrere Instanzen von OpenVPN auf einem Gerät mit Einzelkern-CPU

auszuführen, wobei diese dann jedoch die gesamte Last aller Instanzen trägt.

Serverkonfiguration

Diese Seite enthält den Schalter OpenVPN Server aktivieren , der den OpenVPN-Server und alle damit verbundenen Dienste (z. B. die

VPN-Firewall) durch Anklicken startet. Unterhalb befindet sich das Feld OpenVPN Einstellungen, in dem einige globale Einstellungen

festgelegt werden können. Rechts unterhalb ermöglicht es ein Link, neue Serverinstanzen zu definieren, während am unteren Rand der

Seite eine Liste der verfügbaren laufenden VPN-Server der Panda GateDefender-Appliance angezeigt werden, falls solche bereits

definiert wurden. Die Liste enthält die folgenden Daten über jede definierte Instanz eines OpenVPN-Servers: Name, Anmerkung und

Details zur Konfiguration wie: der überwachte Port, das Protokoll sowie der Geräte- und Netzwerktyp. Schließlich stehen folgende

Aktionen zur Verfügung:

– Der Server ist aktiv oder angehalten.

– Ändern der Serverkonfiguration.

– Entfernen der Konfiguration und des Servers.

Hinweis

Beim ersten Start des OpenVPN-Servers werden die Root- und Hostzertifikate automatisch generiert.

OpenVPN-Einstellungen

Das Feld im oberen Bereich zeigt die aktuellen OpenVPN-Einstellungen zur Authentifizierungsmethode. Diese sind:

Authentifizierungstyp:

Es gibt drei verfügbare Authentifizierungsmethoden, um Clients mit dem OpenVPN-Server zu verbinden, der auf der Panda

GateDefender-Appliance ausgeführt wird:

PSK (Benutzername und Passwort): Die Verbindung wird hergestellt, nachdem ein korrekter Benutzername und ein

Passwort angegeben wurden.

X.509 Zertifikat: Ein gültiges Zertifikat wird nur zur Verbindungsherstellung benötigt.

X.509 Zertifikat & PSK (Zweifaktor): Neben einem gültigen Zertifikat werden Benutzername und Passwörter benötigt.

Warnung

Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den

OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen.

Die Standardmethode der Panda GateDefender-Appliance ist PSK (Benutzername/Passwort): Der Client wird anhand des

Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden

Methoden werden nachfolgend beschrieben.

Zertifikatskonfiguration:

Dieses Dropdown-Menü wird verwendet, um die Erstellungsmethode eines neuen Zertifikats auszuwählen. Folgende Optionen sind

verfügbar:

Erzeuge ein neues Zertifikat: Erstellung eines komplett neuen Zertifikats. Diese Option ist nur verfügbar, wenn noch kein

Hostzertifikat generiert wurde. Ein Formular öffnet sich, in dem alle notwendigen Informationen zur Erstellung eines neuen Zertifikats

angegeben werden können. Diese sind dieselben wie im Editor zur Erzeugung neuer Zertifikate mit zwei kleineren Änderungen:

Trivialname wird zu Hostname des Systems, und Name der Organisational Unit wird zu Abteilungsname.

Ausgewähltes Zertifikat verwenden: Wählen Sie eines der verfügbaren Zertifikate aus, das im Dropdown-Menü auf der rechten Seite

angezeigt wird. Es ist möglich, sämtliche Details des Zertifikats durch Klicken auf den Hyperlink Details anzeigen anzuzeigen.

Tipp

Der Name des ausgewählten Zertifikats wird rechts über dem Hyperlink angezeigt.

Ein bestehendes Zertifikat verwenden: In einem zweiten Dropdown-Menü auf der linken Seite können Sie ein bereits erstelltes und in

der Panda GateDefender-Appliance gespeichertes Zertifikat auswählen.

Ein Zertifikat hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, ein

bestehendes Zertifikat von der Workstation aus auszuwählen und hochzuladen. Das Passwort für das Zertifikat kann, falls

erforderlich, in das Textfeld auf der rechten Seite eingegeben werden.

Anfrage zum Signieren eines Zertifikats (CSR) hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des

Dropdown-Menüs ist es möglich, eine bestehende Zertifizierungsanforderung von der Workstation auszuwählen und hochzuladen.

Die Gültigkeit des Zertifikats in Tagen kann in das Textfeld auf der rechten Seite eingegeben werden.

OpenVPN Server Instanzen

Die Liste der bereits definierten OpenVPN-Instanzen wird in diesem Bereich angezeigt, über dem sich der Hyperlink Neue OpenVPN

Server Instanz hinzufügen befindet. Durch Klicken auf diesen Link wird ein Editor geöffnet, in dem alle notwendigen Konfigurationswerte

für die neue VPN-Instanz angegeben werden können.

Hinweis

Falls die Anzahl der OpenVPN-Instanzen größer ist als die der Kerne ist, zeigt ein gelber Hinweis an, dass die Leistung verringert sein

kann.

Im Editor werden folgende Konfigurationsoptionen angezeigt:

Name

Der Name der OpenVPN-Serverinstanz.

Anmerkung

Ein Kommentar für diese Instanz.

Antworte nur auf

Die IP-Adresse, welche die Instanz überwachen soll.

Port

Der Port, auf dem die Instanz auf eingehende Verbindungen wartet.

Gerätetyp

Das für die Instanz verwendete Gerät, das aus dem Dropdown-Menü ausgewählt werden kann (TUN und TAP). TUN-Geräte

erfordern, dass der Datenverkehr geroutet wird. Daher ist die untere Option Gebridget nicht für TUN-Geräte verfügbar.

Protokoll

Das verwendete Protokoll, das aus dem Dropdown-Menü ausgewählt werden kann (TCP und UDP).

Gebridget

Aktivieren Sie diese Option, um den Server gebridget zu betreiben, d. h. innerhalb einer der vorhandenen Zonen.

Hinweis

Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In

diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw.

bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist,

übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.

VPN Subnetz

Diese Option ist nur verfügbar, wenn der gebridgete Modus deaktiviert ist. Mithilfe dieser Option kann der OpenVPN-Server in

seinem eigenen dedizierten Subnetz ausgeführt werden, das im Textfeld festgelegt werden kann. Es sollte sich von den

Subnetzen der anderen Zonen unterscheiden.

Bridge zu

Die Zone, an die der OpenVPN-Server gebrigdet werden soll. Es werden nur die verfügbaren Zonen im Dropdown-Menü

angezeigt.

Startadresse des dynamischen IP Pool

Die erstmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.

Endadresse des dynamischen IP Pool

Die letztmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.

Gerouteter und gebridgeter OpenVPN-Server, statisch und dynamisch.

Bei der Konfiguration eines Pools von IP-Adressen, die für OpenVPN-Clients reserviert sind, ist es notwendig einige Richtlinien zu

beachten, die helfen, sowohl zukünftige Fehlfunktionen zu vermeiden als auch ein saubereres und einfaches Design einzurichten.

Bevor Sie mit der Konfiguration des Servers beginnen, gilt es eine goldene Regel bei der Implementierung einer Architektur mit VPN-

Multikern zu beachten: Unabhängig vom verwendeten gebridgeten oder gerouteten Modus für eine VPN-Serverinstanz mit Multikern

erfolgt keine Reservierung statischer IP-Adressen. Mit anderen Worten: Ein Client, der sich mit diesem VPN-Server verbindet, erhält eine

dynamische IP-Adresse, auch wenn diesem eine statische IP-Adresse zugewiesen wurde.

Zunächst ist festzulegen, ob der OpenVPN-Server im gerouteten oder gebridgeten Modus arbeiten soll. Im ersten Fall ist es notwendig,

ein passendes VPN-Subnetz festzulegen, das IP-Adressen für die Clients bereitstellt. Der Datenverkehr über dieses Subnetz muss

gegebenenfalls unter Verwendung der VPN-Firewall gefiltert werden. Im zweiten Fall betrachtet der OpenVPN-Server Clients ab der

Verbindung als physisch mit dieser Zone verbunden, d. h. der Server bridget den Client zu einer der Zonen. In diesem Fall muss ein Pool

von IP-Adressen innerhalb dieser Zone unter Verwendung der zwei Optionen definiert werden, die direkt vor diesem Feld angezeigt

werden. Dieser Pool muss vollständig im Subnetz der Zone enthalten und kleiner als diese sein. Es ist außerdem wichtig, sich zu

vergewissern, dass dieser Pool keine Konflikte mit anderen Pools verursacht, die in dieser Zone definiert sind, wie z. B. ein DHCP-

Server.

In einem gebridgeten OpenVPN-Server ist es möglich, einigen (oder sogar allen) Benutzern eine statische IP-Adresse zuzuweisen. In

diesem Fall ist es sinnvoll, dass diese statischen IP-Adressen zu keinem definierten IP-Pool innerhalb der Zone gehören, um

Adressenkonflikte und falsches Routing zu vermeiden. Der Datenverkehr mit diesem bestimmten Client kann dann unter Verwendung

des VPN (oder IPsec)-Benutzers als Quelle oder Ziel des Datenverkehrs in den Firewall-Regeln gefiltert werden.

Im Feld Erweiterte Einstellungen können zusätzliche Optionen konfiguriert werden.

Anzahl der Kerne

Dieses Dropdown-Menü ermöglicht es, die Anzahl der CPUs der Panda GateDefender-Appliance festzulegen, die von der

Instanz verwendet werden. Daher können sich die Optionen in diesem Dropdown-Menü unterscheiden.

Mehrere Verbindungen von einem Benutzer zulassen:

In der Regel kann eine Client-Verbindung jeweils nur von einem Standort aus hergestellt werden. Diese Option ermöglicht die

Anmeldung mehrerer Clients von verschiedenen Standorten aus. Die VPN-Firewall-Regeln treffen nicht mehr zu, wenn für

einen Client mehrere Verbindungen bestehen.

DHCP Antworten aus dem Tunnel blockieren

Aktivieren Sie dieses Kontrollkästchen, wenn DHCP-Antworten, die Konflikte mit dem lokalen DHCP-Server hervorrufen, aus

dem LAN auf der anderen Seite des VPN-Tunnels empfangen werden.

Client-to-Client-Verbindungen

Wählen Sie in diesem Dropdown-Menü die Modalitäten der Kommunikation zwischen den Clients und dem OpenVPN-Server aus:

Nicht erlaubt: Die Clients können nicht miteinander kommunizieren.

Direkte Verbindungen zulassen: Die Clients können sich verbinden. Diese Option steht nur bei CPUs mit Einzelkern zur

Verfügung.

Verbindungen in der VPN-Firewall filtern: Die Clients können miteinander kommunizieren, aber ihr Datenverkehr wird

durch die VPN-Firewall geregelt.

Diese Nameserver pushen

Durch Aktivieren dieses Kontrollkästchens wird der im darunter befindlichen Textfeld angegebene Nameserver beim

Verbinden an die Clients gesendet.

Nameserver:

Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige

Kontrollkästchen aktiviert wurde.

Diese Netzwerke pushen

Durch Aktivieren dieses Kontrollkästchens werden die Routen zu den im unteren Textfeld definierten Netzwerken an die

verbundenen Clients gesendet.

Netzwerke

Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige

Kontrollkästchen aktiviert wurde.

Diese Domäne pushen:

Durch Aktivieren dieses Kontrollkästchens wird die im Textfeld auf der rechten Seite festgelegte Suchdomäne zu denen der

verbundenen Clients hinzugefügt.

Domäne

Die Domäne, die zur Identifikation der Server und Netzwerkressourcen im VPN-Netzwerk verwendet wird (d. h. die

Suchdomäne).

Hinweis

Die Optionen Diese Nameserver pushen und Diese Domäne pushen funktionieren nur bei Clients, die Microsoft Windows als

Betriebssystem verwenden.

Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat für diesen OpenVPN Server erzeugt. Dieser Vorgang kann

einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen

heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden

sollen. Anderenfalls können die Clients nicht auf den Server zugreifen.

Nachdem der Server eingerichtet wurde, ist es möglich, Konten für die Clients zu erstellen und zu konfigurieren, die sich mit der Panda

GateDefender-Appliance auf der Registerkarte Authentifizierung verbinden können.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Start des OpenVPN-Servers definiert.

Fehlerbehebung für VPN-Verbindungen

Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird

es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1.450 Byte, um

Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1.500 Byte liegt, zu verhindern. Einige

Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und

Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen

werden können). Sie können diesen Wert durch Zugriff auf die Panda GateDefender-Appliance über die Kommandozeilenschnittstelle

(CLI) anhand der folgenden Richtlinien ändern:

1. Notieren Sie den vom Internetdienstanbieter verwendeten MTU-Wert (siehe untenstehenden Link).

2. Öffnen Sie die Befehlszeilenschnittstelle entweder über eine Shell oder über Menüleiste ‣ System ‣ Web Konsole an.

3. Bearbeiten Sie die OpenVPN-Vorlage mit einem Editor Ihrer Wahl: nano/etc/openvpn/openvpn.conf.tmpl.

4. Suchen Sie nach der Zeichenkette mssfix 1450.

5. Ersetzen Sie 1450 durch einen niedrigeren Wert (z. B. 1200).

6. Starten Sie OpenVPN durch folgende Eingabe neu: jobcontrol restart openvpnjob.

Siehe auch

Weitere Informationen zum MTU-Wert:

OpenVPN-Client (Gw2Gw)

Auf dieser Seite wird eine Liste der Verbindungen der Panda GateDefender-Appliance als OpenVPN-Clients angezeigt, d. h. alle

getunnelten Verbindungen zu Remote-OpenVPN-Servern. Für jede Verbindung werden in der Liste folgende Informationen angezeigt:

Status, Name, zusätzliche Optionen, eine Anmerkung sowie verfügbare Aktionen:

– Der Server ist aktiv oder angehalten.

– Ändern der Serverkonfiguration.

– Entfernen der Konfiguration und des Servers.

Wenn die Verbindung deaktiviert ist, wird der Status beendet angezeigt. Dahingegen wird bei aktivierter Verbindung der Status aufgebaut

und Verbindung wird hergestellt... angezeigt, wenn die Verbindung aufgebaut wird. Zu den verfügbaren Aktionen gehören außer dem

Aktivieren und Deaktivieren von Verbindungen auch das Bearbeiten oder Löschen von Verbindungen. Im ersteren Fall wird dasselbe

Formular wie beim Hinzufügen einer Verbindung (siehe unten) geöffnet, in dem Sie die aktuellen Einstellungen anzeigen und

modifizieren können. Im letzteren Fall können Sie ausschließlich die zuvor erwähnten modifizierten Einstellungen von der

Panda GateDefender-Appliance löschen.

Die Erstellung neuer OpenVPN-Client-Verbindungen ist unkompliziert und kann auf zwei Arten erfolgen: Klicken Sie entweder auf die

Schaltfläche Tunnelkonfiguration hinzufügen, und geben Sie die erforderlichen Informationen zum OpenVPN-Server ein, zu dem eine

Verbindung hergestellt werden soll (mehrere Verbindungen sind möglich), oder importieren Sie die Client-Einstellungen vom OpenVPN-

Zugriffsserver, indem sie auf die Schaltfläche Profil von OpenVPN Access Server importieren klicken.

Tunnelkonfiguration hinzufügen

Es gibt zwei Arten von Einstellungen, die bei jeder Tunnelkonfiguration modifiziert werden können: Die Basiskonfiguration sieht die

Integration obligatorischer Optionen für den Tunnel vor. Die erweiterte Konfiguration ist optional und sollte nur vorgenommen werden,

wenn der OpenVPN-Server nicht standardkonform eingerichtet wurde. Klicken Sie auf die Schaltfläche >> neben Erweiterte

Tunnelkonfiguration, um zu den erweiterten Einstellungen zu gelangen. Nachfolgend werden die Grundeinstellungen aufgezählt:

Name für die Verbindung

Bezeichnung zur Identifizierung der Verbindung.

Verbinden mit

Der vollständig qualifizierte Domänenname (FQDN) des OpenVPN-Remote-Servers, der Port sowie das Protokoll in der

folgenden Form: myefw.example.com:port:protocol. Soweit nicht anders spezifiziert, haben der Port

und das Protokoll ihre jeweiligen Standardwerte 1194 bzw. UDP. Das Protokoll muss in Kleinbuchstaben angegeben werden.

Zertifikat hochladen

Server-Zertifikat für die Tunnelverbindung. Sie können das lokale Dateisystem nach Dateien durchsuchen oder alternativ

Pfad und Dateinamen für den Suchvorgang eingeben. Falls der Server eine PSK-Authentifizierung verwendet

(Benutzername/Passwort), muss das Hostzertifikat (d. h. das auf dem Server im Abschnitt Menüleiste ‣ VPN ‣ OpenVPN

Server über den Link CA Zertifikat herunterladen heruntergeladene Zertifikat) auf die Panda GateDefender-Appliance

hochgeladen werden. Für eine zertifikatsbasierte Authentifizierung muss hingegen die PKCS#12-Datei des Servers (das

Zertifikat, das über den Link Exportiere CA als PKCS#12 Datei in Abschnitt Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Erweitert)

hochgeladen werden muss.

PKCS#12 Challenge Passwort

Geben Sie hier das Challenge Passwort ein, das im Laufe der Zertifikatserstellung der Zertifizierungsstelle bereitgestellt

wurde (falls verfügbar). Dies ist nur dann notwendig, wenn ein PKCS#12-Zertifikat hochgeladen wird.

Benutzername, Passwort

Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) oder für die Authentifizierung auf

Grundlage von Zertifikaten und Passworten konfiguriert ist, müssen an dieser Stelle der Benutzername und das Passwort des

auf dem OpenVPN-Server befindlichen Kontos eingegeben werden.

Anmerkung

Ein Kommentar zur Verbindung.

Erweiterte Tunnelkonfiguration

Nachdem Sie auf die Schaltfläche >> im vorherigen Feld geklickt haben, wird dieses Feld angezeigt, in dem Sie zusätzliche Optionen

ändern können. Die Werte in diesem Feld sollten nur geändert werden, wenn die Serverseite nicht gemäß den Standardwerten

konfiguriert wurde.

Fallback VPN Server

Mindestens ein OpenVPN-Fallback-Server (pro Zeile) in dem für den primären Server verwendeten Format, also

myvpn.example.com:port:protocol. Wenn die Werte für Port und Protokoll nicht angegeben werden,

werden sie standardmäßig auf 1194 bzw. UDP festgelegt. Sollte die Verbindung zu den Hauptservern fehlschlagen, werden die

entsprechenden Aufgaben an einen Fallback-Server übertragen.

Tipp

Das Protokoll muss in Kleinbuchstaben angegeben werden.

Gerätetyp

Vom Server verwendeter Gerätetyp – entweder TAP oder TUN.

Verbindungstyp

Dieses Dropdown-Menu ist nicht verfügbar, wenn TUN als Gerätetyp ausgewählt wurde, da in diesem Fall die Verbindungen

immer geroutet sind. Verfügbare Optionen sind geroutet (d. h. der Client fungiert als Gateway zum Remote-LAN) oder

gebridget (d. h. die Client-Firewall erscheint als Teil des Remote-LAN). Die Standardeinstellung ist geroutet.

Bridge zu

Dieses Feld ist nur verfügbar, wenn TAP als Gerätetyp und gebridget als Verbindungstyp ausgewählt wurde. Wählen Sie aus

diesem Dropdown-Menü die Zone aus, zu der die betreffende Client-Verbindung gebridget werden soll.

NAT

Diese Option ist nur verfügbar, wenn geroutet als Verbindungstyp ausgewählt wurde. Aktivieren Sie dieses Kontrollkästchen,

um die mittels dieser Panda GateDefender-Appliance verbundenen Clients hinter den VPN-IP-Adressen der Firewall zu

verbergen. Diese Konfiguration verhindert Anfragen von eingehenden Verbindungen an die Clients. Anders ausgedrückt: Die

Clients im lokalen Netzwerk werden vor den eingehenden Verbindungen verborgen.

DHCP Antworten aus dem Tunnel blockieren

Aktivieren Sie dieses Kontrollkästchen, um den Empfang von DHCP-Antworten aus dem LAN auf der anderen Seite des

VPN-Tunnels, die Konflikte mit dem lokalen DHCP-Server hervorrufen, zu vermeiden.

LZO-Kompression verwenden

Komprimierung des Datenverkehrs, der den Tunnel passiert (standardmäßig aktiviert).

Protokoll

Vom Server verwendetes Protokoll: UDP (Standardeinstellung) oder TCP. Wählen Sie TCP-Protokolle nur aus, wenn ein

HTTP-Proxy verwendet werden soll: In diesem Fall wird für die Konfiguration ein Formular geöffnet.

Wenn die Panda GateDefender-Appliance nur über einen vorgelagerten HTTP-Proxy auf das Internet zugreifen kann, ist es weiterhin

möglich, die Appliance in einem Gateway-zu-Gateway-Szenario als OpenVPN-Client zu verwenden. Das TCP-Protokoll für OpenVPN

muss allerdings für beide Seiten ausgewählt werden. Außerdem müssen die Kontoinformationen für den vorgelagerten HTTP-Proxy in

den Textfeldern angegeben werden.

HTTP Proxy

Der HTTP-Proxy-Host, z. B. proxy.beispiel.com:port, wobei der Port standardmäßig 8080 ist, falls nichts

angegeben wird.

Proxy Benutzername,Proxy Passwort

Die Kontoinformationen des Proxy: Benutzername und Passwort.

Proxy User-Agent vortäuschen

Eine gefälschte Benutzeragent-Zeichenfolge kann in einigen Fällen verwendet werden, um die Panda GateDefender-

Appliance als regulären Webbrowser zu tarnen, d. h. um den Proxy als Browser zu kontaktieren. Dieser Vorgang kann

nützlich sein, wenn der Proxy nur Verbindungen bestimmter Browsertypen akzeptieren soll.

Nach Konfiguration der Verbindung wird unten auf der Seite ein neues Feld mit der Bezeichnung TLS Authentifizierung angezeigt. Hier

können Sie die TLS-Schlüsseldatei hochladen, die für die Verbindung verwendet werden soll. Folgende Optionen stehen zur Auswahl:

TLS Schlüsseldatei

Die hochzuladende Schlüsseldatei, nach der Sie im lokalen Dateisystem der Workstation suchen können.

MD5

Die MD5-Prüfsumme der hochgeladenen Datei, die angezeigt wird, sobald die Datei auf der Panda GateDefender-Appliance

gespeichert wurde.

Richtung

Der Wert ist bei Servern auf 0 und bei Clients auf 1 gesetzt.

Profil von OpenVPN Access Server importieren

Die zweite Möglichkeit, ein Konto hinzuzufügen, besteht darin, das Profil direkt von einem OpenVPN-Zugriffsserver zu importieren. In

diesem Fall müssen folgende Informationen bereitgestellt werden:

Name für die Verbindung

Benutzerdefinierter Name für die Verbindung.

Access Server URL

Die URL des OpenVPN-Zugriffsservers.

Hinweis

Beachten Sie, dass die Panda GateDefender-Appliance nur eine XML-RPC-Konfiguration des OpenVPN Access-Servers unterstützt.

Daher hat eine URL-Eingabe die Form: https://<SERVERNAME>/RPC2.

Benutzername, Passwort

Benutzername und Passwort auf dem Zugriffsserver.

SSL Zertifikat überprüfen

Wenn dieses Kontrollkästchen aktiviert ist und der Server über eine verschlüsselte SSL-Verbindung läuft, wird das SSL-

Zertifikat auf seine Gültigkeit hin überprüft. Sollte es sich um ein ungültiges Zertifikat handeln, wird die Verbindung umgehend

getrennt. Diese Funktion kann bei Verwendung eines selbstsignierten Zertifikats deaktiviert werden.

Anmerkung

Kommentar zum Sinn und Zweck der Verbindung.

IPsec

Die Seite „IPsec“ enthält zwei Registerkarten (IPsec und L2TP), die es ermöglich, die IPsec-Tunnel zu konfigurieren bzw. den L2TP-

Support zu aktivieren.

IPsec

Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben der Aufschrift L2TP aktivieren grün sein.

Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.

Auf der Registerkarte „IPsec“ befinden sich zwei Felder: Das erste beinhaltet die IPsec Einstellungen, welche die Zertifikatsauswahl und

verschiedene Optionen (auch zu Debug-Zwecken) umfassen. Das zweite ist das Feld Verbindungen, das alle Verbindungen anzeigt und

deren Verwaltung ermöglicht.

IPSec, L2TP und XAuth auf einen Blick

IPsec ist eine standardisierte Erweiterung des IP-Protokolls, bei der auf Schicht 3 des OSI-Modells Verschlüsselungs- und

Authentifizierungsmechanismen ausgeführt werden. IPsec muss daher im IP-Stapel des Kernels implementiert sein. Auch wenn IPsec

ein standardisiertes Protokoll ist, das mit den IPsec-Lösungen der meisten Anbieter kompatibel ist, kann sich die Implementierung je

nach Anbieter sehr unterschiedlich gestalten und zuweilen schwerwiegende Probleme hinsichtlich der Interoperabilität hervorrufen.

Zudem könnte sich die Konfiguration und Verwaltung von IPsec aufgrund seiner Komplexität und Struktur in der Regel als schwierig.

Bestimmte Aufgaben wie die Verwendung von NAT sind u. U. gar nicht möglich.

Im Vergleich zu IPsec ist die Installation, Konfiguration und Verwaltung von OpenVPN unkomplizierter. Da mobile Geräte IPsec

verwenden, implementiert die Panda GateDefender-Appliance ein einfach zu bedienendes Administrationsinterface für IPsec, die

verschiedene Authentifizierungsmethoden und eine zweistufige Authentifizierung unterstützt, falls sie zusammen mit L2TP oder XAuth

verwendet wird.

Tatsächlich wird IPsec verwendet, um Clients (d. h. Tunnel) zu authentifizieren, aber keine Benutzer, sodass ein Tunnel nur von einem

Client gleichzeitig verwendet werden kann.

L2TP und XAuth fügen eine Benutzerauthentifizierung zu IPsec hinzu. Daher können sich mehrere Clients unter Verwendung desselben

verschlüsselten Tunnels mit dem Server verbinden, und jeder Client wird entweder mithilfe von L2TP oder XAuth authentifiziert.

Bei Verwendung von XAuth steht eine weitere Methode zur Verfügung, der Modus XAuth hybrid, der nur den Benutzer authentifiziert.

IPsec Einstellungen

In diesen Feld können einige globale IPsec-Optionen festgelegt werden: zwei für die Dead-Peer-Erkennung sowie zahlreiche Debug-

Optionen. Außerdem wird hier die Konfiguration von Zertifikaten ausgeführt, die bei mit IPsec getunnelten Verbindungen verwendet

werden.

Pool der virtuellen IPs der Roadwarrior

Der IP-Bereich, aus dem alle Roadwarrior-Verbindungen ihre IP-Adresse beziehen.

Ping-Verzögerung (in Sekunden)

Der zeitliche Abstand in Sekunden zwischen aufeinanderfolgenden Pings zur Überprüfung, ob eine Verbindung noch aktiv ist.

Timeout-Intervall (in Sekunden) – nur IKEv1

Die maximale Dauer in Sekunden für das Austauschintervall des IKEv1-Protokolls.

Tipp

IKEv2 benötigt kein Zeitüberschreitungsintervall, da es erkennen kann, ob der andere Endpunkt nicht antwortet und welche Aktionen

durchgeführt werden sollen.


Die Zertifikatskonfiguration und -verwaltung wird genauso ausgeführt wie für den OpenVPN-Server (unter Menüleiste ‣ VPN ‣

OpenVPN Server), wo sämtliche Verwaltungsmodalitäten beschrieben sind.

Debug Optionen

Debug-Optionen sind eher fortgeschrittene Einstellungen und werden in der Regel nicht benötigt, da sie nur die Anzahl der Ereignisse

und aufgezeichneten Nachrichten in der Protokolldatei erhöhen.

Verbindungen

In dieser Tabelle werden alle bereits konfigurierten IPsec-Verbindungen zusammen mit den folgenden Informationen angezeigt:

Name: Name der Verbindung

Typ: Art des verwendeten Tunnels

Gemeinsamer Name: Name des Zertifikats zur Verbindungsauthentifizierung

Anmerkung: Kommentar zur Verbindung

Status: Der Status der Verbindung: Beendet, Verbindung wird hergestellt oder Aufgebaut.

Aktionen: Die möglichen Operationen, die auf jedem Tunnel ausgeführt werden können, lauten wie folgt:

o – Die Verbindung ist aktiv oder nicht.

o – Änderung der Verbindungskonfiguration

o – Neustart der Verbindung

o – Anzeige von detaillierten Informationen über die Verbindung

o – Trennung der Verbindung

Tipp

Wenn eine Verbindung von der Panda GateDefender-Appliance aus neu gestartet wird, ist es für den Client erforderlich, sich erneut zu

verbinden.

Beim Klicken auf Neue Verbindung hinzufügenerscheint ein Fenster mit allen Optionen für die Einrichtung einer neuen IPsec-Verbindung.

Name

Name der Verbindung.

Anmerkung

Kommentar zur Verbindung.

Verbindungstyp

Es gibt vier verschiedene Verbindungsmodalitäten, die für den IPsec-Tunnel ausgewählt werden können:

Host-to-Net: Der Client, der sich mit dem IPsec-Server auf der Panda GateDefender-Appliance verbindet, ist eine einzelne

Remote-Workstation oder -Quelle bzw. ein einzelner Server.

Net-to-Net: Der Client ist ein vollständiges Subnetz. Anders gesagt wird die IPsec-Verbindung zwischen Remote-

Subnetzen hergestellt.

L2TP Host-to-Net: Der Client ist ein einzelnes Gerät, das ebenfalls L2TP verwendet.

XAuth Host-to-Net: Der Client ist ein einzelnes Gerät, und die Authentifizierung findet über XAuth statt.

Tipp

Linux-Benutzer können mehr über XAuth auf der Manpage Xsecuritiy(7) erfahren, die auch online

verfügbar ist.

Die verfügbaren Optionen für jede Modalität sind praktisch dieselben, wobei eine weitere Option für Net-to-Net-

Verbindungen verfügbar ist.

Authentifizierungstyp

Die aus dem Dropdown-Menü ausgewählte Option legt fest, wie die Client-Authentifizierung ausgeführt wird. Folgende Werte sind

verfügbar:

Passwort (PSK): Der Client muss das Passwort angeben, das auf der rechten Seite im Textfeld Einen Pre-Shared-Key

verwenden angegeben wird.

Der Peer wird durch IPV4_ADDR, FQDN, USER_FQDN oder DER_ASN1_DN im Remote-ID-Feld identifiziert. Der Client

wird durch seine IP-Adresse, den Domänennamen oder andere eindeutige Informationen über den IPsec-Tunnel

authentifiziert.

Ein bestehendes Zertifikat verwenden: Das aus dem Dropdown-Menü rechts ausgewählte Zertifikat soll verwendet werden.

http://www.x.org/releases/current/doc/man/man7/Xsecurity.7.xhtml

Erzeuge ein neues Zertifikat: Es werden zusätzliche Optionen zur Erstellung eines neuen Zertifikats angezeigt.

Ein Zertifikat hochladen: Wählen Sie von der lokalen Workstation das zu verwendende Zertifikat aus.

Eine Zertifikatsanfrage hochladen: Wählen Sie von der lokalen Workstation eine Zertifikatsanfrage aus, um ein neues

Zertifikat zu erhalten.

XAUTH Hybrid: Nur für Verbindungen vom Typ XAuth Host-to-Net verfügbar. Der Benutzer wird authentifiziert, wobei der

Verschlüsselungstunnel nicht authentifiziert werden darf.

Lokale ID

Eine Zeichenkette zur Identifizierung des Clients innerhalb des lokalen Netzwerks

Schnittstelle

Schnittstelle, über die der Host eine Verbindung herstellt.

Lokales Subnetz

Das lokale Subnetz, auf das vom Client aus zugegriffen werden kann

Hinweis

Mobile Geräte, die iOS verwenden, können sich nicht via XAuth mit der Panda GateDefender-Appliance verbinden, falls dieser Wert

nicht festgelegt ist. Daher wird das spezielle Subnetz 0.0.0.0/0 automatisch hinzugefügt, wenn der Verbindungstyp auf „XAuth“ gesetzt

wird.

Tipp

Nur bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen, da IKEv1 nur ein Subnetz pro Zeile unterstützt.

Entfernte ID

Die ID, die den Remote-Host der Verbindung identifiziert.

Subnetz der Gegenseite

Nur für Net-to-Net-Verbindungen verfügbar; gibt das Subnetz der Gegenseite an.

Tipp

Bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen.

Gegenstelle Host/IP

IP oder vollständig qualifizierter Domänenname (FQDN) des Remote-Hosts.

Hinweis

Wenn ein Hostname angegeben wird, muss er der lokalen ID auf de Remote-Seite entsprechen.

Virtuelle IP des Roadwarriors

Die im Textfeld angegebene IP-Adresse wird dem Remote-Client zugewiesen.

Tipp

Diese IP-Adresse muss innerhalb des unter IPsec Einstellungen definierten Pools liegen.

Hinweis

Diese Option ist weder für L2TP-Host-to-Net-Verbindungen noch für Net-to-Net-Verbindungen verfügbar, da L2TP die Änderung der IP-

Adresszuweisung übernimmt.

Aktion bei Dead Peer Erkennung

Aktion, die bei der Verbindungstrennung von Peers durchgeführt wird. Verfügbare Optionen im Dropdown-Menü sind:

Löschen, Halten oder Neustart des Peer.

Durch Klicken auf die Bezeichnung Erweitert werden zusätzliche Optionen verfügbar, um verschiedene Typen von

Verschlüsselungsalgorithmen auszuwählen und zu konfigurieren. Für jede Option können diverse Algorithmustypen ausgewählt werden.

Hinweis

Es ist nur notwendig, den Algorithmus zu ändern, wenn ein Remote-Client einen gegebenen Algorithmus verwendet und diesen nicht

ändern kann.

IKE Verschlüsselung

Verschlüsselungsmethoden, die vom IKE-Protokoll unterstützt werden sollen.

IKE Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

IKE Gruppen Typ

Der IKE-Gruppentyp.

IKE Lebensdauer

Gültigkeitsdauer der IKE-Pakete.

ESP Verschlüsselung

Verschlüsselungsmethoden, die vom Encapsulating Security Payload-Protokoll (ESP) unterstützt werden sollen.

ESP Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

ESP Gruppen Typ

Der ESP-Gruppentyp

ESP Lebensdauer

Gültigkeitsdauer der ESP-Pakete.

Payloadkompression aushandeln

Aktivieren Sie das Kontrollkästchen, um eine Payload-Komprimierung zu ermöglichen.

Siehe auch

IKE ist in RFC 5996 definiert, welche die älteren RFC 2409 (IKEv1) und RFC 4306 (IKEv2) ablöst.




ESP finden Sie unter RFC 4303 (ESP) und RFC 4305 (Verschlüsselungsalgorithmen für ESP).

Erstellung von Net-To-Net-VPNs mithilfe von IPsec durch Verwendung der Zertifikatsauthentifizierung.

Szenario:

Firewall CoreFW – REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24

Firewall LocalFW – REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24

Problem: Verbinden Sie LocalFW mit CoreFW mithilfe von IPSec.

Lösung:

Ausführung der folgenden Schritte auf CoreFW:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP

100.100.100.100 ein.

2. Sofern sie noch nicht erstellt wurden, klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen,

und füllen Sie das Formular aus.

3. Laden Sie das Hostzertifikat herunter, und speichern Sie es unter dem Namen fw_a_cert.pem.

4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net

aus. Es wird eine Seite mit zwei Feldern geöffnet.

5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 200.200.200.200 sowie 10.10.10.0/24

als Lokales Subnetz und 192.168.0.0/24 als Remote-Subnetz ein.

6. Wählen Sie im Feld Authentifizierung die Option Erzeuge ein Zertifikat aus, und füllen Sie das Formular aus. Vergessen Sie

nicht, ein Passwort festzulegen.

7. Laden Sie nach dem Speichern die PKCS12-Datei herunter, und speichern Sie sie unter dem Namen fw_a.p12.

Folgende Schritte müssen auf LocalFW ausgeführt werden:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP

200.200.200.200 ein.

2. Klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen. Wurden bereits Zertifikate erstellt,

wählen Sie für die früheren Zertifikate die Option Zurücksetzen aus.

3. Füllen Sie unter Root- und Host-Zertifikat erstellen im ersten Abschnitt kein Feld aus! Laden Sie stattdessen die von CoreFW

gespeicherte Datei fw_a.p12 hoch, geben Sie das Passwort ein, und klicken Sie auf PKCS12 Datei hochladen.

4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net

aus. Es wird eine Seite mit zwei Feldern geöffnet.

5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 100.100.100.100 sowie 192.168.0.0/24

als Lokales Subnetz und 10.10.10.0/24 als Remote-Subnetz ein.

6. Wählen Sie im Feld Authentifizierung die Option Ein Zertifikat hochladen aus, und laden Sie die Datei fw_a_cert.pem hoch,

die auf MainFW erstellt wurden.

L2TP

Das Layer 2 Tunneling Protocol (L2TP) wird unter RFC 2661 beschrieben.

Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben L2TP aktivieren grün sein. Falls dieser grau

ist, klicken Sie darauf, um den Dienst zu starten.

Folgende Optionen sind für das Konfigurieren von L2TP verfügbar:

Zone

Zone, an welche die L2TP-Verbindungen gerichtet sind. Nur aktivierte Zonen können aus dem Dropdown-Menü ausgewählt

werden.




Startadresse des L2TP IP Bereichs, Endadresse des L2TP IP Bereichs

Der IP-Bereich, aus dem L2TP-Benutzer eine IP-Adresse beim Verbinden mit der Panda GateDefender-Appliance erhalten.

Debugmodus aktivieren

Durch Aktivieren dieses Kontrollkästchens werden von L2TP ausführlichere Protokolle erstellt.

Authentifizierung

Diese Seite enthält drei Registerkarten, welche die Verwaltung lokaler Benutzer, lokaler Gruppen und Einstellungen für die Remote-

Authentifizierung verwalten.

Benutzer

Auf dieser Seite werden in der Tabelle alle Benutzer angezeigt, die ein Konto auf dem VPN-Server der Panda GateDefender-Appliance

besitzen, wobei jeweils die folgenden Informationen angezeigt werden:

Name: Der Benutzername:

Anmerkung: Ein Kommentar:

Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda

GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte Einstellungen).

Aktionen: Die mit dem Konto ausführbare Operation. Im Fall von LDAP-Benutzern sind dies die Operationen

Aktivieren/Deaktivieren und Bearbeiten, bei lokalen Benutzern außerdem die Operation Löschen. Das Bearbeiten eines

LDAP-Benutzers ermöglicht nur das Ändern der lokalen Optionen, nicht jedoch anderer Daten wie Benutzername und

Passwort, die vollständig vom LDAP-Server verwaltet werden.

Klicken Sie oberhalb der Tabelle auf Neuen lokalen Benutzer hinzufügen, um ein neues lokales Konto hinzuzufügen. Es wird ein

Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:

Neuen lokalen Benutzer hinzufügen

Benutzername

Anmeldename des Benutzers

Anmerkung

Ein zusätzlicher Kommentar

Passwort, Passwort bestätigen

Passwort für den Benutzer; wird zweimal eingegeben. Die Passwörter werden momentan nicht angezeigt: Aktivieren Sie die

beiden Kontrollkästchen rechts von den Passwörtern, um sie anzuzeigen.


Wählen Sie den Modus aus, um dem Benutzer ein Zertifikat zuzuweisen. Die verfügbaren Modi können aus dem Dropdown-

Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum Signieren eines Zertifikats

(CSR) hochladen. Nach Auswahl werden unter dem Dropdown-Menü die verfügbaren Optionen für jeden Modus angezeigt,

die auf der Seite Zertifikate beschrieben werden.

Name der Organisational Unit

Die Organisationseinheit, zu welcher der Benutzer gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung,

die mit dem Zertifikat identifiziert wird.

Name des Unternehmens

Die Organisation, welcher der neue Benutzer angehört.

Stadt

Die Stadt (L), in der sich die Organisation befindet.

Land oder Provinz

Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.

Land

Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens

einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.

E-Mail Adresse

Die E-Mail-Adresse des Benutzers

Gruppenmitgliedschaft

In diesem Bereich ist es möglich, dem Benutzer eine oder mehrere Gruppen zuzuweisen. Mithilfe des Suchwidgets ist es

möglich, bestehende Gruppen zu filtern, um passende Gruppen zu finden. Die Gruppenmitgliedschaft wird durch Klicken auf

das Symbol + rechts neben dem Gruppennamen hinzugefügt. Gruppen, denen der Benutzer angehört, werden im Textfeld

darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle auf einmal hinzuzufügen und mit Alle

entfernen alle auf einmal zu löschen.

Überschreibe OpenVPN Optionen

Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt,

in dem benutzerdefinierte Optionen für das Konto angegeben werden können (siehe unten).

Überschreibe L2TP Optionen

Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel ausgewählt werden kann.

Hinweis

Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in

Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach diesem Schritt können

VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.

Tipp

Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen

überschrieben werden sollen.

Aktiviert

Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-

Server auf der Panda GateDefender-Appliance zu verbinden.

OpenVPN Optionen

Den gesamten Client Datenverkehr über den VPN Server leiten

Wenn diese Option aktiviert ist, wird der gesamte Datenverkehr vom sich verbindenden Client unabhängig vom Ziel über den

Uplink der Panda GateDefender Appliance geroutet. Standardmäßig wird der gesamte Datenverkehr, dessen Ziel außerhalb

der internen Zonen liegt (beispielsweise Internethosts), durch den Uplink des Clients geleitet.

Schicke nur globale Optionen an den Client

Nur für fortgeschrittene Benutzer. Wenn der Client eine Verbindung herstellt, werden in der Regel Tunnelrouten zu

Netzwerken, auf die per VPN zugegriffen werden kann, zur Routingtabelle des Clients hinzugefügt, um die Verbindung zu

verschiedenen lokalen Netzwerken zu ermöglichen, die von der Panda GateDefender-Appliance erreichbar sind. Aktivieren

Sie die Option, wenn dieses Verhalten nicht gewünscht ist. Die Routingtabellen (insbesondere die Tabellen für die internen

Zonen) sollten allerdings manuell geändert werden.

Route zur GRÜNEN [BLAUEN, ORANGENEN] Zone eintragen:

Wenn diese Option aktiviert ist, hat der Client Zugriff auf die GRÜNE, BLAUE bzw. ORANGENE Zone. Diese Optionen haben

keine Wirkung, wenn die entsprechenden Zonen nicht aktiviert sind.

Netzwerke hinter dem Client

Diese Option ist nur notwendig, wenn dieses Konto als Client in einem Gateway-zu-Gateway-Szenario verwendet wird. In

diesem Feld sollten die Netzwerke eingetragen werden, die hinter diesem Client liegen und zu den anderen Clients gesendet

werden sollen. Nach diesem Vorgang stehen die Netzwerke auch den anderen Clients zur Verfügung.

Statische IP Adressen

Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte

statische IP-Adresse bei jeder Verbindung zugewiesen.

Hinweis

Wenn sich der Client mit einem Multikern-VPN-Server auf der Panda GateDefender-Appliance verbindet, wird diese Zuweisung nicht

berücksichtigt.

Diese Nameserver pushen

Zuweisung benutzerdefinierter Namenserver pro Client: Diese (wie auch die nächste) Einstellung kann definiert und nach

Bedarf aktiviert bzw. deaktiviert werden.

Diese Domänen pushen

Zuweisung benutzerdefinierter Suchdomänen pro Client:

Hinweis

Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche

Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der

GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das

Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden.

Diese Option bietet verschiedene Vorteile, z. B.: automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen

gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens;

vereinfachte WAN-Netzwerkeinrichtung.

L2TP Optionen

IPsec Tunnel

Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, welcher der bereits definierten Tunnel vom Benutzer verwendet

werden soll.

Gruppen

Auf dieser Seite wird eine Tabelle mit allen Gruppen angezeigt, die entweder auf der Panda GateDefender-Appliance oder auf einem

externen LDAP-Server definiert sind. Folgende Informationen werden für jede Gruppe angezeigt:

Gruppenname: Der Name der Gruppe

Anmerkung: Ein Kommentar:

Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda

GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte vpnauthsettings).

Aktionen: Die mit dem Konto ausführbare Operation. Bei LDAP-Servern ist die einzige Aktion das Bearbeiten der lokalen

Eigenschaften, während bei lokalen Gruppen auch die Möglichkeit zum Löschen der Gruppe besteht.

Klicken Sie oberhalb der Tabelle auf Neue lokale Gruppen hinzufügen, um eine neue lokale Gruppe hinzuzufügen. Es wird ein Formular

geöffnet, in dem für jede Gruppe folgende Optionen festgelegt werden können:

Gruppenname

Der Name der Gruppe

Anmerkung

Ein Kommentar:

Benutzer

In diesem Bereich ist es möglich, Benutzer der Gruppe zuzuweisen. Mithilfe der Suchwidgets können bestehende Gruppen

gefiltert werden, um passende Gruppen zu finden. Benutzer werden durch Klicken auf das Symbol + rechts neben dem

Benutzernamen hinzugefügt. Benutzer der Gruppe werden im Textfeld darunter angezeigt. Außerdem gibt es zwei

Verknüpfungen, um mit Alle hinzufügen alle Benutzer einer Gruppe auf einmal hinzuzufügen und mit Alle entfernen alle auf

einmal zu löschen.

Überschreibe OpenVPN Optionen

Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt,

in dem benutzerdefinierte Optionen für das Konto angegeben werden können, welche dieselben wie die für den lokalen

Benutzer sind.

Überschreibe L2TP Optionen

Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel aus einem Dropdown-

Menü ausgewählt werden kann.

Hinweis

Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in

Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach dem Erstellen eines

neuen L2TP-Tunnels ist es möglich, diesen einem Benutzer zuzuweisen.

Tipp

Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen

überschrieben werden sollen.

Aktiviert

Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-

Server auf der Panda GateDefender-Appliance zu verbinden.

Warnung

Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört,

keine widersprüchlichen Überschreibungsoptionen definiert werden. Betrachten Sie beispielsweise einen Benutzer, der Mitglied in zwei

Gruppen ist, wobei die eine nur Zugriff auf die GRÜNE und die andere nur Zugriff auf die BLAUE Zone hat. In diesem Fall kann nicht

ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die GRÜNE oder BLAUE Zone erhält. Die Handhabung solcher

Konflikte liegt in der Verantwortung des Verwalters des OpenVPN-Servers.

Einstellungen

Diese Seite enthält die aktuelle Konfiguration der Authentifizierungsserver, welche die Panda GateDefender-Appliance verwendet. Sie

kann auf dieser Seite verwaltet werden. Derzeit werden nur lokale Server und LDAP/Active Directory unterstützt. In zukünftigen

Versionen können jedoch zusätzliche Typen von Authentifizierungsservern hinzugefügt werden, z. B. RADIUS-Server.

Diese Seite enthält zwei Tabellen: Eine zeigt Informationen über die Authentifizierungsserver und die andere zeigt die Zuweisungen der

Authentifizierungsserver. Im ersten Fall sind die angezeigten Informationen:

Name: Der Name des Servers

Typ: Ob der Server lokal oder eine externer LDAP-Server ist

Dienst: Die verfügbare Authentifizierung für diesen Server.

Aktionen: Im Fall der lokalen Authentifizierung ist es möglich, den Server zu aktivieren/deaktivieren, ihn zu bearbeiten oder

ihn zu löschen. Für LDAP-Server gibt es außerdem die Möglichkeit, die Verbindung zu aktualisieren, um Benutzer und

Gruppen zu synchronisieren.

Die Tabelle am unteren Rand zeigt die Zusammenhänge zwischen einem Dienst (IPsec, XAuth, OpenVPN und L2TP) und dem

möglichen Authentifizierungstyp. Die einzige Aktion für die Zuweisungen ist deren Bearbeitung. Durch Klicken auf Bearbeiten wird ein

Formular angezeigt, in dem ausgewählt werden kann, welche Authentifizierungsbackends für diesen Dienst verwendet werden.

Durch Klicken auf den Link Neuen Authentifizierungsserver hinzufügen wird ein Formular geöffnet, in dem alle Daten zur Einrichtung

eines neuen Authentifizierungsservers angegeben werden können.

Dieses Formular ersetzt die Tabellen zur Anzeige der bereits definierten Authentifizierungsserver und ermöglicht die Konfiguration eines

neuen Servers, indem passende Werte für die folgenden Konfigurationsoptionen angegeben werden.

Name

Der Name des Authentifizierungsservers

Aktiviert

Aktivieren Sie das Kontrollkästchen, um den Server zu aktivieren.

Typ

Wählen Sie aus dem Dropdown-Menü, ob der Server LDAP/Active Directory verwendet oder lokal ist. Alle weiteren Optionen,

mit Ausnahme der letzten, stehen nur für die Konfiguration von LDAP-Servern zur Verfügung.

LDAP Server URI

Die URI des LDAP-Servers

LDAP Servertyp

Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü:Generisch, Active Directory, Novell eDirectory oder

OpenLDAP.

LDAP Bind DN Benutzername

Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers, der die Berechtigung zum Lesen von Benutzerattributen

besitzen muss.

LDAP Bind DN Passwort

Das Passwort des Bind-DN-Benutzers.

Die folgenden Optionen hängen von der Konfiguration des Servers ab und werden verwendet, um die Benutzer und Gruppen zu

identifizieren, die Zugriff auf den OpenVPN-Server der Panda GateDefender-Appliance erhalten sollen. LDAP Benutzer Basis DN, LDAP

Benutzer Suchfilter, Eindeutiges LDAP Benutzer ID Attribut, LDAP Gruppen Basis DN, Eindeutiges LDAP Gruppen ID Attribut, LDAP

Gruppenmitgliedsattribut und LDAP Gruppensuchfilter.

Auf ausgewählte Gruppen einschränken

Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda

GateDefender-Appliance verbinden können.

Zertifikate

Die Seite Zertifikate ermöglicht die Verwaltung der Zertifikate, die für die verschiedenen OpenVPN-Serverinstanzen auf der Panda

GateDefender-Appliance benötigt werden. Sie ist in drei Registerkarten aufgeteilt: Zertifikate, Zertifizierungsstelle und Gesperrte

Zertifikate.

Zertifikate

Hier können alle Zertifikate verwaltet werden, die auf der Panda GateDefender-Appliance gespeichert sind. Die Tabelle (zunächst leer)

zeigt alle Zertifikate zusammen mit den folgenden Details (eins pro Spalte):

Seriennummer: Eine eindeutige Nummer zur Identifizierung des Zertifikats

Name: Der Name des Zertifikats

Betreff, die Informationssammlung, die das Zertifikat selbst identifiziert. Siehe die Optionen weiter unten.

Ablaufdatum: Das Datum der letzten Gültigkeit des Zertifikats

Aktionen: Was kann mit dem Zertifikat getan werden:

o – Alle Details anzeigen

o – Im PEM-Format herunterladen

o – Im PKCS12-Format herunterladen

o – Den dazugehörigen privaten Schlüssel löschen

o – Das Zertifikat sperren

Oberhalb der Liste können Sie einen Link zum Hinzufügen eines neuen Zertifikats anklicken. Nach dem Anklicken wird die Seite durch

ein Formular ersetzt, das es ermöglicht, alle benötigten Daten für die Generierung eines neuen Zertifikats einzugeben.

Am unteren Rand der Tabelle befindet sich links ein Navigationswidget, das es ermöglicht, durch die verschiedenen Seiten der Tabelle

zu navigieren, wenn viele Zertifikate vorhanden sind. Rechts befindet sich ein Widget zum Aktualisieren der Zertifikatsliste.

Neues Zertifikat hinzufügen

Es gibt drei Möglichkeiten, um ein neues Zertifikat auf der Panda GateDefender-Appliance zu speichern. Sie können aus

diesem Dropdown-Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum

Signieren eines Zertifikats (CSR) hochladen.

Erzeuge ein neues Zertifikat

Die erste Option ermöglicht die direkte Erstellung eines neuen Zertifikats auf der Panda GateDefender-Appliance, indem die folgenden

Informationen angegeben werden. Die Großbuchstaben in Anführungszeichen zeigen das Feld des Zertifikats an, das mit dem Wert

gefüllt wird und den Betreff des Zertifikats bildet.

Hinweis

Zum Erstellen von Zertifikaten ist eine Root-Zertifizierungsstelle erforderlich. Daher muss diese zuvor erstellt werden.

Gemeinsamer Name

Der Common Name (CN) des Zertifikatinhabers, d. h. der Name, mit dem der Besitzer identifiziert wird.

E-Mail Adresse

Die E-Mail-Adresse des Zertifikatinhabers


Die Organisational Unit (OU), zu welcher der Inhaber gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung,

die mit dem Zertifikat identifiziert wird.


Die Organisation (O), welcher der Inhaber angehört.

Stadt


Land oder Provinz


Land



Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*)

Ein alternativer Name für den Betreff, d. h. das Zertifikat.

Zertifikatstyp

Der Typ des Zertifikats kann zwischen Client und Server aus dem Dropdown-Menü ausgewählt werden.

Gültigkeit (Tage)

Die Anzahl an Tagen, bevor das Zertifikat abläuft.

PKCS12 Dateipasswort

Das Passwort für das Zertifikat, falls erforderlich.

Passwort für PKCS12 Datei bestätigen

Geben Sie zur Bestätigung das Passwort erneut ein.

Ein Zertifikat hochladen

Die nächste Möglichkeit ist das Hochladen eines bestehenden Zertifikats von der lokalen Workstation auf die Panda GateDefender-

Appliance.

Zertifikat (PKCS12/PEM)

Durch Klicken auf die Schaltfläche Durchsuchen oder auf das Textfeld öffnet sich ein Feld zur Eingabe des Dateipfades, von

dem aus das Zertifikat hochgeladen werden soll.

PKCS12 Dateipasswort

Das Passwort für das Zertifikat, falls erforderlich.

Anfrage zum Signieren eines Zertifikats (CSR) hochladen

Die dritte Möglichkeit ist das Hochladen einer CSR von der lokalen Workstation auf die Panda GateDefender-Appliance, d. h. eine

verschlüsselte, vom Server erkannte Textdatei, die alle notwendigen Informationen zur Generierung eines neuen Zertifikats enthält.

Anfrage zum Signieren eines Zertifikats (CSR)


dem aus die CSR hochgeladen werden soll.

Gültigkeit (Tage)

Anzahl der Tage, die das Zertifikat gültig ist.

Zertifizierungsstelle

Diese Seite ermöglicht das Verwalten der CA, die für das korrekte Arbeiten einer verschlüsselten OpenVPN-Verbindung notwendig ist.

Es gibt zwei Möglichkeiten, um eine CA hinzuzufügen: Entweder durch Klicken auf den Link oberhalb der Tabelle der bereits

bestehenden Zertifikate, um ein neues Zertifikat zu erstellen, oder durch Hochladen eines Zertifikats mithilfe des Widgets unterhalb der

Tabelle.

Sobald die Tabelle Einträge enthält, zeigt sie dieselben Informationen wie die Registerkarte Zertifikate. Lediglich die verfügbaren

Aktionen unterscheiden sich:

– Alle CA-Details anzeigen

– Im PEM-Format herunterladen

– Das Zertifikat löschen

Geben Sie die folgenden Informationen an, um ein Zertifikat hochzuladen:

Name der Zertifizierungsstelle

Der Name der Zertifizierungsstelle, die das Zertifikat erstellt hat

Zertifikat (PEM)


dem aus das Zertifikat hochgeladen werden soll.

Durch Klicken auf CA Zertifikat hochladen wird der Upload-Prozess gestartet.

Neue Root/Host Zertifikate erstellen

Dieser Vorgang kann nur einmal ausgeführt werden und generiert zwei Zertifikate: Eine Root-Zertifizierungsstelle und ein Hostzertifikat,

wobei letzteres in der Liste auf der Registerkarte Zertifikate angezeigt wird. Durch Klicken auf den Link wird die Liste durch ein Formular

ersetzt, auf dem die folgenden Daten eingegeben werden müssen, die für die neuen Root- und Hostzertifikate verwendet werden.

Hinweis

Die einzige Möglichkeit zum Erstellen eines neuen Root-Zertifikats ist das Löschen des bestehenden.

Hostname des Systems

Der Name des Systems, der als gemeinsamer Name des Zertifikats verwendet wird.

E-Mail Adresse

Die E-Mail-Adresse des Systeminhabers oder der dafür verantwortlichen Person.


Die Organisationseinheit (OU), der das System angehört.


Die Organisation (O), der das System angehört.

Stadt


Land oder Provinz


Land



Subject alt name (subjectAltName=email:*,URI:*,DNS:*,RID:*)

Ein alternativer Name für den Betreff, d. h. das Zertifikat.

Gültigkeit (Tage)

Die Anzahl an Tagen, bevor das Zertifikat abläuft.

Gesperrte Zertifikate

Die gesperrten Zertifikate werden in einer Tabelle aufgelistet, welche die Seriennummer und den Betreff des Zertifikats enthält.

Zertifikatssperrliste herunterladen

Durch Klicken auf diesen Link kann Liste der aufgehobenen Zertifikate auf eine lokale Workstation heruntergeladen werden.

Zertifikatssperrliste

Auf dieser Seite können Sie alle hochgeladenen Zertifikatssperrlisten verwalten.

Menü „VPN“

129

Die Tabelle enthält alle hochgeladenen Zertifikatssperrlisten, und für jedes Element in der Tabelle ist der Name des Zertifikats, der

Aussteller und das Ausstellungsdatum aufgeführt. Folgende Aktionen sind verfügbar:

– Zertifikatdetails anzeigen

– Zertifikat auf die lokale Workstation herunterladen

SL. Zuletzt aktualisiert am 31. Januar 2014.

Menü „Hotspot“ Menü „Hotspot“

Hotspot-Einstellungen

Administrationsschnittstelle

Konten

o Liste

o CSV-Datei importieren

o Als CSV-Datei exportieren

o Konto-Generator

Tickets

o Tarife

o Quick-Ticket

o Ticket-Generator

Berichte

o Verbindungen

o Kontostand

o Verbindungsprotokolle

o Verbindungsprotokolle im CSV-Format exportieren

o SmartConnect-Transaktionen

Einstellungen

o Haupteinstellungen

o SmartConnect

o API

o Sprache

Hotspot-Benutzer

Benutzerzugriff auf den Hotspot

Der mit der Panda GateDefender-Appliance gelieferte Hotspot ist eine sehr flexible und anpassbare Lösung, um eine sichere und

zuverlässige drahtlose Verbindung sowie kabelgebundene LAN-Verbindungen bereitzustellen. Die im Hotspot implementierten

Schlüsselfunktionen sind u. a.:

Drei Rollen für den Hotspot: Dieser kann als eigenständiger Hotspot, sowie in einer Master-

/Satellitenkonfiguration betrieben werden oder einen externen RADIUS-Server verwenden.

Drei Arten von Benutzern: Hotspot-Administratoren (voller Verwaltungszugriff), Kontoeditoren

(Benutzerverwaltung) und normale Benutzer (nur Internetnavigation)

Verschiedene Ticketarten: zeitbasiert und datenbasiert sowie mit vorheriger oder anschließender Zahlung

Drei verschiedene Zugriffsportale für Benutzer: normaler Modus, ohne JavaScript und mobil

Eine Option zum Hinzufügen einer benutzerdefinierten Hintergrundseite, die allen Benutzern angezeigt wird

Eine SmartConnect™ Option, die es Benutzern ermöglicht Zugriff per Kreditkarte zu erwerben

Benutzererstellung und -aktivierung per SMS

Eine Option für den Zugriff auf bestimmte Websites auch ohne Tickets

Auf der Panda GateDefender-Appliance ist die BLAUE Zone für drahtlose Geräte reserviert. Deshalb funktioniert der Hotspot nicht, wenn

die BLAUE Zone deaktiviert ist. Die Verbindungen von der BLAUEN zur ROTEN Zone (Uplink, d. h. Internet) werden durch die

ausgehende Firewall gesteuert. Für einen selektiv gesteuerten Zugriff auf das Internet sollten daher dort Regeln definiert werden.

Nach Eingabe des Hotspots öffnet sich eine Seite, die im Untermenü auf der linken Seite drei Elemente, den Schalter Hotspot aktivieren

und die erste Konfigurationsoption enthält: Der Betriebsmodus des Hotspot

Das Menü auf der linken Seite bietet Zugriff auf verschiedene Konfigurations- und Verwaltungsoptionen für die Hotspoteinstellungen, das

Administrationsinterface und die Hotspotbenutzer. Diese sind:

Hotspoteinstellungen ist die Startseite des Hotspots, d. h. die momentan aktive Seite. Sie ermöglicht die Auswahl der

Modalitäten des Hotspot.

Administrationsinterface umfasst den Hauptteil des Hotspot, auf dem alle Verwaltungsaufgaben erledigt werden können.

Hotspotbenutzer ermöglicht die Verwaltung der Superuser des Hotspot.

Darüber hinaus stellt Benutzerzugriff auf den Hotspot eine Hilfe dar, die Benutzer durch den Prozess des Hotspotzugriffs und das

Verbinden mit dem Internet leitet.

Hotspot-Einstellungen

Der Hotspot kann durch Betätigen des Hauptschalters oben auf der Seite aktiviert bzw. deaktiviert werden. Bei Aktivierung (d. h. der

Schalter ist grün ) kann eine der folgenden drei Rollen ausgewählt werden:

1. Master/eigenständiger Hotspot oder eigenständiger Hotspot

Wenn der Hotspot als Master verwendet wird, werden alle Konfigurationsdaten – auch die der Satelliten (Benutzerdatenbank,

Portalkonfiguration, Einstellungen, Protokolle usw.) lokal gespeichert und die Wartungsaufgaben werden auf diesem Hotspot ausgeführt.

Für die Rolle Master ist eine Einstellung verfügbar und auch die den Satelliten zuweisbaren verfügbaren VPN-Konten werden angezeigt.

Hotspot Passwort

Dies ist das Passwort des Masterhotspots. Externe Satellitensysteme benötigen es, um sich mit dem Masterhotspot zu

verbinden. Bleibt dieses Feld leer, wird ein neues zufälliges Passwort generiert.

Satellitenhotspots

Die Liste der verfügbaren OpenVPN-Tunnel zum Verbinden eines Remote-Satellitensystems. Aus dieser Liste können ein

oder mehrere Systeme ausgewählt werden.

2. Hotspotsatellit

Ein Hotspotsatellit speichert keine Konfiguration, sondern verwendet den Master, um Benutzerdaten, Ticketverfügbarkeit und alle

weiteren Einstellungen zu überprüfen. Wenn Sie diese Option auswählen, müssen die IP-Adresse und das Passwort des Masterhotspot

zusammen mit dem VPN-Tunnelnamen angegeben werden (siehe unten). Folgende Optionen stehen zur Auswahl:

IP Adresse des Masterhotspots

Geben Sie in diesem Feld die IP-Adresse des Masterhotspot an. Diese ist für gewöhnlich die erste verfügbare IP-Adresse im

speziellen OpenVPN-Subnetz (sieheDie Zonen, wie in den OpenVPN Servereinstellungen des Masterhotspots definiert (unter

Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Serverkonfiguration).

Passwort des Masterhotspots

Das Passwort für den Masterhotspot. Dieses wird üblicherweise automatisch auf dem Master generiert. Aktivieren Sie das

Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.

Hotspot VPN Tunnel

Wählen Sie aus diesem Dropdown-Menü den zu verwendenden OpenVPN-Tunnel, um den Masterhotspot zu erreichen.

3. Externer RADIUS Server

In dieser Konfiguration verwendet der Hotspot einen externen RADIUS-Server für seine Aktivitäten (z. B. FreeRadius): Er verbindet sich,

und erbittet Authentifizierung vom RADIUS-Server, der alle Daten zur Kontenverwaltung, Einstellungen, Tickets und Verbindungen

speichert. Es sind verschiedene Informationen über den RADIUS-Server erforderlich, damit dieser korrekt arbeitet: IP-Adresse, Passwort,

Ports und die IP-Adresse des Fallback-Servers. Darüber hinaus kann das externe Portal verwendet werden.

RADIUS Server IP Adresse

Die IP-Adresse des externen RADIUS-Servers.

IP Adresse des Fallback RADIUS Servers

Die IP-Adresse des externen Fallback-RADIUS-Servers.

RADIUS Server Passwort

Das Passwort für den RADIUS-Server. Aktivieren Sie das Kontrollkästchen Anzeigen, um das Passwort anzuzeigen.

RADIUS Server AUTH Port

Die Portnummer des AUTH-Ports (Authentifizierung) für den RADIUS-Server.

RADIUS Server ACCT Port

Die Portnummer des ACCT-Ports (Accounting) für den RADIUS-Server.

RADIUS Server COA Port

Die Portnummer des COA-Ports (Change of Authorisation) für den RADIUS-Server.

Tipp

Die Standardwerte für den RADIUS-Port sind: 1812 (AUTH), 1813 (ACCT) und 3799 (COA).

Externes Portal verwenden

Wird diese Option ausgewählt, kann ein externes Portal als Schnittstelle für die Anmeldung konfiguriert werden, das Benutzer

sehen, wenn sie sich über den Hotspot verbinden möchten. Das externe Portal muss kompatibel sein und mit chilli

kommunizieren. Die folgenden Optionen müssen konfiguriert werden, um das externe Portal zu aktivieren:

URL des externen Portals

Der Ort, an dem sich das Portal befindet.

NAS ID

Die Network Access Server-Kennung des RADIUS-Servers, die das Portal identifiziert.

UAM Secret

Der gemeinsame UAM-Schlüssel des externen RADIUS-Servers. Obwohl es möglich ist, keinen Wert für diese Option

festzulegen, sollten Sie es dennoch tun, da es die Sicherheit erhöht.

Erlaubte Seiten / Zugriff

Eine Liste von Websites, auf die auch ohne Registrierung auf dem Hotspot zugegriffen werden kann.

Aktiviere AnyIP

http://en.wikipedia.org/wiki/freeRADIUS

Ermöglicht es Kunden ohne aktiven DHCP-Client, sich mit dem Hotspot zu verbinden.

Hinweis

Die Einrichtung eines RADIUS-Servers wird hier nicht beschrieben, da dies außerhalb des Aufgabenbereichs von Panda liegt und für

diese Aufgabe keine Unterstützung bereitstellt wird.

Master-/Satellitenrollen und VPN

Die Master-/Satellitenrollen können sich als nützlich erweisen, wenn größere Bereiche abgedeckt werden sollen und ein Hotspot dafür

nicht ausreicht. Falls eine solche Architektur verwendet wird, werden alle Verwaltungsaufgaben für Benutzer und Tickets nur auf dem

Master ausgeführt. Auf den Satellitensystemen ist nur der Abschnitt Berichte (unter der Hotspot-Administrationsoberfläche) verfügbar.

Die Verbindung zwischen dem Master und seinen Satelliten wird eingerichtet, indem OpenVPN-Konten auf dem Master erstellt werden,

wobei jeweils ein Konto für jeden Satelliten verwendet wird und ein VPN-Tunnel zwischen jedem Paar aus Master und Satellit erstellt

wird. Viele Aufgaben müssen vor Einrichtung dieser Konfiguration sowohl auf dem Mastersystem als auch auf den Satellitensystemen

abgeschlossen werden. Diese sind in zwei Teile gruppiert, die jeweils aus umfassenden Operationen bestehen, die entweder auf dem

Master (gekennzeichnet mit M#) oder auf dem Satelliten (gekennzeichnet mit S#) ausgeführt werden müssen.

Wenn ein Master und einer (oder mehrere) Hotspotsatelliten bereits konfiguriert sind, ist es für einen zusätzlichen Satelliten nur

erforderlich, die Schritte M3, M4 und M5 auf dem Master sowie alle Schritte auf dem Satelliten auszuführen.

M0. Legen Sie den Hotspot als eigenständig fest (dies ist optional).

M1. Richten Sie im Abschnitt Menü „VPN“ (VPN ‣ OpenVPN Server) den Hotspot als OpenVPN-Server mit einem

gerouteten Verbindungstyp und einem Ad-hoc-Netzwerkbereich ein (xxx.yyy.zzz.0/24), der sich von den Subnetzen der

anderen Zonen der Panda GateDefender-Appliance unterscheidet.

M2. Es wird eine neue virtuelle Schnittstelle erstellt, die den Datenverkehr der OpenVPN-Tunnel routet. Der Master erhält

die IP xxx.yyy.zzz.1 (d. h. die erste verfügbare IP-Adresse im Netzwerkbereich) und fungiert als Gateway für alle

OpenVPN-Tunnel.

M3. Erstellen Sie ein eindeutiges OpenVPN-Konto für jedes Remote-Satellitensystem (unter Menüleiste ‣ VPN ‣

OpenVPN Server ‣ Konten). Das OpenVPN-Konto muss mit einer statischen IP-Adresse konfiguriert werden. Die den

Satelliten zugewiesenen IP-Adressen müssen innerhalb des unter Schritt M1 festgelegten Subnetzes liegen. Innerhalb des

Subnetzes sind IP-Adressen, die mit 0 oder 255 enden, und die erste IP-Adresse im Subnetzbereich nicht für Satelliten

verfügbar.

Tipp

Eine gute Methode ist es, jedem neuen Satelliten die jeweils niedrigste verfügbare IP-Adresse zuzuweisen, damit diese

geordnet sind.

Nachdem alle erforderlichen Kundenkonten erstellt wurden, und bevor die Master-/Satellitenkonfiguration aktiviert wird, ist es notwendig

die Einrichtung der OpenVPN-Verbindung auf Korrektheit zu prüfen. Daher sind auf Satellitenseite zwei Schritte erforderlich:

S1. Erstellen Sie das Konto für den OpenVPN-Client (VPN ‣ OpenVPN Client (Gw2Gw)) unter Verwendung eines der

unter Schritt M3 erstellten Konten.

S2. Stellen Sie eine Verbindung mit dem Master her, und stellen Sie sicher, dass eine Verbindung besteht und

Datenverkehr übertragen wird.

Jetzt ist es möglich den Master zu aktivieren und die Einrichtung abzuschließen:

M4. Öffnen Sie die Seite mit den Hotspot-Einstellungen, und aktivieren Sie das benötigte VPN-Konto in der Liste der

Satellitenhotspotsysteme.

M5. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.

Die Einrichtung des Masters ist nun abgeschlossen. Fahren Sie daher mit der Einrichtung des Satelliten fort:

S3. Öffnen Sie das Hotspot-Menü, wählen Sie Hotspotsatellit, geben Sie die erste im VPN-Subnetz des Masters

verfügbare IP-Adresse und dessen Hotspotpasswort ein, und wählen Sie aus dem Dropdown-Menü den Hotspot-VPN-

Tunnel aus.

S4. Klicken Sie auf Speichern und anschließend auf Übernehmen, um die Änderungen zu übernehmen.

Öffnen Sie zur Überprüfung der korrekten Verbindung des Satellitensystems die dazugehörige Hotspot-Administrationsoberfläche. Es

wird eine eingeschränkte Schnittstelle angezeigt, die nur den Abschnitt Berichte enthält. Alle Verwaltungsaufgaben werden an den

Master weitergeleitet.

Die Einrichtung ist nun abgeschlossen. Sowohl der Master als auch die Satellitensysteme arbeiten korrekt.

Externe Authentifizierung verwenden

Das Festlegen der Hotspot-Rolle als Master/eigenständiger Hotspot ermöglicht es, eine externe Quelle zum Zweck der

Benutzerauthentifizierung zu verwenden und gleichzeitig die Kontenverwaltung, Protokollierung, Benutzerdatenbank und alle weiteren

Einstellungen in der Panda GateDefender-Appliance zu belassen. Anders gesagt: Die Benutzerdaten werden lokal vom externen Server

(RADIUS oder LDAP) kopiert, wodurch es möglich wird, die Anmeldeinformationen auf dem Remote-Server bereitzustellen und den

Hotspot ohne Erstellen eines neuen Kontos zu verwenden.

Zur Verbindung des Hotspots mit dem Remote-Server und der Datenabfrage gibt es eine verfügbare Option:

Externe Authentifizierung verwenden

Durch Aktivieren dieses Kontrollkästchens werden die zwei möglichen Modalitäten zur Authentifizierung zusammen mit allen

benötigten Optionen zur Konfiguration angezeigt.

Servertyp

Dieses Dropdown-Menü ermöglicht es, einen der zwei unterstützten Server auszuwählen (LDAP oder RADIUS). Änderungen an den

Konfigurationsoptionen werden entsprechend angezeigt.

Hinweis

Die zusätzlich angezeigten Konfigurationsoptionen sind denen unter Menüleiste ‣ Proxy ‣ HTTP ‣ Authentifizierung sehr ähnlich.

Beispiel HS1 – Externe Authentifizierung mit LDAP:

Die Einstellungen für den LDAP-Server können wie folgt unter Verwendung des standardmäßigen Active Directory-Formats festgelegt

werden. Hierbei gilt:

DC ist der Domänencontroller

OU ist die Organisationseinheit, eine Gruppe von Objekten innerhalb des DC.

CN ist der gemeinsame Name des Benutzers in der OU.

Zur Autorisierung der Hotspotnutzung für Benutzer in der Organisationseinheit Mitarbeiter innerhalb der Domäne ACME des

LDAP-Servers, der sich auf ldap.beispiel.org befindet, werden die folgenden Einstellungen benötigt:

1. LDAP Server: ldap://ldap.beispiel.com

2. Bind DN Einstellungenou=MITARBEITER,dc=ACME

3. Bind DN Benutzernamecn=admin,dc=ACME

4. Bind DN Passwort – Remote-Passwort des Benutzeradministrators

5. Benutzer Suchfilter (&(uid=%(u)s))

Für LDAP Server sind die folgenden Konfigurationsoptionen verfügbar (siehe das Beispiel auf der rechten Seite für weitere Details):

LDAP Server

Die IP-Adresse oder der Hostname des LDAP-Servers im LDAP-Format.

Tipp

Falls nötig, kann der Port nach der URL spezifiziert werden, z. B.: ldap://192.168.0.20:389/. Der Standardport 389 kann problemlos

weggelassen werden.

Bind DN Einstellungen

Diese Einstellungen legen den definierten Namen des LDAP-Servers fest, d. h. den Knoten auf oberster Ebene der LDAP-

Baumstruktur.

Bind DN Benutzername

Der für DN-Abfragen verwendete Benutzername. Es ist notwendig, die Anmeldeinformationen der Hotspotbenutzer abzurufen

und zu authentifizieren.

Bind DN Passwort

Das Passwort für den Benutzer, das in der vorherigen Option festgelegt wurde. Durch Aktiveren des Kontrollkästchens auf

der rechten Seite werden die Zeichen angezeigt.

Benutzer Suchfilter

Die zur Abfrage des Remote-LDAP-Servers zu verwendende Zeichenfolge.

LDAP Backup Server

Die IP-Adresse oder der Hostname des LDAP-Fallback-Servers im LDAP-Format, die verwendet werden soll, wenn der

primäre Server nicht erreichbar ist.

Standardtarif

Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.

Für RADIUS Server stehen die folgenden Konfigurationsoptionen zur Verfügung:

RADIUS Server

Die IP-Adresse oder URL des RADIUS-Servers

Port des RADIUS Servers

Der Port, der vom RADIUS-Server abgehört wird.

Kennung

Eine zusätzliche Kennung.

Shared Secret

Das Passwort, das verwendet werden soll.

RADIUS Backup Server

Die IP-Adresse oder URL des RADIUS-Fallback-Servers, falls der primäre Server nicht erreichbar ist.

Standardtarif

Der jedem Benutzer zuzuweisende Tarif, der sich über diese Methode authentifiziert.

Administrationsschnittstelle

Die Menüleiste für Hotspot-Administration

Dieser Abschnitt beschreibt die Kernkomponenten des Hotspots und enthält Unterseiten, die erklären, wie Konten, Tickets und

Tickettarife verwaltet, Berichte erstellt und die allgemeinen Einstellungen konfiguriert werden. Obwohl die Benutzeroberfläche dasselbe

Design wie die anderen Module besitzt, enthält sie eine völlig neue Menüstruktur. Die Komplexität und die zahlreichen

Konfigurationsoptionen erfordern die Anwendung eines anderen Layouts. Der Hotspot wird als unabhängiges Modul der Panda

GateDefender-Appliance betrachtet. Daher wird die Standardmenüleiste, die bei allen anderen Hauptabschnitten der Panda

GateDefender-Appliance gleich ist, durch eine neue, zweiteilige Leiste ersetzt (siehe obige Abbildung). Der obere Teil enthält das

„eigentliche“ Menü und ändert sich für die verschiedenen Teile der Administrationsschnittstelle nicht. Der untere Teil ist ein Untermenü,

das sich abhängig vom ausgewählten Abschnitt der Administrationsschnittstelle ändert.

Jeder der vier Hauptbereiche ermöglicht die Verwaltung einer Hotspot-Komponente:

Konten – Benutzerkonten erstellen, verwalten, importieren und exportieren

Tickets – Tickettarife definieren und Tickets erstellen

Berichte – Zugriff auf die verschiedenen Protokolle für Kontostände, Verbindungen und Transaktionen

Einstellungen – Erscheinungsbild der Webschnittstelle ändern, SmartConnect™ einrichten, API aktivieren und alle Funktionen

konfigurieren.

Ganz rechts befindet sich stets der Link Hauptmenü, um zur ersten Übersicht und zur Menüleiste zurückzukehren.

Konten

Dieser Abschnitt der Schnittstelle für die Hotspot-Administration enthält vier Einträge im Untermenü (Liste, Aus CSV-Datei importieren,

Als CSV-Datei exportieren und Konto-Generator), die das Erstellen, Löschen und Verwalten der Clients des Hotspots gestatten.

Liste

Diese Seite enthält standardmäßig eine Liste der verfügbaren Benutzerkonten mit einigen Informationen wie: Benutzernamen/MAC-

Adresse, Name (der vollständige Benutzername), Aktiviert (der Status des Kontos), Erstellungsdatumund Gültig bis. Einige der Optionen

dienen der Anpassung der Ansicht:

Sortiere nach

Benutzer können nach jedem der oben genannten Felder sortiert werden, außer nach ihrem Status.

Umgekehrte Reihenfolge

Die Liste wird in aufsteigender oder absteigender Reihenfolge sortiert.

Deaktivierte Konten ausblenden

Deaktivierte Benutzer, d. h. Benutzer, die existieren, aber keinen Zugang zum Hotspot haben, werden von der Liste

ausgeblendet.

Suche

Das Suchen nach Konten ist ebenfalls möglich. Für große Ergebnismengen steht die Paginierungsfunktion zur Verfügung.

Hinweis

Benutzer, die in diesem Abschnitt aufgeführt werden, sind Benutzer des Hotspots und werden als Kunden angesehen, die auf das

Internet zugreifen und darin surfen können. Es gibt jedoch zwei weitere Arten von Benutzern: Administratoren und Konto-Editoren, deren

Fähigkeiten und Aufgaben im Abschnitt Hotspot-Nutzer beschrieben werden.

Für jedes Konto sind mehrere Aktionen verfügbar, die für jedes Konto rechts neben der folgenden Tabelle angezeigt werden:

Ticket bearbeiten/hinzufügen

Ein Konto kann bearbeitet oder gelöscht werden, während ihm Tickets zugewiesen werden können.

Kontostand

Zeigt das Guthaben des Kontos.

Verbindungen

Zeigt detaillierte Informationen über das Konto.

Löschen

Entfernt das Benutzerkonto vom Hotspot.

Drucken

Druckt eine informative Nachricht mit den Zugangsdaten für dieses Konto.

Tipp

Nachrichten für MAC-basierte Konten können nicht gedruckt werden, da für sie kein Benutzername oder Kennwort definiert ist.

Das Anzeigen des Kontostands und der Verbindung zusammen mit der Option für deren Verwaltung werden im Abschnitt Berichte

beschrieben. Die Kontoadministration (Benutzer- und Ticketverwaltung) wird im weiteren Verlauf dieses Abschnitts beschrieben.

Ein neues Konto kann auf zwei alternative Arten erstellt werden: Entweder durch Angabe eines Benutzernamens und Kennworts oder

durch Angabe einer MAC-Adresse. Beide Aktionen können durch Klicken auf den entsprechenden Link über der Kontotabelle

durchgeführt werden. Die Daten jedes Kontos werden in drei Typen unterteilt: Anmeldeinformationen, Kontoinformationen und Tickets.

Die Anmeldeinformationen unterscheiden sich leicht hinsichtlich des Kontotyps. Die Kontoinformationen sind gleich. Letztlich können

einem Konto Tickets zugewiesen werden. Dies hängt von den bereits definierten und im Hotspot verfügbaren Tickettypen ab. Eine

Beschreibung der Tickets und Einstellungen finden Sie im Abschnitt Tickets.

Konto hinzufügen

Die Erstellung eines neuen Kontos erfordert die Angabe eines Benutzernamens und Passworts, die den Benutzer

identifizieren, der sich mit dem Hotspot verbindet. Zusätzliche Einstellungen können abweichend von den Standardwerten

unter Einstellungen vorgenommen werden. Diese sind: Ablaufdatum („gültig bis“) zeigt an, ob das Konto aktiv ist, die Sprache

und die Bandbreitenbegrenzung in kbit/s. Die Sprache kann aus denen gewählt werden, die unter Hotspot ‣

Administrationsschnittstelle ‣ Einstellungen ‣ Sprache aktiviert wurden.

MAC-basiertes Konto hinzufügen

Der einzige Unterschied besteht darin, dass für diese Art von Konten der Benutzername und das Passwort nicht benötigt

werden. Stattdessen wird die MAC-Adresse der Netzwerkschnittstelle eines Computers angegeben, die zur Identifizierung

eines Kontos verwendet wird. Die übrigen Einstellungen sind dieselben. MAC-basierten Adressen kann jedoch auch eine

statische IP-Adresse zugewiesen werden.

Mit jedem Konto können die folgenden Daten verbunden werden:

Zugangsdaten

Dieses Feld enthält Informationen, die mit dem neu erstellten Konto verbunden und für den Zugriff und die Verwendung des Hotspots

notwendig sind.

Benutzername

Der mit dem Konto verbundene Benutzername. Wenn das Feld leer ist, wird ein zufälliger Benutzername generiert.

Passwort

Das Passwort für das neue Konto kann durch das System automatisch generiert werden, indem dieses Feld leer gelassen

wird. Das Passwort wird nur angezeigt, wenn die Nachricht mit den Hotspot-Anmeldeinformationen für den Benutzer

ausgedruckt wird.

MAC Adresse

Die MAC-Adresse dient der Identifizierung des Kontos. Diese ist nur für MAC-basierte Konten verfügbar.

Gültig bis

Das Datum, an dem das Konto abläuft. Der Standardwert von einem Jahr (365 Tage) kann unter Einstellungen geändert

werden. Geben Sie zum Ändern des Werts des aktuellen Kontos entweder das neue Datum im Format DD.MM.JJJJ an, oder

klicken Sie auf die Schaltfläche ..., und wählen Sie das neue Datum aus dem Kalender aus.

Aktiv?

Das Kontrollkästchen gibt an, ob das Konto aktiviert ist oder nicht. Wenn das Kontrollkästchen aktiviert ist, ist das Konto

aktiviert.

Sprache

Die Sprache, in der die Meldungen des Hotspots angezeigt werden. Sie kann aus den verfügbaren Sprachen in einem

Dropdown-Menü ausgewählt werden.

Bandbreitenbegrenzung

Die Bandbreitenbegrenzung sowohl für den Upload als auch für den Download in kbit/s. Ein leeres Feld steht für keine

Begrenzung, d. h. dass der Benutzer die gesamte Bandbreite nutzen kann. Benutzerdefinierte Begrenzungen können durch

Aktivierung der entsprechenden Kontrollkästchen aktiviert werden.

Statische IP Adresse

Diese Option ist nur für MAC-basierte Konten verfügbar, die einer hier angegebenen statischen IP-Adresse zugewiesen

werden.

Warnung

Beachten Sie, dass eine Änderung der bestehenden Anmeldeinformationen (wie dem Benutzernamen) die Erstellung eines neuen

Kontos bewirkt.

Kontoinformationen

Dieses Feld enthält alle persönlichen Informationen, die mit dem Besitzer des Kontos verbunden sind.

Titel

Die Anrede der Person (z. B. Frau, Dr.)

Vorname

Der Vorname des Benutzers

Nachname

Der Nachname des Benutzers

Straße

Die Straße, in welcher der Benutzer lebt.

PLZ

Die Postleitzahl des Wohnortes des Benutzers

Stadt

Der Wohnort des Benutzers

Land

Das Land, in dem der Benutzer lebt. Es kann aus dem Dropdown-Menü ausgewählt werden.

E-Mail Adresse

Die E-Mail-Adresse, die mit dem Konto verbunden wird. E-Mail-Adressen können ohne Beschränkung im Konto-Editor

geändert werden. Eine bereits in Gebrauch befindliche E-Mail-Adresse kann jedoch nicht verwendet werden, um ein

SmartConnect™-Konto zu registrieren.

Telefonnummer

Die mit dem Konto verbundene Telefonnummer. Die Landesvorwahl kann aus dem linken Dropdown-Menü ausgewählt

werden. Die Telefonnummer muss in das rechte Textfeld eingetragen werden.

Geburtsdatum

Der Geburtstag des Benutzers

Geburtsort

Der Ort, in dem der Benutzer geboren wurde.

Dokumenttyp

Der Dokumenttyp, der zur Identifizierung des Benutzers verwendet wurde. Im Dropdown-Menü stehen vier Dokumenttypen

zur Verfügung: Geburtsurkunde, Personalausweis, Reisepass und Führerschein

Dokumentnummer

Die Identifikationsnummer des Dokuments, das zur Identifizierung des Benutzers verwendet wurde. Beachten Sie, dass in

einigen Ländern das Sammeln von Dokumenten obligatorisch für den Zugriff auf öffentliche Hotspots sein kann.

Dokument ausgestellt von

Der Aussteller des Dokuments (z. B. Musterstadt)

Beschreibung

Eine zusätzliche Beschreibung des Kontos

Tickets

In diesem Feld können die mit dem aktuellen Konto verbundenen Tickets angezeigt und verwaltet werden. Folgende Optionen werden

angezeigt:

Neues Ticket

Das Dropdown-Menü zeigt die verfügbaren Tickettarife und ob diese zeit- oder datenbasiert sind. Es ist nicht möglich, zeit-

und datenbasierte Tickets zu mischen. Daher kann einem Benutzer kein datenbasiertes Ticket zugewiesen werden, wenn

ihm bereits ein oder mehrere zeitbasierte Tickets zugewiesen wurden (und umgekehrt).

Gültigkeit

Sobald ein Ticket ausgewählt ist, wird diese Option angezeigt und die Ticketgültigkeit kann angepasst werden. Die

verfügbaren Werte sind dieselben, wie bei der Erstellung der Tickettarife und überschreiben die Standardwerte (angezeigt im

Textfeld und im Dropdown-Menü darunter).

Hinzufügen

Sobald das Ticket ausgewählt wurde, kann es dem aktuellen Konto durch Klicken auf diese Schaltfläche zugewiesen werden.

Hinweis

Beim Bearbeiten eines bestehenden Kontos ist es auch möglich, eine Willkommensnachricht mit den Zugangsdaten zu drucken, indem

Sie auf die SchaltflächeDrucken klicken. Hierbei handelt es sich um dieselbe Aktion, die über die Liste der Konten durchgeführt werden

kann.

Am unteren Rand des Feldes zeigt eine kleine Tabelle alle Tickets, die mit dem Konto verbunden sind, zusammen mit einigen

Informationen. Wenn ein Ticket noch gültig ist, kann es gelöscht werden. Ist es jedoch bereits abgelaufen, bleibt es dort, da es bereits in

den Kontoeinträgen für dieses Konto gespeichert ist (siehe Berichte für weitere Informationen zu Kontostand und Kontoeinträgen).

Wenn die Panda GateDefender-Appliance bereits zyklische Tickets unterstützt (eingeführt mit Version 2.5-20130516) , wird nach der

Auswahl eines zyklischen Tickets aus dem Dropdown-Menü anstelle des Dropdown-Menüs Gültigkeit ein kleines Formular mit folgenden

Optionen angezeigt:

Startdatum

Der Tag, an dem der erste Zyklus des Tickets startet. Wenn der Ticketzeitraum Monatlich ist, kann nur der erste

Gültigkeitsmonat ausgewählt werden. Für Tickets mit monatlichem Zyklus ist der Start des Zeitraums der erste Tag des

Monats, wobei das Ende der letzte Tag des Monats ist.

Enddatum

Der Tag, an dem der erste Zyklus des Tickets endet. Wenn der Ticketzeitraum Monatlich ist, kann nur der letzte

Gültigkeitsmonat ausgewählt werden.

Unterhalb dieser Optionen zeigt eine variable Meldung die Gesamtzahl der Ticketzyklen sowie den Preis pro Zyklus an und berechnet

den Gesamtpreis des Tickets. Wie bei normalen Tickets pflegt eine Tabelle die Liste der mit dem Konto verbundenen zyklischen Tickets.

Diese Tabelle wird aus Gründen der Übersichtlichkeit getrennt von der anderen Tabelle gehalten.

CSV Datei importieren

Beim Importieren der Kontonamen aus einer CSV-Datei ist der Dateiname nicht wichtig (exportierte Dateien haben eigene Namen, siehe

nächster Abschnitt), die Datei muss jedoch über ein festes Feldformat verfügen. Folgende Optionen stehen zur Verfügung:

Datei auswählen

Klicken Sie auf diese Schaltfläche, um die CSV-Datei auszuwählen, die hochgeladen werden soll. Die Datei muss eine reine

Textdatei sein, d. h. ZIP-Archive, GPG-verschlüsselte Dateien und Ähnliches werden nicht akzeptiert.

Separator

Das Zeichen, das als Trennzeichen verwendet werden soll; normalerweise ein Komma (,) oder ein Semikolon (;). Wenn das

Trennzeichen nicht angegeben wird, versucht die Panda GateDefender-Appliance, das korrekte Zeichen zu erraten.

Tipp

Die Panda GateDefender-Appliance nutzt Kommas, um Felder zu trennen.

Die erste Zeile des CSV-Dokuments beinhaltet die Titel der Felder

Aktivieren Sie das Kontrollkästchen, um die Panda GateDefender-Appliance wissen zu lassen, dass die erste Zeile der CSV-

Datei die Spaltentitel enthält, um diese beim Importieren zu ignorieren.

Hinweis

Dateien, die von der Panda GateDefender-Appliance nicht als CSV-Datei erkannt werden, werden zurückgewiesen, wobei folgende

Meldung angezeigt wird: Die angegebene Datei scheint nicht im CSV Format zu sein.

Konten importieren

Klicken Sie auf diese Schaltfläche, um die CSV-Datei zu importieren.

Nachdem das Konto importiert wurde, wird die Seite durch eine neue ersetzt, die einige Spalten enthält (abhängig davon, wie viele

Konten in der Datei gefunden wurden). Die erste Spalte enthält alle verfügbaren Felder, während die zweite Spalte alle die Felder enthält,

die in der CSV-Datei erkannt wurden.

Tipp

Wenn in der ersten Spalte der Hintergrund der Beschriftungen rot und in der zweiten Spalte grün ist, wurden die Daten erfolgreich

importiert.

Die verbleibenden Spalten zeigen den Inhalt der Datei und die Interpretationsart der Daten in der Datei an. Alle Felder, die nicht erkannt

wurden, werden gelb dargestellt: Sie können mit den verfügbaren Feldern verbunden werden, indem die roten Beschriftungen von der

linken Spalte auf die gelben Felder in der zweiten Spalte gezogen werden.

Hinweis

Die Daten in diesen Spalten können nicht geändert werden. Wenn es also ein Problem damit gibt, kehren Sie zur vorherigen Seite

zurück, um den Importvorgang abzubrechen und die CSV-Datei zu ändern. Anschließend können Sie den Import erneut starten.

Unter der Tabelle werden folgende Optionen angezeigt:

Wollen sie sehen welche Konten importiert werden?

Aktivieren Sie das Kontrollkästchen, bevor die neuen Konten importiert und gespeichert werden. Es wird eine zweigeteilte

Zusammenfassung der Konten angezeigt: Die neuen Konten werden im oberen Bereich der Seite angezeigt. Im unteren

Bereich stehen die zu aktualisierenden Konten.

Konten speichern

Durch Klicken auf diese Schaltfläche wird die Speicherung der Konten in der Panda GateDefender-Appliance gestartet.

Dazu gehört der Importvorgang.

Tipp

Wenn das Kontrollkästchen oben aktiviert ist, klicken Sie erneut auf diese Schaltfläche, nachdem die Zusammenfassung

anzeigt wurde, um den Importvorgang abzuschließen.

Warnung

Beachten Sie, dass durch eine Änderung der Zugangsdaten des Benutzers ein neues Konto erstellt wird. Dies trifft auch dann zu, wenn

Konten importiert werden, die sich nur geringfügig von den Zugangsdaten der bestehenden Konten unterscheiden. Prüfen Sie die Konten

vor dem Import also, um potentielle Probleme zu vermeiden.

Als CSV-Datei exportieren

Eine Liste aller vorhandenen Konten kann im CSV-Format exportiert und gespeichert werden. Beim Exportieren der Liste werden die

angezeigten Felder in der exportierten Datei fixiert, sodass es nur möglich ist, die Datei zu öffnen (anzuzeigen) oder zu entscheiden, in

welchem Verzeichnis sie gespeichert werden soll. Der Einfachheit halber wird der Dateiname als accounts_JJJJJMMDD_HHMM

gespeichert, wobei JJJJMMTT das Jahr, den Monat und den Tag darstellt und HHMM die Stunde und Minuten, zu denen die Liste

exportiert wurde. Diese Auswahl erlaubt es, die exportierten Dateien in lexikografischer Reihenfolge in dem Verzeichnis aufzulisten, in

dem sie gespeichert sind. Die Dateinamen können jedoch beliebig geändert werden. Die exportierten Dateien können als Sicherung

verwendet und später importiert werden.

Warnung

Beachten Sie, dass die exportierte Liste auch die Passwörter der Benutzer als Nur-Text enthält. Bewahren Sie die Liste daher an einem

sicheren Ort auf.

Account Generator

Die Verwendung des Account Generator kann besonders dann hilfreich sein, wenn es notwendig ist, eine Vielzahl neuer Konten mit

einem bereits zugewiesenen Standardticket zu erstellen. Diese können dann beispielsweise einer Gruppe von Benutzern zugewiesen

werden. Denken Sie beispielsweise an die Registrierungsphase am Anfang von Veranstaltungen, wie z. B. Konferenzen bzw. Tagungen,

bei denen große Gruppen von Menschen auf den Hotspot zugreifen und ihre Zugangsdaten binnen kürzester Zeit erhalten müssen. Der

Account Generator gestattet es, eine bestimmte Anzahl von Konten gleichzeitig zu erstellen, indem nur einige allgemeine Informationen

angegeben werden müssen, die in drei Bereiche unterteilt sind: Benutzername, Passwort und Einstellungen (unten beschrieben). Diese

Seite ist in vier Felder unterteilt: Die ersten drei Felder stellen den Account Generator dar, während das vierte Feld eine Liste der

erzeugten Massenkonten enthält. Diese werden nach der Erstellung im unteren Bereich der Seite angezeigt.

Beispiel HS2 – Erstellung von mehreren Konten:

Dieses Beispiel zeigt die Unterschiede zwischen dem sequenziellen und zufälligen Generator, wobei 5 Konten mit den gleichen

allgemeinen Einstellungen erstellt werden:

Präfix des Benutzernamens: user (4 Zeichen)

Länge des Benutzernamens: 8 Zeichen (also müssen 4 weitere Zeichen hinzugefügt werden)

Passwortlänge: 8 Zeichen

Zeichensätze: alle

Verwenden des sequenziellen Benutzernamengenerators, wobei die Option Sequenzstart auf 10 eingestellt ist: Die daraus

resultierende Ausgabe (Benutzername / Passwort) lautet wie folgt:

user0010 / hLFE.+6C

user0011 / u_4w3.N_

user0012 / h7R7p7sK

user0013 / p6lGRc3T

user0014 / KqUDmWiI

Da weitere Zeichen benötigt werden, um die Länge von 8 Zeichen für den Benutzernamen zu erreichen, werden mehrere Nullen

zwischen das Präfix und die Sequenz eingefügt.

Verwenden des zufälligen Benutzernamengenerators, wobei alle Zeichensätze außer Extra akzeptiert werden. Die daraus resultierende

Ausgabe (Benutzername / Passwort) lautet in etwa wie folgt:

userLI4u / p0Dch_fA

userWNDS / Qhbovfb7

userrq7K / dQTlmA-u

userSYE0 / BuWHuKfZ

userAHEQ / -Gx1yMta

Benutzername

Es gibt zwei verschiedene Arten von Benutzernamengeneratoren: Sequentiell und Zufällig, die über zwei gemeinsame Optionen

verfügen:

Präfix

Der erste Teil des Benutzernamens; für alle Massenkonten gleich. Ein leeres Präfixfeld wird ebenfalls akzeptiert.

Länge

Die Gesamtlänge des Benutzernamens.

Der Benutzername muss länger als das Präfix sein, anderenfalls wird eine Fehlermeldung angezeigt.

Die Benutzernamen werden für die beiden Generatoren unterschiedlich vervollständigt. Für jeden Generator wird eine eigene Option

angezeigt. Beim sequenziellen Generator werden aufsteigende Ziffern verwendet, die durch die folgende Option definiert werden:

Sequenzanfang

Die Ziffer oder Zahl, mit der die Sequenz startet.

Tipp

Wenn neben dem Präfix und der Sequenz mehr Zeichen erforderlich sind, um die erforderliche Länge zu erreichen, werden

Nullen hinzugefügt (siehe Beispiel HS2).

Im Fall des zufälligen Generators werden Zeichen verwendet, die durch verschiedene, ausgewählte Zeichensätze definiert werden:

* Großbuchstaben (A–Z)

* Kleinbuchstaben (a–z)

* Ziffern (0–9)

* Sonderzeichen (._-+)

Passwort

Die Länge des Passworts und die verwendeten Zeichensätze zur Erstellung der zufälligen Passwörter können hier definiert werden. Die

Sicherheit des Passworts wird von seiner Länge und der Anzahl der folgenden vier Zeichensätze bestimmt: Groß- und Kleinbuchstaben,

Ziffern und Sonderzeichen. Als Faustregel gilt: Eine Länge von 8 Zeichen, wobei alle Zeichensätze verwendet werden, erzeugt 48-Bit-

Passwörter, die für die meisten Anwendungen ausreichend sind.

Einstellungen

Zusätzliche Optionen für die generierten Konten: Die Anzahl der zu generierenden Konten, ob diese sofort aktiviert werden, ob ihnen ein

Standardticket zugewiesen ist, und letztlich wie viele Tage die Konten bestehen sollen.

Klicken Sie zum Erstellen von Benutzern mit den angegebenen Einstellungen auf die Schaltfläche Konten erstellen: Ein Beispiel für die

ersten fünf Benutzername-Passwort-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen

erstellt. Sie können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.

Nach der ersten Erstellung von Massenkonten wird die Seite mit einer Bestätigungsmeldung neu geladen, und unter dem Konto-

Generator wird eine neue Tabelle angezeigt, die Informationen über die erstellten Konten enthält. Die Tabelle enthält folgende Spalten:

Datum

Das Datum, an dem die Konten erstellt wurden.

Generierte Benutzer

Die Anzahl der erstellten Benutzer

Aktionen

Für jede Massenerstellung stehen drei Aktionen zur Verfügung:

Einstellungen laden, um die Einstellungen für die Erstellung dieser Konten zu laden und sie bei einer neuen Massenerstellung erneut

zu verwenden.

Benutzer löschen, um alle in dieser Erstellung erstellten Benutzer zu löschen. Diese Aktion löscht nur Benutzer, die noch nicht

verbunden sind oder kein verbleibendes Guthaben besitzen. Mit anderen Worten: Benutzer, die bereits mit dem Hotspot verbunden

sind oder Guthaben besitzen, werden nicht gelöscht.

Als CSV exportieren, um die Benutzername-Passwort-Kombination im CSV-Format zu exportieren. Dies ist nützlich, um die Daten auf

Prepaid-Karten zu drucken.

Tickets

In diesem Bereich können alle Ticketoptionen verwaltet werden: welcher Typ der Tickets verfügbar ist, ob sie zeit- oder datenbasiert sind,

ihr Tarif, d. h. wie viel der Benutzer pro Zeit- oder Dateneinheit zahlt, und die Erstellung von erweiterbaren Tickets. Die Optionen sind in

drei Kategorien gruppiert, die im Untermenü Tickets aufgeführt sind: Tarife, Quick-Ticket und Ticket-Generator.

Neuerungen in Version 2.5-20130516:Zyklische Tickets

Tarife

Die Panda GateDefender-Appliance bietet die Möglichkeit, mehrere Tickettarife auf der Seite Tarife hinzufügen festzulegen, indem Sie

verschiedene Zahlungsarten (Postpaid oder Prepaid) und Messarten (datenbasiert oder zeitbasiert) aus dem jeweiligen Dropdown-Menü

auswählen. Abhängig von der gewählten Kombination kann der Preis pro genutzter Einheit oder für das gesamte Ticket eingestellt

werden. Insbesondere bei der Zahlung im Voraus kann der Preis pro Stunde (zeitbasiert) oder pro 10 MB (datenbasiert) definiert werden.

Die Zahlung im Nachhinein erlaubt dagegen die Definition eines präzisieren Preises und sogar der Einheit. In diesem Fall können sogar

der Zeitraum (in Minuten, Stunden oder Tagen) oder Verkehr (in MB oder GB) sowie entweder der Ticketpreis oder der Einheitenpreis

bereitgestellt werden.

Hinweis

Wenn Sie den Ticketpreis eingeben, wird der Einheitenpreis automatisch berechnet und umgekehrt. Dies ist hilfreich, um

unterschiedliche Typen von Tickets mit Vorauszahlung anzubieten und beispielsweise zu prüfen, ob die Kosten für vier im Voraus

bezahlte Tickets mit 15-minütiger Dauer höher sind als für ein im Voraus bezahltes Ticket mit einer Dauer von einer Stunde.

Zyklische Tickets

Neuerungen in Version 2.5-20130516:

Zyklische Tickets sind ein neuer Tickettyp, der Hotspot-Benutzern angeboten werden kann. Der Grundgedanke der Einführung ist es,

einem Benutzer eine konstante Datenmenge in einem Zeitraum (Zyklus) zuzuweisen, der beliebig oft wiederholt werden kann

(Zyklusdauer). Jedem Benutzer kann jeweils ein zyklisches Ticket zugewiesen werden.

Ein zyklisches Ticket besteht aus drei Teilen:

1. ein Tarif, der die Kosten pro Zeit oder MB des Datenverkehrs darstellt (genau wie bei anderen Tarifen);

2. eine Zyklusdauer, bei der es sich um die Dauer von einem Tag, einer Woche, einem Monat oder einem Jahr handelt,

während dem/der der Verkehr verbraucht werden muss;

3. Die Anzahl von Zyklen, die anzeigt, wie oft hintereinander das Ticket verwendet werden kann. Diese Anzahl wird vom

Hotspot-Administrator bestimmt und ist standardmäßig auf 1 eingestellt.

Obwohl alle Tickettypen jederzeit erworben und sofort verwendet werden können, gibt es eine Ausnahme: Zyklische Tickets, deren

Zyklusdauer auf Monatlich eingestellt ist, starten den Zyklus immer am ersten Tag des Monats und laufen am letztem Tag des Monats

ab. Nehmen wir ein monatliches zyklisches Ticket, das am 20. Juni gekauft wurde. Obwohl es möglich ist, es sofort zu nutzen, endet der

erste Zyklus am 30. Juni. Es wird daher empfohlen, die Gültigkeit dieses Tickets am 1. Juli zu beginnen, damit der erste Zyklus am

31. Juli endet.

Zyklische Tickets können nur im Voraus bezahlt werden, d. h. sie müssen im Voraus gekauft werden. Übriggebliebene Datenmengen

innerhalb eines Zyklus werden nicht dem nächsten Zyklus hinzugefügt, d. h. die Daten müssen vor Ende des Zyklus aufgebraucht

werden, ansonsten gehen sie verloren. Zyklische Tarife können nicht für Quick-Tickets, SmartConnect-Tickets, den Ticket-Generator

oder den Konto-Generator verwendet werden: Sie müssen explizit einem vorhandenen Benutzer oder während der Erstellung eines

neuen Benutzers zugewiesen werden.

Die angebotenen Tickets können auch für SmartConnect™-Transaktionen verfügbar gemacht werden (siehe unten).

Die verfügbaren Tickettypen werden angezeigt, wenn in einer Tabelle mit mehreren Spalten die Seite Ticket geöffnet wird. Die Spalten

entsprechen den Optionen, die auf der Seite Tarife hinzufügen definiert werden können. Die Tupel können nach Tarifname, Zahlungsart

oder Messmethode sortiert werden. Die Sortierkriterien können umgekehrt werden, wenn das Kontrollkästchen Umgekehrte Reihenfolge

aktiviert wird. Um nach einem bestimmten Tarifnamen zu suchen oder die Namen zu filtern, füllen Sie das Eingabefeld über der Tabelle

mit mindestens einem Zeichen aus, und drücken Sie die Eingabetaste. Die Spalten der Tabelle enthalten die folgenden

Informationen:

Tarifname

Der Name des Tickettarifs

Ticket Code

Der ASA-Code für den Tickettarif. Obwohl dies nur für das ASA-Hotelverwaltungssystem verwendet wurde, muss dieses Feld

ausgefüllt werden. Falls kein ASA-Verwaltungssystem vorhanden ist, müssen Sie ein beliebiges Zeichen oder eine beliebige

Zeichenfolge eintragen.

Tipp

Wenn Sie ASA nicht verwenden, nutzen Sie für den Tarifnamen und den ASA-Tarif-Code die gleiche Zeichenfolge.

SmartConnect?

Diese Spalte gibt an, ob dieser Tarif für SmartConnect™-Transaktionen verfügbar ist. In diesem Fall wird ein -Symbol

angezeigt. Ist dies nicht der Fall wird ein -Symbol angezeigt. Durch Klicken auf das Symbol wird der Status des Tarifs

umgeschaltet.

Quick-Ticket?

Ähnlich der vorhergehenden Option zeigt diese, ob dieser Tarif für die Erstellung neuer Schnelltickets verwendet werden kann. In

diesem Fall wird das Symbol in der Liste angezeigt. Anderenfalls ist das Symbol zu sehen. Durch Klicken auf das Symbol

wird der Status des Tarifs umgeschaltet.

Neuerungen in Version 2.5-20130516:

Zahlung

Diese Spalte wird angezeigt, wenn der Tarif eine Zahlung im Voraus oder im Nachhinein erfordert.

Messmethode

In dieser Spalte wird angezeigt, ob der Tarif eine zeit- oder datenbasierte Messmethode verwendet.

Zyklus

Die Länge des einzelnen Zyklus des Tickets

Summe

Dies ist die Menge an verfügbarer Zeit oder verfügbarem Datenverkehr, wenn ein einzelnes Ticket mit diesem Tarif erstellt

wird. Im Tarif-Editor wird diese Option direkt unterhalb der Messmethode angezeigt. Im Dropdown-Menü können Sie

zwischen zeitbasierten und datenbasierten Tickets wählen. Für erstere Option kann die Anzahl der Minuten, Stunden oder

Tage der Gültigkeit ausgewählt werden, für die letztere kann zwischen Megabytes (MB) oder Gigabytes (GB) entschieden

werden.

Preis

Dies zeigt den stündlichen Preis oder den Preis pro 10 MB sowie den Ticketpreis für diesen Tarif an. Im Tarif-Editor werden

zwei Textfelder angezeigt. Diese rechnen den Einheitenpreis (10 MB oder eine Stunde) schnell in den Ticketpreis um,

wodurch sich der durchschnittliche Einheitenpreis der definierten Tarife gut steuern lässt.

Aktionen

Wählen Sie, ob Sie den Tickettarif bearbeiten oder löschen möchten.

Wenn für Tariftyp die Option Zyklisch ausgewählt wurde, ändern sich die Tarife leicht, und die folgenden Konfigurationsoptionen werden

anstelle des Preises angezeigt:

Dauer des Zyklus

Die Dauer eines Zyklus des Tarifs. Zur Auswahl stehen: ein Tag, eine Woche, ein Monat oder ein Jahr.

Preis pro Zyklus

Die Kosten für den Zyklus.

Standardanzahl an Zyklen

Die Standardanzahl an Zyklen für die Gültigkeit des Tickets. Falls nicht angegeben, wird der Wert 1 angewendet.

Beispiele zum Gesamtpreis

Sobald der Preis pro Zyklus eingegeben wurde, berechnet diese Tabelle den Gesamtpreis des zyklischen Tickets für einige

relevante Zykluslängen (z. B. 7 oder 14 Tage, 3 und 6 Monate usw.).

Im Tarif-Editor kann eine zusätzliche Einstellung für das Ticket angegeben werden:

Gültigkeit

Diese Option definiert die Ablaufdaten für die einzelnen Tickets dieses Typs und wird nur im Tarif-Editor angezeigt. Wählen Sie einen

der vier möglichen Werte aus dem Dropdown-Menü aus:

Immer steht für eine unbegrenzte Gültigkeit;

Ab Ticketerstellung ermöglicht die Festlegung der Länge der Gültigkeit des Tickets; gemessen wird in Minuten, Stunden, Tage,

Wochen oder Monaten ab der Erstellung.

Ab erster Ticketverwendung, wie bei der vorherigen Option, wobei die Gültigkeit beginnt, wenn das Ticket zum ersten Mal für den

Zugriff auf den Hotspot verwendet wird.

Bis zum Ende des Tages, d. h. dass das Ticket am aktuellen Tag verwendet werden muss.

Diese Werte werden die Standardeinstellungen für die neue, zu erstellenden Tickets sein. Sie können auf Benutzerbasis

überschrieben werden, wenn sie einem Benutzer unter Konten ‣ Liste ‣ Ticket bearbeiten/hinzufügen ‣ Ticket hinzufügen

zugeordnet werden.

Warnung

Nachdem ein Tickettarif gespeichert wurde, können nur der Tarifname, der Tarif-Code oder die Verfügbarkeit von SmartConnect™-

Transaktionen geändert werden. Tatsächlich würde eine Änderung zu inkonsistenten Kontoinformationen führen. Um also einen

Tarifpreis zu ändern, benennen Sie den bestehenden Tarif um und erstellen Sie einen neuen Tarif mit dem ursprünglichen Namen.

Nehmen wir z. B. an, es gibt einen Tarif mit dem Namen Stündlich, dessen Kosten geändert werden sollen. Benennen Sie zunächst den

Tarif in beispielsweise ALT-Stündlich um und erstellen Sie anschließend einen neuen Tarif mit dem ursprünglichen Namen „Stündlich“.

Quick-Ticket

Diese Seite wird zur Erstellung eines neuen, einzelnen Benutzerkontos verwendet, dessen Benutzername und Passwort automatisch

generiert werden. Geben Sie dazu den Vor- und Nachnamen des Benutzers an, und klicken Sie auf den gewünschten Tarif.

Tipp

Für Quick-Tickets sind nur SmartConnect™-Tarife verfügbar.

Durch Klicken auf die Schaltfläche „Tarif“ werden Benutzername, Kennwort und Tarif auf dem Bildschirm angezeigt: An dieser Stelle

kann die Sprache für den Benutzer ausgewählt werden. Diese Kontoinformationen können ausgedruckt werden, indem Sie auf die

Schaltfläche Informationen drucken klicken. Das neue Konto erbt alle Standardeinstellungen, die unter Hotspot ‣ Einstellungen definiert

wurden und auf der Seite Konten angezeigt werden. Es handelt sich um ein normales Konto, auf dem alle Aktionen durchgeführt werden

können.

Ticket-Generator

Mit dem Ticket-Generator ist es möglich, eine bestimmte Anzahl von Tickets zu erstellen, die gemeinsamen Einstellungen, einschließlich

eines vordefinierten Tickettarifs, teilen. Diese Option ist hilfreich, wenn Sie eine Vielzahl von Ticket-Codes mit Vorauszahlung für Kunden

erstellen müssen, die diese direkt für SmartConnect™ verwenden, um auf den Hotspot zuzugreifen, oder sie als Demo oder Test-Codes

verwenden. Zur Verwendung eines Tickets muss der Benutzer registriert sein. Wenn der Benutzer nicht registriert ist, muss er ein neues

Konto erstellen; ein Vorgang, der sich ganz einfach vom Kunden selbst, ohne die Notwendigkeit der Interaktion des Administrators,

durchführen lässt.

Die Seite „Ticket-Generator“ ist in zwei Bereiche unterteilt: Im oberen Bereich können die Eingabefelder zum schnellen Erstellen von

Tickets ausgefüllt werden, während der untere Bereich eine Tabelle mit den bereits erstellten Massentickets enthält. Nachdem

mindestens einige Massentickets erstellt wurden, wird der Link Erstellte Tickets anzeigen zwischen den beiden Bereichen angezeigt,

über den Sie alle verfügbaren Tickets anzeigen können (siehe unten).

Im Generator gibt zwei verfügbare Optionsgruppen, um neue Tickets zu erstellen:

Ticket Code

Definieren Sie den Präfixtext (Zeichenfolge) für das Erstellen von Massentickets, die Länge des Ticketnamens und die

Zeichensätze für die Erstellung der zufälligen Tickets.

Einstellungen

Die Anzahl der zu erstellenden Tickets und der Tarif, der den bereits unter Tarife aufgeführten Tickets zugewiesen werden

soll.

Klicken Sie zur Erstellung der Massentickets mit den angegebenen Einstellungen auf die Schaltfläche Tickets erstellen: Ein Beispiel für

die ersten fünf Ticket-Code-Kombinationen wird angezeigt. Die Massentickets werden nur nach dem Klicken auf Bestätigen erstellt. Sie

können anderenfalls auf Abbrechen klicken, um die 5 Beispiele zu löschen.

Unter den Einstellungen des Ticket-Generators sind alle vorher generierten Tickets in einer Tabelle mit folgenden Spalten aufgelistet:

Datum

Das Datum und die Uhrzeit, an dem die Tickets generiert wurden.

Generierte Tickets

Die Anzahl der bereits generierten Tickets

Aktionen

Für jede Massenerstellung stehen drei Aktionen zur Verfügung:

Nutzen Sie Option Einstellungen laden, um die Einstellungen zu laden, die für die Ticketerstellung genutzt wurden, und um diese für

eine neue Massenerstellung wiederzuverwenden.

Nutzen Sie Option Tickets löschen, um alle Tickets dieser Erstellung zu entfernen. Dieser Vorgang löscht nur Tickets, die noch nicht

verbraucht wurden.

Nutzen Sie die Option Als CSV exportieren, um die Liste der Ticketkombinationen im CSV-Format zu exportieren.

Klicken Sie auf den Link Erstellte Tickets anzeigen, um eine Seite mit einer Tabelle aller generierten Tickets anzuzeigen. Diese können

(auch in umgekehrter Reihenfolge) nach Ticket-Code oder Erstellungsdatum sortiert werden, wobei ungenutzte oder abgelaufene Tickets

ausgeblendet werden können. Bestimmte Codes können auch über das Eingabeformular neben der Bezeichnung Code: gesucht werden.

Die Tabelle zeigt den Ticket-Code, welcher Benutzer gegebenenfalls ein Ticket verwendet hat oder einem Ticket zugewiesen wurde,

gegebenenfalls den Tickettarif, das Erstellungsdatum des Tickets und einen optionalen Link, um entweder einen unbenutzten Ticket-

Code zu löschen oder einen gerade in Gebrauch befindlichen Ticket-Code ablaufen zu lassen. Wenn die Tabelle eine große Anzahl an

Tickets enthält, kann ein Zeilenumbruch durchgeführt werden, um die Liste zu teilen.

Berichte

Der Abschnitt „Berichte“ enthält verschiedene Informationen und Statistiken zu Aktivitäten, Benutzern, Tickets, Datenverkehr,

Verbindungen und Kontoinformationen, die mit diesem Hotspot verbunden sind. In diesem Abschnitt sind einige Aktionen verfügbar, die

eine detaillierte Ansicht der Nutzerstatistiken, Verbindungen und Verwendung des Hotspots bereitstellen.

Hinweis

Bei Satellitenhotspots ist Berichte der einzige verfügbare Menüeintrag auf der gesamten Hotspot-Administrationsoberfläche.

Verbindungen

Die Standardansicht beim Öffnen der Seite Berichte enthält eine Tabelle, die alle momentan aktiven Verbindungen zum Hotspot anzeigt,

einschließlich solcher auf Satelliten, falls vorhanden. Für jede Verbindung werden die folgenden Informationen angezeigt:

Satellit

Der Name (d. h. der Name des OpenVPN-Kontos) des Remote-Hotspot-Satellitensystems, falls diese Panda GateDefender-

Appliance der Master in einer Master/Satellit-Konfiguration ist, und der Benutzer mit einem Satelliten verbunden ist (weitere

Informationen dazu finden Sie im Abschnitt Rollen auf einem Hotspot).

Benutzername

Benutzername des verbundenen Kontos.

Beschreibung

Beschreibung des verbundenen Kontos.

Authentifiziert

Zeigt an, ob die Verbindung authentifiziert ist oder nicht.

Dauer

Dauer seit Herstellung der Verbindung.

Inaktivität

Die Zeit, seit der kein Datenverkehr zwischen dem Konto und dem Hotspot stattgefunden hat.

IP Adresse

Die IP-Adresse des Clients, der mit dem Hotspot verbunden sind.

MAC Adresse

Die MAC-Adresse der verbundenen Schnittstelle des Clients.

Aktion

Jede aktive Verbindung kann geschlossen werden, indem Sie in dieser Spalte auf den Link Abmelden klicken.

Kontostand

Diese Seite enthält eine Liste der Konten mit Informationen über die Verbindungen, gefolgt von einer globalen Zusammenfassung im

unteren Bereich der Seite. Es stehen zwei alternative Möglichkeiten zum Anzeigen von Kontoständen der Benutzer zur Auswahl:

Zeitraumfilter und Kontoelemente, wobei die erste Möglichkeit die Standardansicht ist. Auf diese kann gemeinsam durch Klicken auf den

verfügbaren Link am rechten Rand der Seite zugegriffen werden. Die tatsächlich angezeigten Daten in diesen beiden Ansichten sind

unterschiedlich, stellen aber in etwa dieselben Informationen bereit:

Benutzername

Der Benutzername und die MAC-Adresse des Kontos. Beim Klicken auf den Benutzernamen wird die Seite „Kontostand“ des

Benutzers geöffnet (siehe unten).

Gebuchter Betrag

Der von diesem Konto verwendete Betrag.

Bezahlt

Der durch den Benutzer bereits bezahlte Betrag.

Dauer

Die Dauer, für die der Benutzer mit dem Hotspot verbunden ist.

Datenmenge

Der von diesem Konto generierte Datenverkehr.

Im oberen Bereich der Tabelle können ein Start- und Enddatum in die Felder Von und Bis eingetragen werden: Durch Klicken auf die

rechte Schaltfläche Filter wird die Seite neu mit Statistiken geladen, die auf den Zeitraum zwischen diesen beiden Daten beschränkt sind.

Klicken Sie zur Anzeige eines Kalenders für die leichtere Suche nach einem Datum rechts neben dem Textfeld auf die Schaltfläche ....

Seitenumbrüche sind verfügbar, um lange Listen aufzuteilen.

Tipp

Das Datumsformat ist TT.MM.JJJJ, also z. B. 03.06.2013 (3. Juni 2013).

Die alternative Ansicht Posten zeigt dieselben, zuvor erwähnten Daten mit einer zusätzlichen Spalte an:

Ausständiger Betrag

Der Betrag, der noch nicht von diesem Konto bezahlt wurde.

In jeder der beiden Ansichten wird durch Klicken auf den Benutzernamen oder die MAC-Adresse die Seite „Kontostand“ für das jeweilige

Konto geöffnet, die detaillierte Statistiken über die Benutzertickets und Abrechnung anzeigt, gruppiert in vier Bereiche. Beachten Sie,

dass Sie diese Seite auch über Konten ‣ [ Benutzerliste ] ‣ [ Aktionen ] ‣ Kontostand erreichen.

Benutzerinformationen

Alle Anmeldeinformationen des Benutzers, beispielsweise Name, Benutzername, Geburtsort und -datum, ID des Dokuments, und die

Gruppe, die das Dokument erstellt.

Kontostand

Detaillierte Informationen zum Kontostand mit allen zeitbasierten Statistiken, gefolgt von allen Statistiken, die auf dem Datenverkehr

basieren. In beiden Fällen werden die gesamten vor- und nachbezahlten Tickets und die gesamte verbrauchte und verfügbare Zeit oder

der entsprechende Datenverkehr angezeigt.

Postpaid Bezahlung

In dieser Spalte zeigen zwei Felder den Betrag an, den der Benutzer bereits bezahlt hat, und den er oder sie noch bezahlen muss

(angezeigt in der Währung, die auf der Seite Einstellungen konfiguriert wurde). Das untere Feld ist grün unterlegt, falls alles bereits

bezahlt wurde, ansonsten ist es rot. Dem Benutzer kann Guthaben hinzugefügt werden (entweder, um Schulden zu begleichen, oder für

Erwerb von weiterem Datenverkehr), indem ein beliebiger Betrag in das Feld unter den beiden Feldern eingegeben und anschließend auf

Guthaben hinzufügen geklickt wird.

Buchungen

Diese Tabelle am unteren Ende der Seite enthält eine Liste aller Tickets, die mit dem Benutzer verbunden sind. Für jedes Ticket wird

eine Reihe von Informationen angezeigt:

Ticket Name

Der Name des Tickettarifs.

Summe

Das Guthaben (grüner Hintergrund) oder die Schulden (roter Hintergrund) dieses Kontos.

Jedes zyklische Ticket, das vom Benutzer erworben wurde, wird in dieser Spalte mehrfach angezeigt: Zunächst sobald das Ticket mit

dem Namen Zyklisch [Name] erstellt wurde; und anschließend wird am Beginn jedes Zyklus ein neues Ticket [Name] mit einem Betrag

von 0,00 EUR (oder in der Währung, die auf dem Hotspot verwendet wird) den Kontoeinträgen hinzugefügt.

Datum / Uhrzeit

Der Zeitstempel bei Erstellung des Tickets.

Dauer

Die Dauer der Ticketnutzung

Datenmenge

Der von diesem Ticket verbrauchte Datenverkehr

Bearbeitet

Ob das Ticket benutzt wurde.

Versuche

Diese Option wird von der ASA-Schnittstelle verwendet und zeigt, wie oft das System versucht hat, diese Einträge zu

verbuchen.

Meldung

Eine benutzerdefinierte Nachricht.

Für jeden Eintrag eines zyklischen Tickets enthält die Nachricht die folgenden Informationen:

ID des Zeitraums: Eine aufsteigende Nummer, die das Ticket eindeutig identifiziert.

Zyklus und Nummer an Zyklen beziehen sich auf das Ticket, den Zeitraum des Tickets und die Anzahl erworbener Zyklen.

Startdatum und Enddatum zeigen den ersten und letzten Tag der Gültigkeit des Tickets an.

Nachdem Sie über den Benutzerinformationen die Felder Startdatum und Enddatum ausgefüllt haben (oder auf die Schaltfläche ...

klicken, um einen Pop-up-Kalender zu öffnen), und auf die Schaltfläche Filter klicken, werden nur Statistiken innerhalb dieses Zeitraums

angezeigt.

Die momentan angezeigten Statistiken können durch Klicken auf die Schaltfläche >>> Drucken gedruckt werden.

Verbindungsprotokolle

Diese Seite enthält eine Tabelle mit mehreren Informationen zu den aktuellen und früheren Verbindungen. Die Elemente können

(umgekehrt) nach jeder Spalte angeordnet und sogar gefiltert werden, um nur die Verbindungen zwischen zwei Daten anzuzeigen. Die

angezeigten Informationen sind:

Benutzername

Der Benutzername, der die Verbindung herstellt.

IP Adresse

Die IP-Adresse des verbundenen Clients.

MAC Adresse

Die MAC-Adresse der verbundenen Client-Schnittstelle.

Verbindungsbeginn

Die Startzeit der Verbindung.

Verbindungsende

Der Zeitpunkt des Verbindungsendes.

Download

Die Datenmenge, die bereits während dieser Verbindung heruntergeladen wurde.

Hochladen

Die Datenmenge, die bereits während dieser Verbindung hochgeladen wurde.

Dauer

Die Dauer der Verbindung.

Verbindungsprotokolle als CSV-Datei exportieren

Die Verbindungsprotokolle, die detaillierte, relevante Informationen enthalten, können heruntergeladen und im CSV-Format gespeichert

werden, indem Sie im Untermenü auf den Link Verbindungsprotokolle als CSV-Datei exportieren klicken. Der standardmäßige

Dateiname für die Protokolldatei ist hotspot-JJJJMMTT-FULL.csv, wobei JJJJMMTT das Datum der Erstellung der Datei ist. FULL

bedeutet, dass die Datei Details zu allen Verbindungen enthält.

Warnung

Beachten Sie, dass die Liste auch die Kennwörter der Benutzer als Nur-Text enthält. Bewahren Sie diese also an einem sicheren Ort auf.

SmartConnect-Transaktionen

Auf dieser Seite wird die Liste aller SmartConnect™-Verbindungen und -Transaktionen angezeigt. Diese können (umgekehrt)

angeordnet werden, entweder nach Transaktions-ID oder nach dem Zeitpunkt der Bestellung. Bestimmte Transaktionen können gesucht

werden, indem etwas in das Eingabefeld neben Suchen: eingegeben wird. Die Informationen in der Tabelle sind:

Transaktions-ID

Die Zeichenfolge der Transaktionsidentifizierung, nützlich für die Verwaltung oder im Fall von Problemen mit der

Registrierung von Clients und Tickets. Alle Transaktionen können hier gesucht werden.

Uhrzeit des Auftrags

Das Datum und die Uhrzeit der Transaktion.

Zahlung

Der Status der Zahlung, ob sie erfolgreich abgeschlossen wurde, oder nicht (kostenlose Tickets werden immer als

Abgeschlossen angezeigt).

Benutzer

Der Benutzername des erstellten Kontos. Dies ist eine Telefonnummer im Fall von SMS-basierten SmartConnect™-

Transaktionen.

Telefonnummer

Die bei der Kontoerstellung angegebene Telefonnummer.

SMS

Die SMS mit den Anmeldeinformationen des Kontos werden über einen Hotspot mit der Panda Perimetral Management

Console versendet. Falls aus irgendeinem Grund die Nachricht nicht an den Client versendet wurde, oder dieser sie nicht

erhalten hat, zeigt dieses Feld Fehlgeschlagen an. Ansonsten zeigt es Erfolg an.

SMS Uhrzeit

Datum und Zeitpunkt, zu dem die SMS verarbeitet wurde.

Name

Der bei der Kontoerstellung angegebene Name.

Info

Die bei der Kontoerstellung angegebene Adresse, Postleitzahl und die Landesinformation.

Für Tabellen mit vielen Einträgen steht die Funktion Paginierung zur Verfügung.

Siehe auch

SmartConnect

Hotspot ‣ Einstellungen ‣ SmartConnect

Einstellungen

In diesem Abschnitt werden die Arten aller verfügbaren Optionen, um den Hotspot zu konfigurieren, in vier Gruppen angezeigt:

Haupteinstellungen, SmartConnect™, API und Sprache.

Haupteinstellungen

Diese Seite enthält alle Systemeinstellungen, die in vier Teile gegliedert sind: Im ersten Teil Portal ist es möglich, die Standardwerte für

die Darstellung des Portals zu definieren; im zweiten Teil Globale Einstellungen können Sie einige Optionen festlegen, die von den

verschiedenen Komponenten des Hotspots genutzt werden; im dritten Teil Konten befinden sich allgemeine Optionen für das Konto; im

vierten Teil wird der Zeichensatz für generierte Passwörter ausgewählt, die in Quick-Ticket verwendet werden.

Warnung

Durch eine Änderung der Einstellungen im Portal und unter Globale Einstellungen werden alle angemeldeten Benutzer zwangsmäßig

abgemeldet. Diese Einstellungen sind auf der grafischen Benutzeroberfläche mit einem roten Sternchen markiert.

Portal

Das erste Feld umfasst folgende anpassbare Option:

Homepage nach erfolgreicher Anmeldung

Die URL der Webseite, die dem Benutzer nach erfolgreicher Anmeldung angezeigt wird.

Homepage im Hintergrund des Portals

Die URL, die als Hintergrundbild für das Hotspot-Anmeldeportal benutzt wird.

Anmeldeformular anzeigen

Wählen Sie aus einer Dropdown-Liste, wie das Anmeldeformular der Hotspot-Anmeldung angezeigt werden soll:

zeigt das Anmeldeformular sofort über der Hintergrund-Homepage an.

zeigt die Hintergrund-Homepage manuell mit einer oberen Navigationsleiste, die dem Benutzer jederzeit Zugriff auf die

Registrierungsseite bietet, während die Startseite ohne eine Registrierung durchsuchbar bleibt: Dies ist nützlich, um eine

eigene Internetseite bekannt zu machen oder Informationen bereitzustellen. Der Zugriff auf alle anderen Seiten wird

weiterhin eine Registrierung erfordern, wobei auf die in Freigeschaltete Seiten (siehe unten) aufgelisteten Seiten immer

zugegriffen werden kann.

nach x Sekunden zeigt das Anmeldeformular nach einem vom Benutzer angegebenen Zeitraum in Sekunden an (der

Benutzer wird über die ablaufende Zeit in der Navigationsleiste informiert).

Für Mobilgeräte das Mini-Portal verwenden

Diese Option steuert, welche Portaltypen vom Hotspot bedient werden. Neben dem Standardportal gibt es noch zwei weitere:

eines ohne JavaScript und eines, das auf mobile Geräte zugeschnitten ist. Wenn diese Option aktiviert ist, werden alle drei

Arten von Portaltypen angezeigt. Anderenfalls wird dem Benutzer nur das Standardportal angezeigt.

Freigeschaltete Seiten

Die Seiten oder IP-Adressen, die ohne Authentifizierung zugänglich sind, d. h. solche Seiten, die von allen Benutzern

aufgerufen werden können. Eine Seite pro Zeile ist erlaubt, entweder in Form eines normalen Domänennamens oder einer

Zeichenfolge im Format protokoll:IP[/maske]:port, z. B. pandasecurity.com oder tcp:192.168.20.0/24:443. Berücksichtigen Sie,

dass wenn die Seiten Widgets, JavaScripts oder andere Komponenten von außerhalb der Liste enthalten, diese nicht

ordnungsgemäß geladen werden könnten.

Globale Einstellungen

Name des Hotspots

Der Name, um den Hotspot zu identifizieren.

Elemente pro Seite

Der Paginierungswert, d. h. die maximale Anzahl der Elemente in der Liste oder die angezeigten Tabellen pro Seite.

Währung

Die Währung, die für alle Berechnungen der Zahlungen im Hotspot verwendet wird.

Hinweis

Bestimmte Währungen werden nicht von PayPal unterstützt. Deshalb können diese nicht für SmartConnect-Tickets verwendet werden.

Oft gewählte Länder

Oft gewählte Länder stehen am Anfang der Länderliste, die dem Benutzer bei der Registrierung angezeigt wird, um den

Zeitaufwand für die gesamte Registrierung zu verringern.

Aktiviere AnyIP

Mit dieser Option wird die AnyIP-Funktion aktiviert, die den Kunden, die nicht DHCP verwenden, den Zugriff auf den Hotspot

sogar mit einer statischen IP-Adresse ermöglicht, die nicht unter das IP-Subnetz des Hotspots (BLAUE Zone) fällt.

Bandbreitenbegrenzung

Die standardmäßigen Upload- und Download-Grenzen pro Benutzer in KB/s. Wenn diese Felder leer sind, wird keine Begrenzung

angewendet.

Hinweis

Beachten Sie, dass 1 KB aus 8 Kilobit besteht. Stellen Sie daher sicher, die korrekten Werte in die Felder einzutragen.

DHCP dynamischer Bereich

Wenn diese Option durch das Aktivieren des Kontrollkästchens ausgewählt ist, werden den mit dem Hotspot verbundenen

Geräten dynamische IP-Adressen zugewiesen.

Bereich der dynamischen IPs

Diese Option wird angezeigt, wenn das vorangehende Kontrollkästchen aktiviert ist, und lässt Sie einen benutzerdefinierten

Bereich der IP-Adressen innerhalb der BLAUEN Zone angeben, um dem Hotspot-Kunden dynamisch zugewiesen zu werden.

Konten

Benutzeranmeldung erforderlich

Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass Kunden, die Zugriff benötigen, ein gültiges Konto besitzen.

Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich

Wenn diese Option ausgewählt ist, wird der Benutzer aufgefordert, die Nutzungsbedingungen unmittelbar vor der Anmeldung

zu akzeptieren.

Passwort-Wiederherstellung

Falls ein Benutzer seine Anmeldeinformationen verloren oder vergessen hat, kann er sie wiederherstellen. Drei Optionen können

ausgewählt werden:

Deaktiviert: Es ist keine Passwort-Wiederherstellung erlaubt.

Verwenden SmartConnect-Einstellungen: Die Anmeldeinformationen werden über dieselben Wege wie in SmartConnect™

gesendet.

Verwende benutzerdefinierte Einstellungen: Es können individuelle Einstellungen definiert werden (siehe das Feld unten).

Hinweis

Es ist möglich, die anonyme Anmeldung (d. h. ohne Benutzerauthentifizierung) zu erlauben, wobei alle Benutzer den

Nutzungsbedingungen zustimmen müssen. Um dies zu tun, muss zuerst ein Ticket vom Typ Postpaid erstellt, die Option

Benutzeranmeldung erforderlich deaktiviert und dann Akzeptieren der ‚Nutzungsbedingungen‘ beim Anmelden erforderlich aktiviert

werden. Wenn das im Nachhinein zu bezahlende Ticket mit einer bestimmten Gültigkeit erstellt wurde, muss der Benutzer nach dessen

Ablauf die Nutzungsbedingungen erneut akzeptieren.

Timeout für inaktive Benutzer

Die Zeit der Inaktivität, nach der ein Benutzer abgemeldet wird (Standarddauer ist 15 Minuten, d. h. nach 15-minütiger

Inaktivität wird ein Benutzer automatisch abgemeldet), sodass der Benutzer nicht zu viele seiner Tickets verschwendet.

Konto Lebensdauer (Tage)

Die Anzahl von Tagen, die ein Konto gültig ist (Standardeinstellung ist 365 Tage). Nachdem diese Anzahl von Tagen

vergangen ist, wird der Benutzer automatisch deaktiviert.

Erlaube das Löschen von verwendeten Konten

Diese Option ermöglicht das Löschen von Benutzerkonten, die bereits Teile ihrer Tickets verbraucht haben. Falls ausgewählt,

wird die nächste Option angezeigt.

Vermeide das Löschen von Benutzern, welche Tickets mit SmartConnect gekauft haben

Dieses Kontrollkästchen wird angezeigt, wenn die vorherige Option ausgewählt wurde. Standardmäßig ist die Option aktiviert,

so dass Benutzer, die bereits Tickets per Kreditkarte mit SmartConnect gekauft haben, nicht aus dem System gelöscht

werden.

Deaktivierte Konten täglich löschen

Mit dieser Option aktivieren Sie das tägliche Löschen von deaktivierten Konten.

Zeichensatz für erzeugte Passwörter

Im zweiten Teil der Haupteinstellungen können die Standardwerte für die automatisch generierten Passwörter ausgewählt werden, z. B.

beim Erstellen von Massentickets. Die folgenden Werte für Passwörter können verändert werden: Die Länge, Groß- und

Kleinbuchstaben, Zahlen und Sonderzeichen und zusätzliche Sonderzeichen. Standardmäßig bestehen die Passwörter nur aus sechs

Zeichen.

Benutzerdefinierte Einstellungen zur Passwort-Wiederherstellung:

Bei der Auswahl werden verschiedene Konfigurationsoptionen angezeigt, die zur Wiederherstellung des Passworts mit

benutzerdefinierten Einstellungen benötigt werden. Die Erste enthält die Modalitäten, unter welchen die Wiederherstellung erfolgt:

Passwort-Wiederherstellung ist erfolgt

Es gibt folgende drei Auswahlmöglichkeiten für diese Option: per SMS, per E-Mail oder beides. Je nachdem werden

verschiedene Optionen angezeigt, um den E-Mail- oder SMS-Versand zu konfigurieren. Beachten Sie, dass alle Optionen

angezeigt werden, wenn E-Mail und SMS zur Passwort-Wiederherstellung aktiviert sind.

Für den SMS-Wiederherstellungsmodus gibt es nur eine weitere Option:

Erlaubte Ländervorwahlen für die Passwort-Wiederherstellung

Es ist möglich, dass das Senden von SMS nur für die Mobiltelefone erlaubt wird, die den ausgewählten Ländern angehören.

Um einen neuen Länder-Code hinzuzufügen, beginnen Sie den Ländernamen oder -Code in das Auswahlfenster über der

Länderliste zu schreiben, bis der Name des Landes in dem darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken

schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im rechten Feld angezeigt und können

durch Klicken auf – abgewählt werden.

Für die Wiederherstellung per E-Mail stehen zwei Optionen zur Verfügung:

Mail Server

Der zum Versand der Wiederherstellungs-E-Mail verwendete SMTP-Server. Sie können im Dropdown-Menü aus drei Optionen wählen.

1. System-SMTP-Server: Um diese Option auswählen zu können, muss Menüleiste ‣ Proxy ‣ SMTP aktiviert werden.

2. Benutzerdefinierter SMTP-Server: In diesem Fall können Sie im Textfeld den Namen des Mail-Servers eintragen.


Es wird eine benutzerdefinierte E-Mail-Adresse als benutzerdefinierter Absender für die Wiederherstellungs-E-Mail verwendet.

Außerdem ist eine weitere Option für beide Wiederherstellungsmodi verfügbar:

Limitiere Passwort-Wiederherstellung auf

Gibt das Zeitintervall an, das verstreichen muss, bevor die Passwort-Wiederherstellung erneut versucht werden kann. Nur

eine von vier Optionen kann aus dem Dropdown-Menü ausgewählt werden: einmal alle 10 Minuten, einmal alle 30 Minuten,

einmal in der Stunde und einmal täglich.

SmartConnect

Auf dieser Seite können Sie die SmartConnect™- (Self-Service) und SmartLogin-Funktionen des Hotspots konfigurieren. Das

SmartConnect™-System unterstützt die Self-Service-Ticketerstellung oder die Verwendung von kostenlosen Tickets ohne

Kundenbezahlung. SmartLogin bietet dem Benutzer die Möglichkeit, eine erneute Authentifizierung am Hotspot zu vermeiden, wenn der

Browser geöffnet oder geschlossen wird. Wenn es noch nicht aktiviert wurde und sich diese Seite das erste Mal öffnet, ist nur eine

Option verfügbar:

SmartConnect

SmartConnect aktivieren

Die SmartConnect™-Funktion ist nur aktiviert, wenn dieses Kontrollkästchen aktiviert ist.

Sobald SmartConnect™ aktiviert ist, werden weitere Optionen angezeigt, um mehr Kontrolle über diese Funktion zu erlangen:

Self-Service Benutzerregistrierung

In diesem Dropdown-Menü kann die Benachrichtigungsart für die erfolgreiche Registrierung an den Benutzer ausgewählt werden. Drei

sich gegenseitig ausschließende Optionen (d. h. es können nicht mehrere zur gleichen Zeit ausgewählt werden) stehen zur Verfügung:

per SMS, per E-Mail und keine Benachrichtigung (deaktiviert). Je nach Auswahl sind zusätzliche Optionen verfügbar.

Deaktiviert: Es sind keine weiteren Optionen verfügbar. Es kann kein neuer Benutzer über SmartConnect™ erstellt werden.

Vorhandene SmartConnect™-Benutzer können jedoch navigieren und Tickets kaufen.

SMS: Die Aktivierung dieser Option erfordert die Verfügbarkeit von SMS-Paketen, die die Bestätigung an den Benutzer senden. Dies

kann unter System ‣ Ereignisbenachrichtigungen ‣ SMS-Benachrichtigungen bestätigt werden. Zusätzliche SMS-Pakete können in

der Panda Perimetral Management Console erworben werden. Folgende zusätzliche Optionen sind verfügbar:

Bestätigung der Telefonnummer wird nicht benötigt

Deaktivieren Sie die Anfrage, die Telefonnummer, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage

auf Smartphones erstellt wird.

Zugelassene Landesvorwahlen

Nur die Mobiltelefone, die zu den ausgewählten Ländern gehören, können sich für den SmartConnect™-Zugang registrieren. Um eine neue Ländervorwahl

hinzuzufügen, beginnen Sie den Ländernamen oder die Vorwahl in das Auswahlfenster über der Länderliste zu schreiben, bis der Name des Landes in dem

darunterliegenden Feld erscheint. Wählen Sie es aus, und klicken schließlich auf + rechts neben dem Namen des Landes. Zugelassene Länder werden im

rechten Feld angezeigt und können durch Klicken auf – abgewählt werden.

E-Mail: Es wird eine E-Mail mit den Zugangsdaten an die E-Mail-Adresse verschickt, die während der Registrierung angegeben

wurde. Ein Bestätigungslink ist ebenfalls enthalten. Dieser muss vom Benutzer angeklickt werden, um den Vorgang abzuschließen

und das Konto zu aktivieren. Diese Option erfordert einen Smarthost oder SMTP-Server.

Bestätigung der E-Mail Adresse wird nicht benötigt

Deaktivieren Sie die Anfrage, die E-Mail-Adresse, an welche die Bestätigung gesendet wird, zweimal zu schreiben. Diese Option ist hilfreich, wenn die Anfrage

auf Smartphones erstellt wird.

Tarif für die Verifizierung der E-Mail Adresse

Dieses Dropdown-Menü ermöglicht die Auswahl einer der verfügbaren Tarife, um einem Benutzer die Verbindung für kurze Zeit zu ermöglichen, damit er die

Bestätigungs-E-Mail erhalten und lesen kann.

Tipp

Die hier auswählbaren Tarife müssen als zeitbasiert und im Voraus bezahlt mit der Gültigkeit Ab der Ticketerstellung definiert werden und nicht für

SmartConnect™ aktiviert sein.

Mail Server

Dieses Dropdown-Menü ermöglicht die Auswahl des Smarthost, der eine E-Mail mit den Zugangsdaten senden soll. Folgende Optionen sind verfügbar:

Benutzerdefinierter Mail-Server, auf dem die URL eines angepassten Mail-Servers bereitgestellt werden kann, System-Smarthost und System-SMTP-Proxy.

Die darauffolgenden Optionen sind nur verfügbar, wenn ein Smarthost und ein SMTP-Proxy konfiguriert wurden, die auf dem Gerät ausgeführt werden.


Eine benutzerdefinierte E-Mail-Adresse, die als Absender der Bestätigungs-E-Mail angezeigt wird.

Eingabefelder für die Benutzererstellung

In diesem Auswahlfeld können Sie festlegen, welche die obligatorischen Kontoeigenschaften sein sollen, die während der

Registrierung bereitgestellt werden. Eigenschaften, die dem Benutzer angezeigt werden, werden in der rechten Spalte zusammen mit

der Kennzeichnung für erforderlich oder optional angezeigt. Die Gesamtzahl der optionalen oder erforderlichen Eigenschaften wird

oben links angezeigt.

Hinweis

Je nach Typ der Benutzerregistrierung gibt es einige Pflichtfelder, die nicht deaktiviert werden können. Wenn Registrierung per E-Mail

aktiviert ist, sind Benutzername, Passwort und E-Mail-Adresse erforderlich. Dahingegen ist für die Registrierung per SMS nur die

Telefonnummer erforderlich, die als Benutzername dient.

Gratis Tickets pro Konto limitieren

Die Anzahl von kostenlosen Tickets, die von jedem Konto verwendet werden kann. Die Standardeinstellung ist „unbegrenzt“,

das heißt, dass neue Tickets zu jedem Augenblick erworben werden können. Jedoch gibt es die Option „Zeitlimit", die es

Benutzern ermöglicht, ein neues kostenloses Ticket nur für diese Anzahl von Minuten zu erwerben.

Bezahlte Tickets aktivieren

Diese Option ermöglicht es Benutzern, mit PayPal oder einer Kreditkarte für Hotspot-Tickets zu zahlen. Wenn diese Option aktiviert ist,

kann ein PayPal-Konto konfiguriert werden, auf dem die Zahlungen gesammelt werden.

Warnung

Wenn diese Option aktiviert wird, während Benutzer mit dem Hotspot verbunden sind, werden sie zwangsweise abgemeldet.

Paypal-Sandbox aktivieren

Dieses Kontrollkästchen aktiviert oder deaktiviert die PayPal-Sandbox ausschließlich zu Test- und Demonstrationszwecken: Die

Verwendung der Sandbox erlaubt es, die Funktion der API-Integration zu überprüfen, ohne dass tatsächlich Transaktionen mit echtem

Geld ausgeführt werden.

PayPal API Benutzername

Der PayPal-API-Benutzername.

PayPal API Passwort

Das PayPal-API-Passwort.

PayPal API Signatur

Die PayPal-API-Signatur.

Hinweis

Um die SmartConnect™-Funktion des Panda Hotspots korrekt einzurichten und die Zahlungen der Kunden zu erhalten, ist es

notwendig, sich anzumelden und ein PayPal-Konto zu erstellen.

SmartLogin

Die SmartLogin-Funktion bietet den Hotspot-Benutzern einen bequemen Weg, um eine erneute Authentifizierung beim erneuten

Herstellen einer Verbindung mit dem Hotspot zu vermeiden. Mit anderen Worten: Wenn ein Benutzer den Browser schließt, muss er zu

einem späteren Zeitpunkt nur den gleichen Browser erneut öffnen, um einen sofortigen Zugriff auf das Internet zu erhalten, ohne sich

erneut authentifizieren zu müssen. Die SmartLogin-Funktion kann global für alle Hotspot-Benutzer oder einzeln für jeden Benutzer

aktiviert werden. Im letzteren Fall funktioniert SmartLogin für diese Benutzer, selbst wenn es nicht global aktiviert wurde, und kann im

Abschnitt Zugangsdaten des Konto-Editors aktiviert werden.

Folgende Optionen stehen zur Verfügung:

SmartLogin aktivieren

Aktivieren Sie das Kontrollkästchen, um SmartLogin für jeden Benutzer zu aktivieren.

SmartLogin Cookie Lebensdauer

Der Zeitraum in Tagen, innerhalb dessen der Benutzer die Möglichkeit hat, die SmartLogin-Funktion zu nutzen.

Erlaube Benutzern, das Löschen von SmartLogin Cookies beim Abmelden abzuschalten

Wenn diese Option aktiviert ist, wird im Anmeldeportal des Benutzers eine neue Option angezeigt (Automatische Anmeldung

deaktivieren), mit deren Verwendung die Funktion „SmartLogin“ aktiviert oder deaktiviert werden kann.

Tarif für die Verifizierung der E-Mail Adresse:

Um dem Benutzer das Lesen der Bestätigungs-E-Mail zu erlauben, sollte ihm ein schneller und kostenloser Zugriff auf das Internet

ermöglicht werden, damit er die Anmeldeinformationen für das neu erstellte Konto einsehen kann. Daher muss ein geeigneter Tarif mit

präzisen Eigenschaften mit dem Benutzerregistrierungsvorgang für SmartConnect™ verbunden sein. Wenn noch keine Tarife verfügbar

sind, beschreibt eine Nachricht die erforderlichen Optionen für dieses Ticket, das unter Ticket ‣ Tarife erstellt werden kann. Die

Tickettarife müssen im Voraus bezahlt, kostenlos, zeitbasiert und nicht für SmartConnect™ verfügbar sein. Darüber hinaus müssen sie

mit einem „Ab Ticketerstellung“-Gültigkeitswert definiert werden. Es wird empfohlen, diesen Wert auf wenige Minuten zu begrenzen, um

dem Benutzer darauf zu beschränken, nur seine Anmeldedaten zu empfangen.

Hilfe für die Tickettariferstellung finden Sie in der Online-Hilfe.

API

Dieser Abschnitt enthält die Einstellungen für die API des Panda Hotspots, welche die Integration des Hotspots der Panda

GateDefender-Appliance in ein bereits laufendes System ermöglicht. Abhängig vom ausgewählten Modus können verschiedene

Parameter festgelegt werden.

Modus

Version 2.5 der Panda GateDefender-Appliance bietet drei verschiedene API-Modi: Die Panda-eigene generische API/JSON-

Schnittstelle, die ASA jHotel-Schnittstelle und die pcs phoenix-Schnittstelle. Die ASA jHotel- und pcs-phoenix-Schnittstellen

sind nur für Hotels geeignet, welche die ASA jHotel- oder die pcs-phoenix-Hotelmanagement-Software nutzen, während die

generische API-Schnittstelle zur Interaktion mit anderer Software genutzt werden kann. Die drei zur Verfügung stehenden

Modi können nicht gemeinsam ausgewählt werden, d. h. sie können nur einzeln aktiviert werden. Wenn eine der drei

Schnittstellen aktiviert ist und eine andere wird aktiviert, dann ist immer die letztere aktiv, während die erste automatisch

deaktiviert wird.

Die anderen Optionen hängen vom ausgewählten Modus ab. Im Folgenden werden die Optionen für den ASA jHotel-Modus angezeigt.

ASA jHotel Schnittstelle aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die ASA jHotel-Schnittstelle aktiviert.

ASA jHotel URL

Die URL der Management-Oberfläche des ASA jHotels. Die Richtigkeit kann getestet werden, indem Sie auf die Schaltfläche Test

rechts neben dem Eingabefeld klicken.

Tipp

Ersetzen Sie in der angegebenen Beispiel-URL die Zeichenfolge IP_ADDRESS der ASA-Installation und den Namen des

Unternehmens (COMPANY).

Erlaube Gastregistrierung (Gastanmeldung / SmartConnect)

Durch Aktivieren dieses Kontrollkästchens können sich Gäste selbst registrieren.

Standard Tarif für Gastzugang

Wählen Sie aus dem Dropdown-Menü den Standardtarif aus, der auf die neuen Konten angewendet werden soll. Die

verfügbaren Tarife sollten bereits unter Ticket ‣ Tarife definiert worden sein.

Erlaube kostenpflichtige postpaid Tickets für Gäste, die nicht eingecheckt sind

Aktivieren Sie das Kontrollkästchen, um unangemeldeten Gästen das Erwerben von im Voraus zu bezahlenden Tickets zu ermöglichen.

Hotspot-Zugang mit der ASA jHotel-Management-Software:

Jeder Benutzer, der bereits ein Konto in der ASA jHotel-Management-Software besitzt, kann sich schnell mit dem Hotspot verbinden,

ohne ein Konto zu erstellen, vorausgesetzt, dass der Hotspot korrekt konfiguriert ist. Die erforderlichen Schritte am Hotspot sind:

1. Aktivieren Sie das Kontrollkästchen ASA jHotel-Schnittstelle aktiviert, und überprüfen Sie, ob der Hotspot auf die URL der

ASA jhotel-Schnittstelle zugreifen kann.

2. Erstellen Sie unter Ticket ‣ Tarife einen neuen, im Voraus zu bezahlenden Tarif. Verwenden Sie dabei den Ticket-Code und

die von ASA verwendete ID, und geben Sie dem Tarif einen eindeutigen Namen (z. B. „Mein-ASA“).

3. Gehen Sie zurück zu Einstellungen ‣ API, und wählen Sie den Modus ASA jHotel und als Standardtarif für Gästeregistrierung

den Tarifnamen, der im vorherigen Schritt erstellt wurde („my-ASA“).

Für die generische API/JSON-Schnittstelle und die pcs phoenix-Schnittstelle sind drei Optionen verfügbar:

API Aktiviert

Aktivieren Sie das Kontrollkästchen, um die API zu aktivieren.

Buchungs-URL

Der Hotspot sendet die Kontoinformationen an diese URL, um die Benutzerdaten zu überprüfen. Lassen Sie dieses Feld leer,

wenn der Hotspot keine Kontoinformationen senden soll.

Accounting URL benötigt Authentifizierung

Falls die vorher bereitgestellte URL eine HTTP-Authentifizierung erfordert, aktivieren Sie dieses Kontrollkästchen. Zwei neue

Textfelder werden angezeigt, um den Benutzernamen und das Passwort einzugeben.

Schließlich kann die API auf der speziellen Seite https://GREENIP:10443/admin/api/ geprüft werden, falls die generische API/JSON-

Schnittstelle ausgewählt wurde.

Sprache

Im Sprachbereich können alle sprachabhängigen Optionen eingestellt sowie alle Zeichenfolgen in den verschiedenen Sprachen und die

Portalvorlagen angepasst werden. Die Seite ist in zwei Bereiche unterteilt: Unterstützte Sprachen, Sprachen bearbeiten und abhängig

von der Auswahl für Bearbeiten in der Sandbox eine dritte Option.

Unterstützte Sprachen

Im ersten Feld können Sie festlegen, welche Sprachen im Hotspot unterstützt und den Benutzern zur Verfügung gestellt werden. Die

Sprachen müssen im Auswahlfeld ausgewählt und durch Klicken auf die Schaltfläche Speichern, gespeichert werden. Nur die hier

ausgewählten Sprachen stehen den Benutzern während der Registrierung und der Verbindung mit dem Portal zur Verfügung.

Sprachen bearbeiten

Im zweiten Bereich ist es möglich, eine der vier Portalvorlagen oder die Zeichenfolgen der Benutzeroberfläche für jede im

vorhergehenden Bereich aktivierte Sprache zu ändern. Um die Vorlagen und die Zeichenfolgen zu personalisieren, gibt es verschiedene

Variablen, die verwendet werden können. Wenn eine Nachricht an einen Benutzer, z. B. bei Verlust des Kontopassworts, gesendet

werden soll, wird jede Variable durch die im Hotspot gespeicherten Wert ersetzt.

Sprache

Die Sprache, für welche die Übersetzungen geändert oder hinzugefügt werden sollen. Die verfügbaren Optionen hängen

davon ab, welche Sprachen im Dropdown-Menü aktiviert wurden.

Bearbeiten

Das oder die zu bearbeitenden Objekte. Dies können entweder die Portalvorlagen oder die Portalzeichenfolgen sein.

Wenn Sie die Portalzeichenfolgen ändern möchten, wird der Editor durch eine Liste mit englischen Wörtern und Sätzen

ersetzt, die auf der grafischen Benutzeroberfläche des Hotspot und im Portal verwendet werden. Dabei besitzt jedes Wort

oder jeder Satz ein Eingabefeld, in das die Übersetzung der gewählten Sprache eingetragen werden kann. Bei der Wahl

der Portalvorlagen kann eine der Vorlagen in dem sich öffnenden Feld bearbeitet werden. Willkommensseite, Konto

drucken, Nutzungsbedingungen, Hilfe, E-Mail Inhalt und E-Mail Inhalt für verlorene Passwörter.

Weitere Informationen zum Anpassen des Portals finden Sie unter Hotspot-Anpassung unten.

Der Inhalt jeder Vorlage kann mithilfe des vollständig unterstützten WYSIWYG-Editors geändert und personalisiert werden.

Hotspot-Anpassung

Die Portalwebsite, die Benutzern beim ersten Herstellen einer Verbindung mit dem Hotspot angezeigt wird, kann auf verschiedene

Weisen angepasst werden: die Sprache des Portals, der Text auf den verschiedenen Seiten, die CSS, das Logo des Unternehmens, das

https://greenip:10443/admin/api/

den Hotspot unterhält, und der Name des Portals. Die letzte Einstellung kann nur über die Befehlszeilenschnittstelle konfiguriert werden,

während alle anderen Einstellungen über die Administrationsschnittstelle in Bereich Sprachen angepasst werden können (Hotspot ‣

Administrationsoberfläche ‣ Einstellungen ‣ Sprachen).

Verfügbare Sprachen:

Es stehen sechs Sprachen zur Auswahl, die standardmäßig aktiviert sind: en (Englisch, als Standard verwendet), de (Deutsch), it

(Italienisch), ja (Japanisch), es (Spanisch) und pt (Portugiesisch). Ein Benutzer, der eine Verbindung mit dem Portal herstellt, kann jede

Sprache anpassen. Es können weitere Sprachen vom Hotspot verwendet werden, indem Sie diese aus dem Mehrfachauswahlfeld

auswählen.

Vorlagen:

Dies sind die Vorlagen, die geändert werden können:

Willkommens-Seite

Die Seite, die Benutzern vor der Anmeldung angezeigt wird.

Konto drucken

Eine Willkommensnachricht wird den Benutzern nach ihrer Registrierung ausgedruckt und zusammen mit dem

Benutzernamen und dem Passwort übergeben. Diese Variablen können verwendet werden: $title, $firstname, $lastname,

$username und $password.

Nutzungsbedingungen

Sie werden dem Benutzer angezeigt, wenn der Link neben dem Kontrollkästchen für die AGB-Zustimmung angeklickt wird,

bevor die Anmeldung möglich ist.

Hilfe

Der Inhalt dieser Seite wird dem Benutzer als Hilfsnachricht angezeigt.

E-Mail Inhalt

Der Text, den die E-Mail mit den Anmeldeinformationen aus der Registrierung enthalten soll, wenn Registrierung per E-Mail

aktiviert wurde. Diese Variablen können verwendet werden: $hotspot_name, $activation_link, $rate_name, $username,

$password, $amount, $price, $currency und $txn_id.

E-Mail Inhalt für verlorene Passwörter

Der Text, den die E-Mail mit den Anmeldeinformationen enthalten soll, wenn der Benutzer diese verloren hat

und die Passwort-Wiederherstellung per E-Mail ausgewählt wurde. Diese Variablen können verwendet

werden: $username und $password.

Jede Vorlage kann für jede, im Hotspot verfügbare Sprache bearbeitet werden und die vordefinierten Variablen verwenden (siehe diese

Tabellen).

Text und Bilder:

Der Inhalt des Portals, egal ob Bilder oder Text, kann im Editor bearbeitet werden. Dort ist es auch möglich, benutzerdefinierte Bilder,

CSS-Vorlagen und andere Dateien hochzuladen. Öffnen Sie den Editor im Abschnitt Sprachen bearbeiten, wählen Sie den Eintrag

Portalvorlagen aus dem Dropdown-Menü neben Bearbeiten: aus, und wählen Sie anschließend die Vorlage aus dem Dropdown-Menü

mit der Bezeichnung Vorlage aus. Dabei stehen folgende Vorlagen zur Auswahl:

Willkommens-Seite: Die Seite, die allen Benutzern vor dem Herstellen einer Verbindung angezeigt wird.

Konto drucken: Das zu druckende Dokument mit den Zugangsdaten, das dem Benutzer übergeben wird.

Nutzungsbedingungen: Die Regeln, die Benutzer während der Verwendung des Hotspots einhalten müssen.

Hilfe: Die Seite, welche die Hilfe und Problembehandlung für den Benutzer enthält.

E-Mail Inhalt: Der Text der E-Mail, die dem Benutzer als Bestätigung für die erfolgreiche Kontoerstellung zugeschickt wird.

E-Mail Inhalt für verlorene Passwörter: Der Text der E-Mail, die dem Benutzer als Erinnerung der Zugangsdaten für den

Zugriff auf den Hotspot zugeschickt wird.

Im Editor können im unteren Bereich der Seite Dokumente mit Text und Bildern erstellt werden. Das Hinzufügen von Bildern und

benutzerdefinierten Dateien ist in der Tat sehr einfach: Setzen Sie den Cursor an den Punkt, an dem Sie ein Bild einfügen möchten, und

klicken Sie auf die Schaltfläche , um ein Popup-Fenster mit der Bezeichnung Bildeigenschaften zu öffnen. Auf der Registerkarte

Bildinfo haben Sie zwei Möglichkeiten, um ein Bild einzufügen:

1. Geben Sie einen Hyperlink zu einem Bild im Internet in das Textfeld URL ein.

2. Klicken Sie auf die Schaltfläche Server durchsuchen, um einen Datei-Browser zu öffnen, in dem Sie ein vorhandenes Bild auf

dem Server auswählen. Oder klicken Sie auf die Schaltfläche Datei auswählen am unteren Rand der Seite, um ein Bild von

der lokalen Arbeitsstation auszuwählen. Klicken Sie anschließend auf die Schaltfläche Hochladen.

Tipp

Die hochgeladenen Dateien werden auf der Panda GateDefender-Appliance im Verzeichnis

/home/httpd/html/userfiles/ gespeichert. Benutzerdefinierte Dateien können auch direkt hochgeladen werden,

z. B. über SSH an diesem Standort.

CSS:

Benutzerdefinierte CSS-Dateien können ebenfalls verwendet werden: Laden Sie sie auf die Panda GateDefender-Appliance hoch, wobei

Sie sie im Verzeichnis /home/httpd/html/userfiles speichern. Wie Bilddateien können sie mithilfe der Schaltfläche

oder über SSH hochgeladen werden. Die Datei muss folgenden Namen erhalten:

hotspotcustom.css; das für die Administrationsschnittstelle verwendete CSS erhält den Namen

portalcustom.css; und das für das Hotspot-Portal verwendete CSS erhält den Namen

miniportalcustom.css, das für das Hotspot-Miniportal verwendete CSS (d. h. JavaScript ist deaktiviert), das für mobile

Geräte bestimmt ist.

Tipp

Die Originale dieser Dateien befinden sich im Verzeichnis /home/httpd/html/include und tragen die Namen

„hotspot.css“, „portal.css“ bzw. „miniportal.css“. Sie können als Grundlage für die benutzerdefinierten Dateien verwendet werden.

Logo:

Das Logo, das dem Benutzer im Portal angezeigt wird, kann mithilfe der benutzerdefinierten CSS-Dateien portalcustom.css

oder miniportalcustom.css ersetzt werden. Laden Sie das Logo in das Verzeichnis

/home/httpd/html/userfiles hoch (eine Größe von ca. 80 × 20 ist zulässig), und ändern Sie anschließend die

CSS-Dateien wie folgt:

div.logo img { display: none; }

div.logo { background-image: url(‚images/ihr-logo.png'); }

Hotspot-Name:

Die Änderung des Domänennamens für das Portal muss manuell über die CLI erfolgen. Der Zugriff auf die Befehlszeilenschnittstelle zur

Panda GateDefender-Appliance kann unter Menüleiste ‣ System ‣ SSH Zugriff (siehe Abschnitt Zugriff auf die Panda GateDefender-

Appliance) aktiviert werden.

Warnung

Das manuelle Bearbeiten und Ändern einer Konfigurationsdatei in der CLI erfordert eine gewisse Vertrautheit mit der Panda

GateDefender-Appliance, da eine falsche Bearbeitung ein Anhalten des Dienstes zur Folge haben kann. Es sollte vorsichtig

vorgegangen werden, und es wird empfohlen, vor dem Bearbeiten eine Sicherungskopie der Datei zu speichern.

Bearbeiten Sie zum Ändern des Hostnamens und des Domänennamens des Hotspots die Datei

/var/efw/hotspot/settings mit Root-Rechten, z. B. mit dem installierten Editor nano, und suchen Sie die Zeilen, bei

denen es sich um eigentliche Variablendefinitionen handelt (die hier gezeigten Werte sind nur Beispiele):

HOTSPOT_HOSTNAME=hotspot

HOTSPOT_DOMAINNAME=beispiel.com

Ersetzen Sie die Werte auf der rechten Seite (hotspot und example.com) mit Ihren Werten.

Da die Verbindung zum Captive-Portal verschlüsselt ist, ist außerdem eine gültige SSL-Konfiguration notwendig, die Folgendes erfordert:

ein gültiges Zertifikat (d. h. kein selbstsigniertes Zertifikat)

eine private, unverschlüsselte Schlüsseldatei und

eine Datei mit der SSL-Schlüsselkette für das Zertifikat.

Diese Dateien können in einem beliebigen Verzeichnis erstellt werden, wobei die beste Vorgehensweise ist, diese Dateien auch nach

/var/efw/hotspot/ zu kopieren, um sicherzustellen, dass sie Teil jeder Konfiguration einer Sicherungskopie sind.

Nachdem alle Zertifikate erstellt wurden, müssen auch die Hotspot-Engine über deren Existenz informiert und die standardmäßigen

Zertifikatseinstellungen überschrieben werden. Bearbeiten Sie erneut die Datei /var/efw/hotspot/settings, und

fügen Sie die folgenden Variablen hinzu:

HOTSPOT_CERT=/<CUSTOM_PATH>/hotspot.example.com-cert.pem

HOTSPOT_KEY=/<CUSTOM_PATH>/hotspot.example.com-key.pem

HOTSPOT_CHAIN=/<CUSTOM_PATH>/hotspot.example.com-cabundle.pem

Denken Sie daran, <CUSTOM_PATH> durch den vollständigen Pfad der drei Zertifikate zu ersetzen.

Wenn keine Datei mit einer SSL-Schlüsselkette benötigt wird, kann ein leerer Wert als letzte Variable der oben genannten Konfiguration

verwendet werden, z. B.:

HOTSPOT_CHAIN=

Bedeutung der Variablen:

Dies ist eine vollständige Referenz für die Variablen, die bei der Anpassung der Hotspot-Portalvorlagen und -Zeichenketten verwendet

werden können. Die Variablen sind hilfreich, um maßgeschneiderte Nachrichten für jeden Benutzer zu erstellen: Wann immer eine dieser

Variablen in einer Vorlage steht, wird sie durch den entsprechenden Wert ersetzt, der für dieses Konto definiert ist. Die Variablen sind in

drei Tabellen gruppiert: Tabelle 1 enthält Variablen, die in allen Portalvorlagen verwendet werden können. Tabelle 2 enthält Variablen,

die nur in der Vorlage zum Drucken von Kontoinformationen verwendet werden können. Und Tabelle 3 enthält die in den

Portalzeichenfolgen verwendeten Variablen.

Tabelle 1: Variablen für alle Portalvorlagen:

Variable Ersetzt durch

$title Die Anrede des Kontoinhabers

$firstname Den Vornamen des Kontoinhabers

$lastname Den Nachnamen des Kontoinhabers

$username Den Benutzernamen für das Konto

$password Das Passwort des Kontos

$rate_name Den Namen des Hotspot-Tickettarifs

$amount Die Menge des verfügbaren Datenvolumens oder der verfügbaren Zeit

$price Den Preis des Tickets

$currency Die Währung, in der das Ticket bezahlt wurde

$txn_id Die ID der Transaktion

Die Variablen der folgenden Tabelle werden im Dokument mit den Kontoinformationen durch die Werte ersetzt, die in den

entsprechenden Feldern im Konto-Editor angegeben sind.

Tabelle 2: Variablen für die Portalvorlage Konto drucken:

Variable Ersetzt durch

$language Die Sprache des Benutzers

$birth_city Den Geburtsort des Benutzers

$birth_date Das Geburtsdatum des Benutzers

$document_type Das Identifikationsdokument des Benutzers

$document_party

$document_id Die ID des Dokuments

$street Die Straße, in welcher der Benutzer lebt

$country Das Land, in dem der Benutzer lebt

$city Die Stadt, in welcher der Benutzer lebt

$zip Die Postleitzahl des Wohnorts des Benutzers

$description Die Beschreibung des Kontos

$static_ip

$external_id

$phonenumber Die vom Benutzer angegebene Telefonnummer

$areacode

$email Die E-Mail-Adresse des Benutzers

Variablen für die Portalzeichenfolgen:

Variable Ersetzt durch [Zeichenfolgennr.]

%(recovery_freq)s Die Häufigkeit, wie oft ein neues Passwort wiederhergestellt werden kann [4]

%(phonenumber)s Die Telefonnummer des Benutzers [9 42]

%(transaction_id)s Die Transaktions-ID [9 11 28 31 37 42 44 105 121]

%(email)s Die E-Mail-Adresse des Benutzers [11 44 121]

%(grant_ticket_duration)s Die Anzahl der Minuten des kostenlosen Internetzugangs [44, 121]

%(seconds)s Die Anzahl von Sekunden, die ein Benutzer warten muss [55 113]

%(home)s Den Link zur Hotspot-Startseite [107]

Nur wenige Portalzeichenfolgen (14 von 123) enthalten Variablen. Für diese 14 Zeichenfolgen ist es erforderlich, dass jede Variable in

der ursprünglichen Zeichenfolge (z. B. Zeichenfolge #4 Sie können nur alle %(recovery_freq)s eine Anfrage stellen.) als auch in der

übersetzten Zeichenfolge enthalten ist.

Die Zeichenfolgen, die einige Variablen enthalten, sind die Folgenden:

4 %(recovery_freq)s

9, 42 %(phonenumber)s und %(transaction_id)s

11 %(email)s und %(transaction_id)s

28, 31, 37, 105, %(transaction_id)s

44, 121 %(grant_ticket_duration)s, %(email)s und %(transaction_id)s

55, 113 %(seconds)s

107 %(home)s

Hotspot-Benutzer

Dieser Bereich enthält eine Liste der Hotspot-Benutzer oder Hotspot-Superbenutzer, d. h. derjenigen, die verschiedene administrative

Aufgaben ausführen können, aufgeteilt in zwei Gruppen: Ein Hotspot-Administrator kann die Hotspot-Schnittstelle vollständig verwalten,

aber nicht auf das Hauptmenü der Panda GateDefender-Appliance zugreifen, während ein Hotspot-Konto-Editor nur Hotspot-

Benutzerkonten durch Angabe eines bestehenden Benutzernamens bearbeiten, aktivieren und deaktivieren kann. Daher hat ein

Administrator die Fähigkeiten eines Konto-Editors aber nicht andersherum.

Auf dieser Seite befindet sich eine Benutzerliste, welche die Namen, die zugehörige Gruppe und die für die Konten verfügbaren Aktionen

enthält. Es existiert ein geschütztes Standardadministratorkonto Hotspot, das nie gelöscht werden kann. Verfügbare Aktionen sind das

Bearbeiten und Löschen des Benutzerkontos. Durch Löschen wird der Benutzer von der Liste entfernt, während durch Bearbeiten ein

Benutzereditor geöffnet wird (siehe unten). Bei der Bearbeitung des Hotspot-Benutzers kann nur das Passwort geändert werden.

Der Name und die Gruppe sind unveränderbar.

Ein Administrator hat Zugriff auf die Seite https://GREENIP:10443/admin/ und alle darin enthaltenen Bereiche, die vollständig im

Abschnitt Hotspot dieses Handbuchs beschrieben werden. Ein Konto-Editor hat hingegen Zugriff auf die Editor-Seite als einfache

Webschnittstelle unter https://GREENIP:10443/admin/infoedit/, die nur begrenzte Informationen enthält. Hier kann der Konto-Editor einen

bestehenden Benutzernamen einfügen, dessen zugehörige Kontoinformationen geändert werden können.

Klicken Sie zum Hinzufügen eines Benutzers einfach oberhalb der Liste auf den Link Benutzer hinzufügen. Das Feld Benutzereditor

öffnet sich, in dem alle relevanten Daten für die Erstellung eines neuen Benutzers eingegeben werden können:

Benutzername

Der Benutzername des neuen Kontos.

Gruppe

Die Gruppe, welcher der neue Benutzer angehört. Im Dropdown-Menü können Sie zwischen den beiden verfügbaren

Gruppen auswählen: Hotspot-Konto-Editor und Hotspot-Administrator.

Passwort, Passwort (bestätigen)

Das Passwort für das Benutzerkonto muss zur Bestätigung zweimal eingegeben werden.

Benutzerzugriff auf den Hotspot

In diesem Abschnitt wird die Hotspot-Benutzeroberfläche beschrieben, die bei einer drahtlosen Verbindung zum Hotspot angezeigt wird.

Das Portaldarstellung und -einstellungen können vom Administrator unter Menüleiste ‣ Hotspot ‣ Administrationsinterface ‣

Einstellungen angepasst werden.

Um das Internet nutzen zu können, muss der Benutzer zuvor auf den Hotspot zugreifen und sich anmelden. Dafür ist keine

Softwareinstallation erforderlich. Es muss lediglich eine beliebige Webseite im Browser geöffnet werden: Der Browser führt eine

Weiterleitung zum Hotspot-Portal durch, wo sich der Benutzer anmelden, ein neues Hotspot-Konto erstellen bzw. sich direkt anmelden

und auf das Internet zugreifen kann. Der Hotspot bietet verschiedene Arten von Portalen. Abhängig vom verwendeten Gerät wird dem

Kunden das Portal für mobile Geräte, das Portal für Browser, die kein JavaScript verwenden, oder ein allgemeines Portal für alle anderen

Gerätetypen angezeigt.

Hinweis

Seit Version 2.5 muss sich der Benutzer nicht authentifizieren, wenn der Hotspot für den benutzerlosen Modus konfiguriert ist.

Die Anmeldeseite ist in zwei Abschnitte unterteilt: Auf der linken Seite kann die Sprache der Benutzeroberfläche aus einem Dropdown-

Menü ausgewählt werden. Außerdem wird eine informative Meldung angezeigt. Im rechten Abschnitt wird das Anmeldeformular

angezeigt, über das sich Benutzer anmelden, ein neues Konto erstellen oder ein neues Ticket erwerben können.

Es gibt zwei verschiedene Anmeldeformulare: Ein Formular für Gastbenutzer und ein Formular für registrierte Benutzer. Ersteres ist nur

verfügbar, wenn auf dem Hotspot das ASA-Programm ausgeführt wird. Es umfasst die folgenden Optionen:

Kein Gast

Durch Klicken auf diese Schaltfläche wird das Anmeldeformular für registrierte Benutzer mit den unten aufgeführten Optionen

angezeigt.

Nachname

Der Nachname des Gastbenutzers

Vorname

Der Vorname des Gastbenutzers

Geburtsdatum

Das Geburtsdatum des Gastbenutzers im Format DD.MM.JJJJ. (Beispiel: 5. Februar 1980 wird zu 05.02.1980).

Anmelden

Nach Eingabe der erforderlichen Daten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.

Auf dem Anmeldeformular für registrierte Benutzer werden folgende Optionen angezeigt:

Benutzername

Der Benutzername des Benutzers

Passwörter

Das Benutzerpasswort

Neues Konto registrieren

Nicht registrierte Benutzer können ein neues Konto erstellen, um auf das Internet zuzugreifen. Dies ist nur zulässig, wenn

SmartConnect™ auf dem Hotspot ausgeführt wird. Die einzelnen Schritte zum Einrichten eines neuen Kontos sind unten

beschrieben.

Neues Ticket

Der Benutzer kann ein Ticket erwerben. Dies ist erforderlich, um auf den Hotspot zugreifen zu können. Diese Option ist auch

verfügbar, wenn SmartConnect™ aktiviert ist.

Anmelden

Nach Eingabe der Zugangsdaten erhalten Sie durch Klicken auf diese Schaltfläche Zugriff auf den Hotspot.

Wenn der Hotspot so konfiguriert ist, dass die Nutzungsbedingungen akzeptiert werden müssen, klicken Sie auf die Schaltfläche

Anmelden, woraufhin ein Fenster angezeigt wird, das im unteren Bereich eine Schaltfläche enthält:

Ich akzeptiere die Nutzungsbedingungen

Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem die Nutzungsbedingungen angezeigt werden.

Neues Konto registrieren

Durch Klicken auf die Schaltfläche Neues Konto registrieren wird ein Assistent geöffnet, mit dem Sie in vier Schritten ein neues Hotspot-

Konto einrichten und aktivieren können. Im ersten Schritt wird das Benutzerkonto erstellt. Für eine erfolgreiche Erstellung müssen die

folgenden Daten angegeben werden:

Vorname, Nachname

Der Vor-und Nachname des Benutzers

Straße, Postleitzahl, Stadt, Land

Adresse, Postleitzahl, Stadt und das Land, in dem der Benutzer lebt.

Telefonnummer, unter welcher der Benutzername und das Passwort empfangen werden

Die Ländervorwahl der Benutzertelefonnummer, die aus dem Dropdown-Menü ausgewählt wird, gefolgt von der eigentlichen

Telefonnummer des Benutzers.

Telefonnummer bestätigen

Geben Sie die Telefonnummer zur Bestätigung erneut ein.

Es ist außerdem erforderlich, das Kontrollkästchen neben dem Link Ich akzeptiere die Nutzungsbedingungen zu aktivieren, um das

Konto zu erstellen. Durch Klicken auf diesen Link wird ein Fenster geöffnet, in dem Sie die Nutzungsbedingungen lesen können, bevor

Sie sie akzeptieren.

Wenn Sie alle Daten eingegeben haben, klicken Sie rechts unten im Formular auf die Schaltfläche Registrieren, wodurch Sie zum

zweiten Schritt gelangen. Nach der Registrierung erhalten Sie eine SMS mit Ihrem Benutzernamen und dem Passwort, das Sie zur

Authentifizierung für die Anmeldung am Hotspot benötigen.

Im zweiten Schritt können Sie aus einem Dropdown-Menü ein Ticket auswählen, das dem Konto zugewiesen wird und Ihnen die Nutzung

des Hotspots für einen Zugriff auf das Internet ermöglicht. Abhängig von der Einrichtung des Hotspots stehen nur kostenlose Tickets

oder Tickets zur Auswahl, die im Voraus bzw. im Nachhinein bezahlt werden müssen. Es werden jeweils der Name, die Dauer und die

Kosten für jedes verfügbare Ticket angezeigt. Damit diese Option funktionsfähig ist, muss SmartConnect™ im Hotspot aktiviert sein und

Zahlungen über PayPal müssen eingerichtet sein.

Klicken Sie nach der Auswahl eines Tickets auf die Schaltfläche Weiter, um mit dem dritten Schritt fortzufahren.

Hinweis

Es gibt keine Begrenzung für den Kauf von Tickets, die im Voraus oder im Nachhinein bezahlt werden. Es ist jedoch nicht zulässig, zeit-

und datenbasierte Tickets gleichzeitig zu verwenden. Mit anderen Worten: Ein Kunde, der ein oder mehrere gültige zeitbasierte Tickets

besitzt, kann datenbasierte Tickets erst dann erwerben, wenn sämtliche zeitbasierten Tickets, die dem entsprechenden Benutzerkonto

zugewiesen wurden, verwendet wurden bzw. abgelaufen sind. Dasselbe gilt für datenbasierte Tickets: Sämtliche Tickets müssen bereits

verwendet worden bzw. abgelaufen sein, bevor ein zeitbasiertes Ticket erworben werden kann.

Im dritten Schritt wird durch die Auswahl eines kostenpflichtigen Tickets die Website von PayPal geladen, auf der die erforderlichen

Daten für die Transaktion eingegeben und der Kauf per Kreditkarte oder über ein eigenes PayPal-Konto abgeschlossen werden kann.

Wenn hingegen ein kostenloses Ticket ausgewählt wurde, wird dieser Schritt übersprungen und mit dem vierten Schritt fortgefahren.

Im vierten Schritt wird eine Meldung zur erfolgreichen Registrierung angezeigt. Falls einzelne Schritte der Registrierung nicht

abgeschlossen werden konnten, wird hingegen eine Fehlermeldung angezeigt. In jedem Fall wird auch die Zeichenfolge Transaktions-

ID gemeldet. Bewahren Sie die Transaktions-ID als künftige Referenz auf. Sie wird auch benötigt, wenn während der Registrierung oder

bei einer Verbindungsherstellung Fehler auftreten. Im ersten Fall können Sie umgehend einen Hotspot-Administrator kontaktieren, um

die Registrierung abzuschließen und die Zugangsdaten zu erhalten.

Anmelden

Nach der Anmeldung mit Benutzernamen und Passwort wird auf der Seite ein Feld mit Informationen zum Verbindungsstatus angezeigt.

Diese Seite darf nicht geschlossen werden: Mit dem Schließen der Seite wird die Sitzung sofort beendet. In diesem Fall ist eine neue

Anmeldung erforderlich, um auf den Hotspot zugreifen zu können. Folgende Informationen werden auf der Seite angezeigt:

Verbleibende Zeit

Die Gesamtzeit, die noch zur Verfügung steht. Das Wort unbegrenzt wird angezeigt, wenn ein datenbasiertes Ticket

verwendet wird.

Sitzungsdauer

Die Dauer der aktuellen Sitzung

Verbleibender Datenverkehr

Die Menge des verfügbaren Datenverkehrs für das aktuelle Ticket, angegeben in MB oder GB. Das Wort unbegrenzt wird

angezeigt, wenn ein zeitbasiertes Ticket verwendet wird.

Sitzungsdatenverkehr

Die Menge der während des Surfens ausgetauschten Daten. Es werden die Gesamtmenge sowie die herunter- und

hochgeladen Datenmenge (in Klammern) angezeigt.

Menü „Hotspot“

171

Zeitüberschreitung im Leerlauf

Ein Countdown, der die Leerlaufzeit des Geräts anzeigt, d. h. die Zeit, die seit der letzten Aktivität zwischen dem Gerät und

dem Hotspot vergangen ist. Wenn der Countdown den Wert 0 erreicht, wird die Verbindung des Geräts automatisch getrennt.

Startzeit der Sitzung

Der Zeitstempel mit der Startzeit der aktuellen Sitzung

Automatische Anmeldung deaktivieren

Wenn das Kontrollkästchen aktiviert ist, muss sich der Benutzer ungeachtet der SmartLogin-Einstellungen bei einer neuen Verbindung

erneut authentifizieren. Wenn das Kontrollkästchen deaktiviert ist, besteht keine Notwendigkeit für den Benutzer, sich bei einer neuen

Verbindung mit dem Hotspot erneut zu authentifizieren.

Hinweis

Diese Option wird nur angezeigt, wenn die SmartLogin-Funktion durch den Hotspot-Administrator aktiviert wurde.

Unten im Bereich werden zwei Schaltflächen angezeigt.

Durchsuchen starten

Wenn Sie auf diese linke Schaltfläche klicken, wird im Browser eine neue Registerkarte geöffnet, über die Sie zur Homepage

des Hotspots gelangen.

Abmelden

Wenn Sie auf diese Schaltfläche klicken, werden Sie umgehend vom Hotspot abgemeldet.

Neues Ticket

Vor dem Zugriff auf den Hotspot und das Internet müssen Benutzer ein gültiges Ticket erwerben. Der Kauf eines Tickets entspricht dem

in Schritt 2 und Schritt 3 beschriebenen Vorgang der Registrierung.

urity SL. Zuletzt aktualisiert am 31. Januar 2014.

Menü „Protokolle und Berichte“ Menü „Protokolle und Berichte“

Im Protokollabschnitt der Panda GateDefender-Appliance können Protokolle umfangreich angezeigt und verwaltet werden.

Das Untermenü im linken Teil des Bildschirms enthält folgende Elemente:

Übersicht – das völlig neue Modul zur Berichterstattung

Live Protokolle – Sofortansicht der neuesten Protokolleinträge

Zusammenfassung – tägliche Zusammenfassung sämtlicher Protokolle

System – Systemprotokolle (/var/log/messages), gefiltert nach Quelle und Datum

Dienst – Protokolle aus dem Intrusion Detection System (IDS), OpenVPN und Antivirus

Firewall – Protokolle von iptables-Regeln

Proxy – HTTP-/SMTP-Protokolle und Protokolle aus Proxys mit Inhaltsfilterung

Einstellungen – Anpassung aller Protokolloptionen

Gesicherte Zeitstempel – Protokolldateien mit einem Zeitstempel versehen, um Änderungen festzustellen

Es gibt zwei Möglichkeiten, um über die GUI auf Protokolle zuzugreifen: Live und „dienstabhängig“: Im Live-Modus werden die

Protokolldateien direkt nach ihrer Erstellung angezeigt. Im dienstabhängigen Modus werden nur die Protokolle angezeigt, die von einem

bestimmten Daemon oder Dienst erzeugt werden.

Übersicht

Die GUI zu Berichterstattung ist ein neues Modul, das mit Version 5.50 eingeführt wird, und dessen Zweck es ist, verschiedene Typen

von Ereignissen im System grafisch darzustellen.

Kurz gesagt: Das Modul zur Berichterstattung zeigt Ereignisse auf der Panda GateDefender-Appliance mithilfe verschiedener Widgets

und Diagramme an. Alle im System stattfindenden Ereignisse und die zugehörigen vom syslog-Daemon aufgezeichneten Informationen

werden geparst und verwendet, um eine sqlite3-Datenbank aufzufüllen. Hier werden entsprechend den in der GUI angewendeten

Optionen und Filtern Daten gesammelt und mithilfe der Widgets angezeigt.

Hinweis

Dieses Modul ist locker mit Ereignisbenachrichtigungen unter System ‣ Menüleiste ‣ Ereignisbenachrichtigungen verbunden. Alle dort

aufgezeichneten Ereignisse und Ereignisse, für die E-Mail- oder SMS-Benachrichtigungen gesendet werden, sind ebenfalls hier

ausgeführt. Umgekehrt gilt dies jedoch nicht.

Diese Seite ist in sechs Registerkarten unterteilt: Zusammenfassung, System, Web, Spam, Angriffe und Virus. Außer der ersten

Registerkarte, die eine Zusammenfassung aller Ereignisse enthält, ist jede für einen bestimmten auf der Panda GateDefender-Appliance

ausgeführten Dienst gedacht.

Gemeinsame Elemente

Alle Registerkarten sind gleich aufgebaut: Unterhalb der Registerkarten befindet sich auf der linken Seite ein Element zur Datenauswahl

und auf der rechten Seite die Schaltfläche Drucken. Außerdem sind ein Liniendiagramm mit einem horizontalen Schieberegler rechts

unterhalb und oberhalb von informativen Felder (Summary Grid) und ein Kreisdiagramm vorhanden. Am unteren Ende befinden sich eine

oder mehrere Tabellen, abhängig von der angezeigten Registerkarte und den Daten. Die Tabelle, welche die mit den angezeigten

Ereignissen verbundenen syslog-Nachrichten enthält, wird immer angezeigt.

Es folgt eine detaillierte Beschreibung der vorhandenen Widgets im Modul zur Berichterstattung.

Datum auswählen

Auf der linken Seite der Benutzeroberfläche befindet sich ein Hyperlink, der den Zeitraum anzeigt, in dem die für die

Diagramme ausgewählten Ereignisse aufgetreten sind. Durch Klicken auf diesen Link können Sie einem kleinen Bereich die

Zeiträume ändern. Es gibt zwei Arten von Auswahlen: letzte ... Tage betrifft Ereignisse, die innerhalb des/der letzten Tages,

Woche, Monats, Quartals oder Jahres stattgefunden haben. Im zweiten Fall werden alle Ereignisse ausgewählt, die in einem

der letzten 12 Monate aufgetreten sind. Nach Auswahl eines neuen Zeitraums werden die anderen Widgets ebenfalls

aktualisiert. Durch Klicken auf Abbrechen wird der angezeigte Zeitraum nicht geändert.

Drucken

Durch Klicken auf diese Schaltfläche wird eine Druckvorschau der aktuellen Seite angezeigt, in der die Schaltfläche Drucken

durch Zurück ersetzt ist. Außerdem wird ein Pop-up-Fenster geöffnet, in dem der Drucker ausgewählt werden kann.

Liniendiagramm und Zeitschieberegler:

Das Liniendiagramm zeigt das Ereignis zweidimensional an, das während des ausgewählten Zeitraums in der Panda GateDefender-

Appliance aufgetreten ist. Die x-Achse entspricht dabei dem Zeitraum und die y-Achse zeigt die Anzahl der Vorkommnisse. Eine farbige

Linie verbindet Ereignisse desselben Typs.

Tipp

Unterschiedliche Ereignistypen sind verschiedenfarbig dargestellt.

Der Zeitschieberegler unterhalb des Diagramms ermöglicht es, innerhalb des ausgewählten Zeitraums eine feinere Ansicht der hier als

Histogramme dargestellten Ereignisse anzuzeigen. Die beiden grauen Ziehpunkte auf der linken und rechten Seite des Schiebereglers

können angeklickt und gezogen werden, um den im Liniendiagramm angezeigten Zeitraum zu verkleinern. Bei Verkleinerung kann der

Schieberegler auch bewegt werden, indem auf die Mitte geklickt wird und diese nach links oder rechts gezogen wird.

Summary Grid

Das Summary Grid erfüllt zwei Zwecke: Es dient zum einen die Anzeige der Vorkommnisse der unterschiedlichen Ereignistypen, die auf

der Panda GateDefender-Appliance im ausgewählten Zeitraum aufgetreten sind und zum anderen der Filterung der Ereignistypen, die im

Liniendiagramm angezeigt werden. Der Inhalt ändert sich entsprechend der Registerkarte, auf der es sich befindet, d. h. entsprechend

den protokollierten Ereignistypen. Das Summary Grid ist nicht auf den Registerkarten Mail, Angriffe und Virus vorhanden, da es dort

durch Tabellen mit Details zu den Ereignissen ersetzt wird.

Tortendiagramm

Das Kreisdiagramm zeigt grafisch die Anzahl der Ereignisse an, die im ausgewählten Zeitraum aufgetreten sind. Auf der Registerkarte

Zusammenfassung kann jedes Segment angeklickt werden, um die entsprechende Registerkarte zu öffnen und eine detailliertere

Darstellung anzuzeigen.

Syslog-Tabelle

Eine Tabelle, welche die syslog-Nachrichten anzeigt, die aus den Protokolldateien extrahiert wurden und mit den in den Diagrammen

angezeigten Ereignissen verbunden sind. Wenn die Tabelle viele Nachrichten enthält, werden diese auf mehrere Seiten aufgeteilt, die

mithilfe der Schaltflächen und Zahlen am unteren linken Rand durchsucht werden können. Am unteren rechten Rand befindet sich ein

Symbol, das den Tabelleninhalt aktualisiert.

Zusammenfassung

Die Registerkarte Zusammenfassung bietet eine Übersicht aller Ereigniskategorien, die in der Panda GateDefender-Appliance

aufgezeichnet wurden. Das Summary Grid ermöglicht das Filtern nach folgenden Ereignistypen:

System (Grün): Anzahl der Anmeldungen und andere Ereignisse, die mit Systemverwaltungsaufgaben verbunden sind

(Änderungen des Uplink-Status, Start und Stopp der Protokollierung usw.)

E-Mail (Dunkelgrau): Anzahl empfangener Spam-E-Mails

Web (Blau): Anzahl der vom Inhaltsfilter blockierten Seiten

Virus (Rot): Anzahl gefundener Viren

Einbruchsversuche (Gelb): Vom IPS aufgezeichnete Ereignisse

Jede Kategorie kann mit mehr Informationen und einer höheren Detailebene auf den anderen Registerkarten der Seite angezeigt werden.

Siehe folgender Abschnitt.

System

Die Registerkarte System enthält alle Ereignisse, die mit der Systemeffizienz und der Systemverwaltung zusammenhängen. Die

folgenden Ereignisse werden angezeigt:

Uplink (Rot): Die Zeiten, zu denen der/die Uplink/s online oder offline gegangen sind.

Status (Dunkelgrau): Änderungen im Status der Panda GateDefender-Appliance.

Anmeldung (Blau): Die Anzahl erfolgreicher und fehlgeschlagener Anmeldungen.

Laufwerk (Gelb): Ereignisse zum Lesen und Schreiben auf dem Laufwerk.

Upgrade (Grün): Ereignisse, die sich auf ein Upgrade des Systems oder von Paketen beziehen.

Support (Hellgrau): Anzahl der vom Supportteam durchgeführten Zugriffe und Operationen.

Durch Klicken auf das kleine Symbol auf der linken Seite jeder Ereigniskategorie werden die anderen Kategorien ausgeblendet, während

die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.

Web

Die Registerkarte Web zeigt die Anzahl der Seiten, die durch die URL-Filterengine blockiert wurden. Das Summary Grid besteht aus zwei

Registerkarten: Zugriffsprotokoll und Filterprotokoll. Ersteres zeigt die blockierte URL unterteilt nach Quell-IP-Adresse, URL und

Benutzer, die blockiert wurden, sowie die Gesamtzahl für jedes Element jeweils in einer Tabelle.

Die zweite Registerkarte zeigt in der ersten Tabelle die folgenden Kategorien, die im Webfilter verfügbar sind ( Siehe Menüleiste ‣ Proxy

‣ HTTP ‣ Webfilter).

Allgemeine Verwendung (Grün)

Kindersicherung (Gelb)

Produktivität (Blau)

Sicherheit (Rot)

Nicht kategorisierte Websites (Dunkelgrau)

Wie auf der Registerkarte System das kleine Symbol auf der linken Seite jeder Ereigniskategorie die anderen Kategorien aus, während

die aktuelle Kategorie detaillierter angezeigt und das Kreisdiagramm aktualisiert wird.

Die anderen Tabellen am unteren Rand zeigen die Zähler für jedes der blockierten Objekte an: die Quell-IP-Adressen, die URLs und die

Benutzer.

E-Mail

Die Registerkarte E-Mail zeigt alle als Spam blockierten E-Mails an.

Es gibt kein Summary Grid auf dieser Registerkarte. Stattdessen befinden sich dort drei Tabellen mit Zählern für:

Von: den/die Absender der Spam-E-Mails

An: der/die Empfänger der Spam-E-Mails

Quell-IP-Adresse: die IP-Adresse, von der aus die Spam-E-Mail versendet wurde.

Einbruchsversuche

Die Registerkarte Einbruchsversuche zeigt alle vom IPS erkannten versuchten Einbrüche (siehe Menüleiste ‣ Dienste ‣

Einbruchsversuche).

Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:

Einbruchsversuche: die Kategorie, in die der jeweilige Versuch fällt,

Quell-IP-Adresse: die IP-Adresse, von welcher der Angriff ausging,

die Ziel-IP-Adresse, die IP-Adresse, auf die ein Angriff gestartet wurde.

Viren

Die Registerkarte Viren zeigt alle von der Anti-Virus-Engine abgefangenen Viren (siehe Menüleiste ‣ Dienste ‣ Antivirus Engine).

Die Tabellen am unteren Rand zeigen Zähler für die folgenden Informationen:

Name des Virus: den Namen des gefundenen Virus,

Quell-IP-Adresse: die IP-Adresse, unter der sich der Virus ursprünglich befand,

die Ziel-IP-Adresse, die IP-Adresse, zu welcher der Virus geleitet wurde.

Verbindungen

Die Registerkarte Verbindungen zeigt die durchschnittliche Anzahl von Verbindungen, die von Benutzern auf der Panda GateDefender-

Appliance gestartet wurden, gruppiert nach:

lokalen Verbindungen, Zugriffen über SSH oder die Konsole,

Hotspot-Benutzer: Benutzern, die auf den Hotspot zugreifen,

IPsec-Benutzern, Clients, die über IPsec verbunden sind,

OpenVPN-Benutzern und Clients, die über VPN verbunden sind.

Netzwerkmonitoring

Die ntopng-Software ist der Nachfolger des Analysators für den ntop-Netzwerkdatenverkehr. Sie bietet eine intuitivere

Benutzeroberfläche und mehr grafische Darstellungen des Datenverkehrs in der Panda GateDefender-Appliance.

Die Verwaltungsoberfläche von ntopng bietet nun mehr Benutzerfreundlichkeit und einen leichteren Zugriff von jedem Browser aus,

wodurch sie fester mit der Panda GateDefender-Appliance verbunden ist als in vorherigen Versionen.

Kurzgesagt bietet ntopng folgende Funktionen:

Echtzeitüberwachung jeder Netzwerkschnittstelle der Panda GateDefender-Appliance

Verwaltungsoberfläche mit Zugriff aus dem Internet

Ressourcensparender als ntop

Integration von nDPI (Anwendungsfirewall)

Datenverkehrsanalyse nach verschiedenen Parametern (Protokoll, Quelle/Ziel)

Export von Berichten in JSON-Format

Speicher für Statistiken zum Datenverkehr auf dem Laufwerk

Die GUI von ntopng ist in vier Registerkarten aufgeteilt: Übersicht, Datenströme, Hosts und Schnittstellen. Darüber hinaus gibt es ein

Suchfeld zur schnellen Anzeige von Informationen zu einem gegebenen Host.

In der Fußzeile jeder Registerkarte werden einige Informationen angezeigt: Neben einem Urheberrechtshinweis und einem Link zur

Homepage von ntop ist ein Diagramm vorhanden, das den Netzwerkverkehr der letzten 20 Sekunden in Echtzeit anzeigt, sowie einige

numerische Daten zur momentan verbrauchten Bandbreite, der Anzahl der Hosts und Datenströme sowie der Betriebszeit der Panda

GateDefender-Appliance.

Übersicht

Die Übersicht zeigt alle für die Panda GateDefender-Appliance relevanten Verbindungen an. Dies sind alle hergestellten Datenströme, in

welche die Panda GateDefender-Appliance involviert ist.

Die Seite ist unterteilt in verschiedene Diagramme, wobei das erste ein so genanntes Sankey-Diagramm ist, das alle Datenströme

anzeigt, die sich auf der Panda GateDefender-Appliance bewegen, und in Echtzeit aktualisiert wird. Die horizontalen Datenströme zeigen

den Datenverkehr zwischen zwei Hosts, während die vertikale Breite jedes Datenstroms proportional zur durch diesen Datenstrom

verbrauchten Bandbreite ist, d. h. der Menge an strömenden Daten. Die Verbindungen – und damit auch die Richtung der gesendeten

Daten – werden von links nach rechts angezeigt: Hosts auf der linken Seite des Diagramms senden Daten an Hosts auf der rechten

Seite, und werden entweder über die IP-Adresse oder den Hostnamen identifiziert. Durch Klicken auf einen Host wird die Seite Übersicht

auf der Registerkarte Hosts geöffnet, die verschiedene Informationen über diesen Host anzeigt.

Unterhalb des Sankey-Diagramms befinden sich vier rein informative Kreisdiagramme, die den Prozentsatz der Elemente anzeigen, die

den meisten Datenverkehr generieren. Sie sind unterteilt in: Gesamt nach Host (oben links), Anwendungsprotokolle (oben rechts), ASNs

(unten links) und Live-Datenstromsender (unten rechts).

Datenströme

Die Registerkarte zu aktiven Datenströmen enthält eine große Tabelle mit verschiedenen Informationen über die aktiven Datenströme:

Info: Durch Klicken auf das Symbol wird eine neue Seite geöffnet, auf der detailliertere Informationen über diesen Datenstrom

angezeigt werden.

Anwendung: Die den Datenstrom verursachende Anwendung. Zur Erkennung wird nDPI verwendet. Es kann daher notwendig sein,

den Austausch einiger Pakete abzuwarten, damit die korrekte Anwendung angezeigt wird: In diesem Fall wird die Nachricht (Zu früh)

anstelle des Namens der Anwendung angezeigt.

L4 Proto: Das vom Datenstrom verwendete Protokoll, das in der Regel TCP oder UDP ist.

Kunde: Der Hostname und Port, der vom Datenstrom auf der Client-Seite verwendet wird. Durch Klicken auf den Hostnamen oder den

Port werden auf einer neuen Seite weitere Informationen über den Netzwerkverkehr auf dem Host oder Port angezeigt.

Server: Der Hostname und Port der vom Datenstrom auf der Serverseite verwendet wird. Wie beim Client werden weitere

Informationen angezeigt, wenn Sie auf den Hostnamen oder Port klicken.

Tipp

Durch Klicken auf den Hostnamen oder den Port zeigt die Tabelle detaillierte Informationen und es wird eine Unterregisterkarte auf der

Registerkarte Hosts geöffnet.

Dauer: Die Dauer der Verbindung.

Aufschlüsselung: Der prozentuale Wert des Datenverkehrs, der vom Client und Server generiert wird.

Durchsatz: Die Datenmenge, die momentan zwischen Client (links in schwarz) und Server (rechts in grün) ausgetauscht wird.

Gesamtanzahl Bytes: Die gesamte Datenmenge, die seit Verbindungsherstellung ausgetauscht wurde.

Am unteren Rand der Tabelle wird links die Gesamtanzahl der Zeilen angezeigt, während es auf der rechten Seite möglich ist, die

verschiedenen Seiten zu durchsuchen, in welche die Tabelle unterteilt wird. Dies gilt, wenn die Anzahl der Zeilen größer als der

Seitenumbruch ist.

Durch Klicken auf das Symbol Info werden detaillierte Informationen zu einem bestimmten Datenstrom angezeigt. Neben den bereits

beschriebenen Daten werden außerdem folgende angezeigt.

Erste Sichtung: Der Zeitstempel zur Verbindungsherstellung zusammen mit der seit dem vergangenen Zeit

Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit

Client-zu-Server-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden

Server-zu-Client-Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden

http://bost.ocks.org/mike/sankey/

TCP-Flags: Die TCP-Zustände des aktuellen Datenstroms

Durch Klicken auf den Hyperlink Datenströme links oberhalb der Tabelle wird die erste Liste der Datenströme erneut aufgerufen.

Hosts

Die Registerkarte Hosts ermöglicht es, verschiedene Details über die involvierten Teilnehmer eines Datenstroms anzuzeigen: Host, Port,

Anwendung, Datenströme und deren Dauer, Datenaustausch usw.

Es gibt zwei mögliche Darstellungen: Hostliste und Top-Hosts (lokal)

Die Darstellung Hostliste zeigt Informationen über alle Hosts, die in einem Datenstrom mit der Panda GateDefender-Appliance involviert

sind, sowie die folgenden Daten darüber:

IP-Adresse: die IP- oder MAC-Adresse des Hosts. Letztere wird angezeigt, wenn der DHCP-Lease für diesen Host

abgelaufen ist.

Standort: ob sich der Host im lokalen oder einem Remote-Netzwerk befindet.

Symbolischer Name: Falls verfügbar, ist dies der Name des Hosts.

Erste Sichtung: Der Zeitstempel der ersten Verbindungsherstellung

ASN:

Aufschlüsselung: Das Verhältnis zwischen ein- und ausgehendem Datenverkehr

Datenverkehr: Die vom Host ausgetauschte Datenmenge.

Durch Klicken auf die IP-Adresse öffnet sich eine Host-Übersicht, die neben den bereits erwähnten Informationen weitere Details zum

Host anzeigt:

Zuletzt verbunden: Der Zeitstempel zur letzten Aktivierung der Verbindung zusammen mit der seit dem vergangenen Zeit

Aufschlüsselung für gesendeten und empfangenen Datenverkehr Der durch den Host generierte oder empfangene

Datenverkehr

Gesendeter Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Client zum Server gesendet wurden

Empfangener Datenverkehr: Die Anzahl der Pakete und Bytes, die vom Server zum Client gesendet wurden

JSON: Download-Informationen über den Host im JSON-Format.

Aktivitätszuordnung: Anzahl der gesichteten Datenströme, in die der Host zu einem gegebenen Zeitstempel involviert war.

Jedes Quadrat zeigt eine Minute, wobei eine dunklere Farbe mehr Datenströmen in dieser Minute entspricht.

Von hier aus können außerdem weitere informative Registerkarten über diesen Host geöffnet werden. Jede Registerkarte enthält eines

oder mehrere Kreisdiagramme (bis auf die Registerkarten Kontakte und Verlauf) über einem Zusammenfassungstext der angezeigten

Daten.

Datenverkehr: Das vom Host verwendete Netzwerkprotokoll (im Allgemeinen TCP, UDP und ICMP).

Pakete: Die Länge in Paketen für jeden Datenstrom (Hinweis: Nur meine Vermutung).

Protokolle: Das vom Host verwendete Anwendungsprotokoll

Datenströme: Die Tabelle mit allen Netzwerkströmen der Hosts

Sender: Das Sankey-Diagramm der Verbindungen. Dieses ist dem in der Übersicht sehr ähnlich, wobei dieses nur die aktivsten

Datenströme anzeigt.

Kontakte: Diese Registerkarte unterscheidet sich leicht von den anderen. Am oberen Rand wird eine Interaktionsübersicht und am

unteren Rand eine Liste der Verbindungen angezeigt, die den Host als Client oder Empfänger haben.

Verlauf: Ein interaktives Diagramm zeigt den Verlauf des

Datenverkehrs vom und zum Host innerhalb eines gegebenen Zeitraums (bis zu einem Jahr), der oberhalb des Diagramms ausgewählt werden

kann.

Die Darstellung Top-Hosts (lokal) zeigt eine Echtzeitgrafik der Hosts, die aktive Verbindungen zum Host besitzen. Es werden die letzten

30 Minuten angezeigt.

Schnittstellen

Die Registerkarte Schnittstellen ermöglicht es, aus den aktiven Netzwerkschnittstellen diejenige auszuwählen, deren Datenverkehr

überwacht werden soll.

Hinweis

Es ist momentan nicht möglich, Datenströme und/oder Hosts von verschiedenen Schnittstellen auszuwählen.

Live

Beim Aufrufen des Abschnitts Protokolle oder durch Klicken auf den Eintrag Live im Untermenü wird die Live Protokollanzeige angezeigt.

Dort werden sämtliche Protokolldateien aufgelistet, die für die Echtzeitansicht zur Verfügung stehen. Sie können beliebig viele Protokolle

durch Aktivieren der entsprechenden Kontrollkästchen zur Ansicht auswählen. Die Protokolle werden nach Betätigen der Schaltfläche

Ausgewählte Protokolle anzeigen in einem neuen Fenster angezeigt. Um alle Protokolle gleichzeitig anzuzeigen, aktivieren Sie das

Kontrollkästchen Alle auswählen direkt über der Schaltfläche Ausgewählte Protokolle anzeigen, und klicken Sie anschließend auf die

letztgenannte Schaltfläche. Wenn Sie nur eine einzige Protokolldatei anzeigen möchten, klicken Sie einfach auf den Link Nur dieses

Protokoll anzeigen.

Das nun angezeigte Fenster enthält zwei Felder – oben das Feld Einstellungen, unten das Feld Live Protokolle.

Warnung

Bei einer sehr hohen Zahl an Protokolleinträgen kann die Protokollliste bei gleichzeitiger Anzeige mehrerer Protokolle äußerst

unübersichtlich werden (insbesondere bei der Firewall- oder Proxy-Protokollierung, bei der mehrere Protokolleinträge pro Sekunde

erzeugt werden können). In solchen Fällen können Sie die Protokolle, die Sie anzeigen möchten, im Feld Einstellungen konfigurieren.

Einstellungen

In diesem Feld können Sie die Einstellungen der Protokollanzeige ändern. Sie können festlegen, welche Protokolldateien angezeigt

werden sollen sowie Farbgebung und Hervorhebungsoptionen ändern. Außerdem können Sie nach bestimmten Schlüsselwörtern

suchen.

Rechts im Feld werden die Liste der derzeit dargestellten Protokolle sowie die jeweilige farbliche Markierung angezeigt. Links im Feld

werden einige zusätzliche Steuerelemente angezeigt, mit denen Sie die Ausgabe einschränken können:

Filter

Es werden nur die Protokolleinträge angezeigt, die den festgelegten Ausdruck enthalten.

Zusätzliche Filter

Funktion siehe oben; allerdings wird dieser Filter auf die Ausgabe des ersten Filters angewandt. Anders ausgedrückt: Es

werden nur Protokolleinträge angezeigt, die beide Ausdrücke enthalten.

Ausgabe aussetzen

Durch Betätigen dieser Schaltfläche werden neue Protokolleinträge nicht im Live-Protokoll angezeigt. Nach erneutem

Betätigen der Schaltfläche werden alle neuen Einträge gleichzeitig angezeigt. Die älteren Einträge werden dabei schnell

durchlaufen.

Hervorhebung

Sämtliche Protokolleinträge, die diesen Ausdruck enthalten, werden durch einen ausgewählten Farbton hervorgehoben. Der

Unterschied zur Filteroption besteht darin, dass auch weiterhin sämtliche Inhalte angezeigt werden und die Protokolleinträge,

die den betreffenden Ausdruck enthalten, zusätzlich farblich hervorgehoben werden.

Farbe für Hervorhebungen

Durch Klicken auf das farbige Quadrat kann der zur Hervorhebung zu verwendende Farbton ausgewählt werden.

Automatisch scrollen

Diese Option steht nur zur Verfügung, wenn die Option In umgekehrter chronologischer Reihenfolge sortieren im Abschnitt

Menüleiste ‣ Protokolle ‣ Einstellungen deaktiviert ist. Dadurch werden alle neuen Einträge unten auf der Seite angezeigt:

Wenn diese Option aktiviert ist, wird die Liste nach oben gescrollt, um die neuesten Einträge am Ende der Seite anzuzeigen.

Anderenfalls werden nur die älteren Einträge angezeigt, und die Bildlaufleiste auf der rechten Seite muss zur Ansicht der

neuen Protokolleinträge verwendet werden.

Um Protokolle zur Ansicht hinzuzufügen oder von der Ansicht zu entfernen, klicken Sie auf den Link Mehr anzeigen direkt unter der Liste

mit den Protokolldateien (rechts oben). Die Steuerelemente werden durch eine Tabelle ersetzt, in der Sie die gewünschten

Protokolldateien durch Aktivieren bzw. Deaktivieren der entsprechenden Kontrollkästchen auswählen können. Um die Farbe einer

Protokolldatei zu ändern, klicken Sie für den entsprechenden Protokolltypen auf Farbpalette und wählen Sie die gewünschte Farbe aus.

Um die Steuerelemente wieder anzuzeigen, klicken Sie auf einen der Links Schließen unter der Tabelle bzw. unter der Liste der

angezeigten Protokolldateien.

Live Protokolle

Die zur Ansicht ausgewählten Protokolle werden in diesem Feld angezeigt, das eine Tabelle mit drei Spalten enthält.

Linke Spalte

Diese Spalte enthält den Protokollnamen, d. h. den Namen des Daemons bzw. Dienstes, der den Protokolleintrag erzeugt.

Mittlere Spalte

Der Zeitstempel (Datum und Uhrzeit) des aufgezeichneten Ereignisses.

Rechte Spalte

Die vom Dienst bzw. Daemon erstellte und in den Protokolldateien erfasste Meldung.

Hinweis

Einige Protokollnachrichten – besonders Firewall-Einträge – umfassen mehr als eine Zeile, was durch die Schaltfläche rechts neben

der Nachricht angezeigt wird. Klicken Sie auf diese Schaltfläche, um die gesamte Nachricht anzuzeigen.

Schließlich können Sie auch das Fenster vergrößern bzw. verkleinern, indem Sie auf die Schaltflächen Fensterhöhe vergrößern bzw.

Fensterhöhe reduzieren klicken, die sich in der Feldüberschrift befinden.

Gemeinsame Aktionen

In den Untermenüeinträgen System, Dienst, Firewall und Proxy werden Protokolldateien verschiedener Dienste und Daemons angezeigt,

die nach ähnlichen Merkmalen gruppiert sind. Es stehen verschiedene Steuerelemente zur Verfügung, mit denen Protokolle durchsucht

bzw. einzelne Protokolleinträge angezeigt werden können. Viele Steuerelemente sind für alle Dienste und Daemons identisch. Nur beim

Menüelement System und der Registerkarte HTTP Report unter Proxy stehen zusätzliche Steuerelemente zur Verfügung. Die Seiten der

Untermenüeinträge sind in gleicher Art und Weise in zwei Felder gegliedert: oben das Feld Einstellungen, unten das Feld Protokoll.

Filter

Es werden nur die Zeilen angezeigt, die den festgelegten Ausdruck enthalten.

Gehe zu Datum

Protokolleinträge ab dem angegebenen Datum werden angezeigt.

Gehe zur Seite

Protokolleinträge von dieser Seite werden direkt im Resultset angezeigt. Die Anzahl der angezeigten Einträge pro Seite kann

auf der Seite Menüleiste ‣ Protokolle ‣ Einstellungen geändert werden.

Aktualisieren

Nach dem Vornehmen der oben genannten Einstellungen können Sie durch Betätigen dieser Schaltfläche den Seiteninhalt

aktualisieren. Die Seite wird nicht automatisch aktualisiert.

Exportieren

Durch Betätigen dieser Schaltfläche werden die Protokolleinträge in eine Textdatei exportiert.

Protokoll signieren

Durch Betätigen dieses Links wird das aktuelle Protokoll signiert. Die Schaltfläche ist nur verfügbar, wenn Gesicherter

Zeitstempel aktiviert ist.

Älter, Neuer

Diese beiden Schaltflächen finden Sie im Feld Protokoll. Sie werden angezeigt, wenn die Anzahl der Einträge stark ansteigt.

In diesem Fall werden die Einträge in zwei oder mehrere Teile gegliedert. Mithilfe dieser Schaltflächen können Sie ältere oder

neuere Einträge aus den Suchergebnissen anzeigen.

Hinweis

Eine Meldung oben auf der Seite informiert Sie, wenn für ein bestimmtes Datum keine Protokolle verfügbar sind. Dies kann vorkommen,

wenn der Daemon bzw. Dienst nicht aktiv war oder keine Nachricht erzeugt hat.

Im nachfolgenden Teil dieses Abschnitts werden sämtliche Dienste und die dazugehörigen Einstellungen beschrieben.

Zusammenfassung

Diese Seite enthält Zusammenfassungen für die Protokolle, die von der Panda GateDefender-Appliance erstellt werden, getrennt nach

Tagen und generiert von der Protokollüberwachungssoftware logwatch. Im Gegensatz zu den anderen Teilen des Protokollbereichs

stehen hier Einstellungen zur Verfügung, mit denen Sie die Ausführlichkeit der Informationen bestimmen können. Folgende

Steuerelemente sind im ersten Feld am Seitenanfang verfügbar:

Monat

Wählen Sie aus diesem Dropdown-Menü den Monat aus, in dem die Protokollmeldungen erstellt wurden.

Tag

Im zweiten Dropdown-Menü können Sie den Tag auswählen, an dem die Protokollmeldungen erstellt wurden.

<<, >>

Durchsuchen Sie den Protokollverlauf, indem Sie mithilfe der Schaltflächen die einzelnen Tage auswählen (oder

abschnittsweise, wenn zu viele Meldungen am selben Tag erstellt wurden). Der Seiteninhalt wird automatisch aktualisiert.

Aktualisieren

Sofortige Aktualisierung des Seiteninhalts bei Änderung der Angaben zum Monat/Tag.

Exportieren

Durch Betätigen dieser Schaltfläche wird die Zusammenfassung in Textform angezeigt und kann auf dem lokalen

Dateisystem gespeichert werden.

Unterhalb des Feldes Einstellungen wird – abhängig von den ausgeführten Diensten, für die Protokolleinträge verfügbar sind – eine

variable Anzahl von Feldern angezeigt. Hierbei sollte das Feld Speicherplatz möglichst sichtbar sein, da es den verfügbaren

Speicherplatz zum gewählten Zeitpunkt anzeigt. Weitere Felder, die zusätzlich angezeigt werden können, sind Postfix (E-Mail-

Warteschlange) und Firewall (akzeptierte und abgelehnte Pakete).

Beachten Sie, dass keine Zusammenfassungen für den aktuellen Tag verfügbar sind. Diese werden über Nacht aus den am Tag zuvor

erzeugten Protokolldateien erstellt.

System

In diesem Abschnitt wird die Protokollanzeige für die verschiedenen Systemprotokolldateien angezeigt. Im oberen Feld Einstellungen

werden die Kriterien für die Ansicht der Einträge im unteren Feld festgelegt. Neben den gemeinsamen Aktionen steht ein zusätzliches

Steuerelement zur Verfügung:

Abschnitt

Die Protokolltypen, die angezeigt werden sollten – entweder Alle oder nur diejenigen, die sich auf einen bestimmten Dienst

oder Daemon beziehen. Unter anderem sind dies Kernelmeldungen, Zugriffe über SSH, NTP usw.

Klicken Sie dem Beispiel in diesem Abschnitt entsprechend auf die Schaltfläche Aktualisieren, um die im Feld Protokoll angezeigten

Protokolle am Ende der Seite zu aktualisieren. Im genannten Feld können Sie mithilfe der Schaltflächen Ältere und Neuere die Seiten

durchsuchen.

Dienst

In diesem Abschnitt werden die Protokolleinträge der zwei wichtigsten Dienste angezeigt, die von der Panda GateDefender-Appliance

bereitgestellt werden: IDS, OpenVPN und Panda Anti-Virus. Diese Dienste verfügen jeweils über eine eigene Registerkarte. Nur die

gemeinsamen Aktionen sind verfügbar.

Firewall

Die Protokollanzeige der Firewall enthält die Meldungen über die Aktivitäten der Firewall. Nur die gemeinsamen Aktionen sind verfügbar.

Folgende Informationen werden in der Tabelle angezeigt:

Zeit

Der Zeitstempel zur Erstellung der Nachricht

Chain:

Die Chain, über die das Paket geleitet wurde

Iface:

Die Schnittstelle, über die das Paket geleitet wurde

Proto:

Der Prototyp des Pakets

Quelle, Quellport:

Die IP-Adresse und der Port, von der/dem das Paket gekommen ist

MAC Adresse

Die MAC-Adresse der Quellschnittstelle

Ziel, Zielport:

Die IP-Adresse und der Port, zu der/dem das Paket geleitet wurde.

Proxy

In der Protokollanzeige des Proxy werden die Protokolle für die vier Daemons angezeigt, die den Proxy verwenden. Jeder Daemon hat

eine eigene Registerkarte: Squid (HTTP), DansGuardian (Inhaltsfilter), SARG (HTTP Report) und SMTPD (SMTP, E-Mail-Proxy).

HTTP- und Inhaltsfilter

Zusätzlich zu den gemeinsamen Aktionen können bei der Protokollanzeige für den HTTP-Proxy und den Inhaltsfilter folgende Werte

angegeben werden:

Quell-IP-Adresse

Zeigt nur die Protokolleinträge mit der gewünschten Quell-IP-Adresse an, die aus einem Dropdown-Menü ausgewählt wird.

Ignorieren-Filter

Ein regulärer Ausdruck, mit dem sämtliche Protokolleinträge herausgefiltert werden, die den betreffenden Ausdruck enthalten.

Ignorieren-Filter aktivieren

Aktivieren Sie dieses Kontrollkästchen, um den Ignorieren-Filter vorübergehend zu deaktivieren.

Standardwerte wiederherstellen

Durch Betätigen dieser Schaltfläche werden die standardmäßig eingestellten Suchparameter wiederhergestellt.

HTTP Report

Die Registerkarte HTTP Report bietet lediglich eine Option: Sie können den Proxyanalysengenerator aktivieren bzw. deaktivieren, indem

Sie das Kontrollkäschen Aktivieren aktivieren und anschließend auf die Schaltfläche Speichern klicken. Nach Aktivieren des

Analysengenerators werden durch Klicken auf die Links Täglicher Report, Wöchentlicher Report und Monatlicher Report detaillierte

HTTP-Berichte angezeigt.

SMTP

Nur die gemeinsamen Aktionen sind in der Registerkarte des Postfix-Daemons verfügbar.

Einstellungen

Diese Seite enthält alle allgemeinen Konfigurationselemente für die Protokollierungsfunktionen der Panda GateDefender-Appliance, die

in vier Felder unterteilt sind: Sie sind in vier Felder unterteilt: Protokoll Ansichtsoptionen, Protokollübersicht, Remote logging und Firewall

Log.

Protokoll Ansichtsoptionen

Anzahl der anzuzeigenden Zeilen

Der Wert Paginierung, d. h. wie viele Zeilen pro Berichtseite angezeigt werden.

In umgekehrter chronologischer Reihenfolge sortieren

Wenn dieses Kontrollkästchen aktiviert ist, werden die neuesten Protokolleinträge zuerst angezeigt.

Protokollübersicht

Zusammenfassungen für __ Tage aufheben

Hier können Sie festlegen, wie lange die Protokollübersichten vor dem Löschen auf der Festplatte gespeichert werden sollen.

Detaillierungsgrad

Die Detailstufe, die für die Protokollübersicht anzuwenden ist: je höher der Detaillierungsgrad, desto mehr Protokolleinträge

werden gespeichert und angezeigt. Das Dropdown-Menü bietet drei Detaillierungsgrade: Niedrig, Mittel und Hoch.

Remote logging:

Aktiviert (Remote logging)

Durch Aktivieren dieses Kästchens wird die Remote-Protokollierung aktiviert. Mithilfe der folgenden Option kann der

Hostname des syslog-Servers eingegeben werden.

Syslog Server:

Der Hostname des Remote-Servers, an den die Protokolle gesendet werden. Der Server muss die neuesten syslog-

Protokollstandards der IETF unterstützen.

Firewall Log

Pakete mit verdächtigen TCP Flags protokollieren

Wenn diese Option aktiviert ist, protokolliert die Firewall Pakete mit einer fehlerhaften Konstellation der TCP-Flag (z. B. wenn

alle Flags gesetzt sind).

NEUE Verbindungen ohne SYN Flag protokollieren

Wenn diese Option aktiviert ist, werden alle neuen TCP-Verbindungen ohne SYN Flag protokolliert.

Alle akzeptierten ausgehenden Verbindungen protokollieren

Um alle akzeptierten ausgehenden Verbindungen zu protokollieren, muss dieses Kontrollkästchen aktiviert sein.

Abgelehnte Pakete protokollieren

Bei Aktivierung dieser Option werden alle abgelehnten Pakete von der Firewall protokolliert.

Gesicherte Zeitstempel

Das gesicherte Zeitstempeln ist ein Prozess, dem Protokolldateien (und generell sämtliche Dokumente) unterzogen werden, um ihre

Herkunft und die Übereinstimmung mit dem Original zu prüfen und zu bestätigen. Anders ausgedrückt: Durch das gesicherte

Zeitstempeln kann man überprüfen und bestätigen, dass eine Protokolldatei in keinster Weise von irgendeiner Person geändert wurde,

auch nicht vom ursprünglichen Verfasser. Im Falle von Protokolldateien hat sich das gesicherte Zeitstempeln zur Überprüfung der

Zugriffe auf das System oder der Verbindungen von VPN-Benutzern als nützlich erwiesen, selbst im Falle unabhängiger Nachprüfungen.

http://www.ietf.org/

Menü „Protokolle und Berichte“

185

Das gesicherte Zeitstempeln ist standardmäßig nicht aktiviert. Es lässt sich jedoch mit nur einem Klick auf den grauen Schalter aktivieren.

Wenn der Schalter auf grün wechselt, werden einige Konfigurationsoptionen angezeigt.

URL des Servers zur Erstellung der Zeitstempel

Die URL des Servers zur Erstellung der Zeitstempel (auch TSA genannt) ist zwingend erforderlich, da die Protokolldateien von diesem

Server signiert werden.

Hinweis

Für das gesicherte Zeitstempeln wird eine gültige URL von einem gültigen TSA benötigt. Verschiedene Unternehmen bieten diesen

Dienst an.

HTTP Authentifizierung

Aktivieren Sie das Kontrollkästchen unter HTTP Authentifizierung, wenn für den zur Erstellung der Zeitstempel verwendeten

Server eine Authentifizierung erforderlich ist.

Benutzername

Der Benutzername, der zur Authentifizierung auf dem betroffenen Server verwendet wird.

Kennwort

Das Passwort, das zur Authentifizierung auf dem betroffenen Server verwendet wird.

Öffentlicher Schlüssel des Zeitstempel-Servers

Zur Erleichterung der Kommunikation und zur Erhöhung der Sicherheit kann der öffentliche Schlüssel des Servers importiert

werden. Sie können die Zertifikatsdatei auf dem lokalen Computer suchen, indem Sie auf die Schaltfläche Durchsuchen...

klicken, und Sie sie anschließend in der Panda GateDefender-Appliance durch Betätigen der Schaltfläche Hochladen

hochladen. Nachdem das Zertifikat gespeichert wurde, wird neben der Bezeichnung Öffentlicher Schlüssel des Zeitstempel-

Servers ein Download-Link angezeigt, der für den Erhalt des Zertifikats angeklickt werden kann, wenn dieses beispielsweise

auf einer weiteren Panda GateDefender-Appliance installiert werden soll.

Nachdem Sie auf die Schaltfläche Speichern geklickt haben, werden die Einstellungen gespeichert. Am nächsten Tag wird im Abschnitt

Protokolle rechts neben dem Feld Einstellungen eine neue Schaltfläche angezeigt.

Protokollsignatur überprüfen

Wenn Sie auf diese Schaltfläche klicken, wird eine Meldung in einem gelben Textfeld angezeigt, die Sie über den

Protokollstatus informiert.

Siehe auch

Die offizielle OpenSSL-Zeitstempeldokumentation und RFC 3161, in denen das Zeitstempelprotokoll erstmals definiert wurde.

Dokumentation für Panda GateDefender 5.50 »


http://www.openssl.org/docs/apps/ts.html


Glossar Glossar

Paket

Ein Feld ist ein Element einer Dienstseite, das verschiedene Konfigurationsoptionen enthält.

Client

Ein Benutzer, der eine Verbindung mit dem Hotspot herstellt. Dieser wird gelegentlich auch als Hotspot-Benutzer bezeichnet.

GRÜNE IP-Adresse

Die IP-Adresse der GRÜNEN Zone, also die IP-Adresse des LAN, in dem sich die Panda GateDefender-Appliance befindet.

Modul

Module sind die in der Hauptnavigationsleiste angezeigten Elemente (System, Status, Protokolle usw.), die eine Menge von

Funktionen gruppieren.

Mehrfachauswahlfeld

Ein spezielles Feld, bei dem rechts eine Liste verfügbarer Elemente, links eine Liste „aktiver“ bzw. ausgewählter Elemente

und darüber ein Suchtextfeld angezeigt wird. Bei manchen Mehrfachauswahlfeldern kann für zulässige Elemente auch ein

Merkmal angegeben werden (z. B. ob das Element erforderlich oder optional ist).

Paginierung

Das Aufteilen einer umfangreichen Tabelle in zwei oder mehr Teile zur getrennten Anzeige, wenn die Anzahl der Einträge

den Paginierungswert überschreitet. Diese Funktion ist derzeit nur für den Hotspot und die Protokolle verfügbar. Der Wert

kann unter Hotspot ‣ Einstellungen und Menüleiste ‣ Protokolle ‣ Einstellungen definiert werden. Durch Klicken auf die Links

Anfang, Vor, Nächste und Ende über der Tabelle kann durch die Seiten geblättert werden.

Plugin

Plugins sind die Felder in der Übersicht.

Smarthost

Ein SMTP-Relayserver, von dem eine E-Mail nicht direkt an den Empfänger zugestellt, sondern an einen Zwischenserver

gesendet wird, durch den die endgültige Zustellung erfolgt. Für Smarthosts ist im Gegensatz zu offenen Relayservern in der

Regel eine Authentifizierung erforderlich.

Registerkarte

Registerkarten sind Unterseiten eines Hauptdienstes, die verwendet werden, um alle Konfigurationsoptionen dieses Dienstes

aufzuteilen und zu organisieren.

Die Zonen

Jedes der vier Subnetze, die von der Panda GateDefender-Appliance verwaltet werden: GRÜN, ROT, BLAU und ORANGE.

Benutzer

Eine Person, welche die Panda GateDefender-Appliance verwendet.


188

Benutzeragent

Die Zeichenkette, die von jedem Webbrowser beim Anfordern einer Webseite zu Identifizierungszwecken gesendet wird. Sie enthält

verschiedene Informationen zum Browser und zum System. Zum Beispiel:

Mozilla/5.0 (X11; U; Linux i586; it; rv:5.0) Gecko/20100101 Firefox/5.0

Eine vollständige Liste von Zeichenketten für Benutzeragenten kann auf folgender Website gefunden werden:

http://www.useragentstring.com/

Widgets

Ein Element einer GUI, das Informationen anzeigt und manchmal interaktiv ist, d. h. Benutzer können damit interagieren, um

die darin befindlichen Informationen zu ändern.

okumentation für Panda GateDefender 5.50 »


http://www.useragentstring.com/

Quicksheet – Wo finde ich die folgenden Optionen?

Quicksheet – Wo finde ich die folgenden Optionen?

Hotspot

Hotspot verwalten: Menüleiste ‣ Hotspot ‣ Administrationsschnittstelle oder https://GREENIP:10443/admin/ (Anhang

‚/‘ beachten!)

Hotspot-Benutzerkonto bearbeiten: https://GREENIP:10443/admin/infoedit/ (Anhang ‚/‘ beachten!)

Hotspot-Benutzerkonto hinzufügen: Menüleiste ‣ Hotspot ‣ Konten ‣ Neues Konto erstellen.

SmartConnect und SmartLogin aktivieren: Menüleiste ‣ Hotspot ‣ Administrationsinterface ‣ Einstellungen ‣

SmartConnect.

Netzwerk

BLAUE/ORANGE Zone aktivieren/deaktivieren: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 2.

Host- und Domänennamen ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 3.

Domänennamen nach Zonen ändern: Menüleiste ‣ Dienste ‣ DHCP Server.

Uplink hinzufügen: Menüleiste ‣ Netzwerk ‣ Schnittstellen.

Bandbreite pro Schnittstelle begrenzen: Menüleiste ‣ Dienste ‣ Quality of Service.

VLAN hinzufügen/konfigurieren: Menüleiste ‣ Netzwerk ‣ Schnittstellen ‣ VLANs.

Anti-Spyware und -Malware konfigurieren: Menüleiste ‣ Proxy ‣ POP3 ‣ Spamfilter, Menüleiste ‣ Proxy ‣ DNS ‣ Anti-

Spyware.

Anti-Spam konfigurieren: Menüleiste ‣ Proxy ‣ SMTP ‣ Spameinstellungen, Menüleiste ‣ Dienste ‣ Spam-Training.

Anti-Virus konfigurieren: Menüleiste ‣ Dienste ‣ Antivirus-Engine, Menüleiste ‣ Proxy ‣ [HTTP/POP3/FTP/SMTP].

Verschiedenes

Standard-E-Mail-Adresse ändern: Menüleiste ‣ System ‣ Netzwerkkonfiguration, Schritt 6.

Support-Ticket öffnen: Menüleiste ‣ System ‣ Support.

Spracheinstellung für GUI ändern: Menüleiste ‣ GUI-Einstellungen

Lizenz anzeigen: Menüleiste ‣ System ‣ Lizenzbestimmungen

Erstellung gesicherter Zeitstempel konfigurieren: Menüleiste ‣ Protokolle ‣ Gesicherte Zeitstempel erstellen.

Auf Werkseinstellungen zurücksetzen: Menüleiste ‣ System ‣ Datensicherung.

Security SL. Zuletzt aktualisiert am 31. Januar 2014.

GNU-Lizenz für freie Dokumentation GNU-Lizenz für freie Dokumentation

GNU-Lizenz für freie Dokumentation

Version 1.2, November 2002

Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA

02110-1301, USA Jeder darf diese Lizenzurkunde vervielfältigen und unveränderte Kopien davon

verbreiten. Änderungen daran sind jedoch nicht erlaubt.

1. PRÄAMBEL

Der Zweck dieser Lizenz ist es, ein Handbuch, Fachbuch oder ein anderes Dokument „frei“ im Sinne von Freiheit

anzufertigen, d. h. jedem die Freiheit zuzusichern, es zu kopieren und mit oder ohne Änderungen sowohl kommerziell als

auch nicht kommerziell weiterzuverbreiten. Weiterhin ermöglicht diese Lizenz dem Verfasser oder Herausgeber,

Anerkennung für seine Arbeit zu erhalten, ohne für Änderungen, die durch Dritte vorgenommen wurden, verantwortlich

gemacht zu werden.

Diese Lizenz ist eine Art „Copyleft“, was bedeutet, dass von dem Dokument abgeleitete Werke ihrerseits im selben Sinne

frei sein müssen. Sie ergänzt die GNU General Public License, eine für freie Software entworfene Copyleft-Lizenz.

Diese Lizenz wurde für Handbücher für freie Software entworfen, da freie Software freie Dokumentation benötigt: Ein

freies Programm sollte Handbücher bereitstellen, welche dieselben Freiheiten wie die Software selbst bieten. Diese Lizenz

ist jedoch nicht auf Software-Handbücher beschränkt; sie kann für jedes textliche Werk verwendet werden, unabhängig

vom Thema oder ob es als ein gedrucktes Buch veröffentlicht wird. Wir empfehlen diese Lizenz prinzipiell für Werke, die

Anleitungs- oder Referenzzwecken dienen.

1. ANWENDBARKEIT UND DEFINITIONEN

Diese Lizenz gilt – unabhängig vom verwendeten Medium – für jedes Handbuch oder sonstiges Werk, das einen vom

Urheberrechtsinhaber eingefügten Hinweis enthält, dass das Werk gemäß den Bedingungen dieser Lizenz verbreitet

werden darf. Ein solcher Hinweis gewährt eine weltweit gültige, gebührenfreie Lizenz von unbefristeter Dauer zur

Verwendung des Werks gemäß den hierin festgelegten Bedingungen. Der Begriff „Dokument“ wird im Folgenden für all

diese Handbücher und Werke verwendet. Jede Person kann Lizenznehmer sein und wird im Folgenden mit

„Sie“ bezeichnet. Sie akzeptieren diese Lizenz, wenn Sie ein Dokument auf eine Art und Weise kopieren, verändern oder

verteilen, für die Sie gemäß dem jeweils geltenden Urheberrecht eine Erlaubnis benötigen.

Eine „modifizierte Version“ des Dokuments bezeichnet jedes Werk, das das Dokument als Ganzes oder in Teilen enthält,

entweder wortwörtlich kopiert oder mit Änderungen versehen und/oder in eine andere Sprache übersetzt.

Ein „sekundärer Abschnitt“ ist ein benannter Anhang oder ein Einleitungsabschnitt des Dokuments, der sich ausschließlich

mit dem Verhältnis der Herausgeber oder Verfasser des Dokuments zum Hauptthema des Dokuments befasst (oder damit

in Verbindung stehenden Sachverhalten) und nicht unmittelbar das Hauptthema behandelt. (Wenn das Dokument zu

einem Fachbuch über Mathematik gehört, darf ein sekundärer Abschnitt beispielsweise kein mathematisches Thema

erläutern.) Thema eines solchen Abschnitts könnte ein historischer Zusammenhang zum Hauptthema oder anderen

relevanten Sachverhalten sein oder die rechtliche, kommerzielle, philosophische, ethische oder politische Position der

Herausgeber bzw. Verfasser ausdrücken.

Die „unveränderlichen Abschnitte“ sind bestimmte sekundäre Abschnitte, deren Titel in dem Lizenzhinweis, der das

Dokument unter diese Lizenz stellt, als unveränderliche Abschnitte aufgeführt sind. Wenn ein Abschnitt nicht der obigen

Definition von „sekundär“ entspricht, dann ist es nicht erlaubt, ihn als „unveränderlich“ zu kennzeichnen. Das Dokument

muss keine unveränderlichen Abschnitte enthalten. Wenn das Dokument keine unveränderlichen Abschnitte kennzeichnet,

dann gibt es keine.

Die „Umschlagtexte“ sind kurze Textpassagen, die als vordere oder hintere Umschlagtexte im Lizenzhinweis aufgeführt

sind. Ein vorderer Umschlagtext kann bis zu 5 Wörter enthalten, ein hinterer Umschlagtext bis zu 25 Wörter.

Eine „transparente“ Kopie des Dokumentes bezeichnet eine maschinenlesbare Kopie in einem Format, dessen

Spezifikationen allgemein verfügbar und geeignet sind, das Dokument problemlos mit herkömmlichen Texteditoren oder

(für aus Pixeln bestehende Bilder) herkömmlichen Bildbearbeitungsprogrammen oder (für Zeichnungen) einem weit

verbreiteten Zeicheneditor zu überarbeiten, und das als Eingabe für Textformatierungsprogramme oder für die

automatische Konvertierung in eine Reihe unterschiedlicher Formate verwendet werden kann, die ihrerseits als Eingabe

für Textformatierungsprogramme verwendet werden können. Eine in einem ansonsten transparenten Dateiformat erstellte

Kopie, dessen Markup oder fehlendes Markup eine nachträgliche Modifikation durch Leser erschweren oder verhindern

soll, gilt nicht als transparent. Ein Bildformat ist nicht transparent, wenn es für eine substantielle Menge von Text

verwendet wird. Eine Kopie, die nicht „transparent“ ist, wird „undurchsichtig“ genannt.

Beispiele von geeigneten Formaten für transparente Kopien sind uncodierter ASCII-Text, Texinfo, LaTeX, SGML oder

XML unter Verwendung einer öffentlich zugänglichen DTD und standardkonformes einfaches HTML, PostScript oder PDF,

sofern Änderungen durch andere Personen ermöglicht werden. Beispiele für transparente Bildformate beinhalten PNG,

XCF und JPG. Undurchsichtige Formate beinhalten proprietäre Formate, die nur mit proprietären

Textverarbeitungssystemen gelesen und bearbeitet werden können, SGML oder XML, für welche die DTD und/oder

Bearbeitungswerkzeuge nicht allgemein verfügbar sind, und maschinengeneriertes HTML, PostScript oder PDF, das von

manchen Textverarbeitungsprogrammen nur zu Ausgabezwecken erzeugt wird.

Mit „Titelseite“ wird in einem gedruckten Buch die Titelseite selbst sowie die darauf folgenden Seiten bezeichnet, die in

lesbarer Form enthalten, was gemäß dieser Lizenz auf der Titelseite erscheinen muss. Für Werke, die in Formaten

vorliegen, die keine Titelseiten haben, gilt als „Titelseite“ der Text, der der auffälligsten Darstellung des Titels des Werkes

direkt folgt, aber noch vor dem Inhalt des Werkes steht.

Ein Abschnitt „Mit dem Titel XYZ“ bezeichnet eine benannte Untereinheit des Dokuments, dessen Titel entweder genau

XYZ ist oder XYZ in runden Klammern an Text anschließt, welcher XYZ in eine andere Sprache übersetzt. (XYZ steht hier

für einen bestimmten Abschnittsnamen, der im Folgenden erwähnt wird, wie zum Beispiel

„Acknowledgements“ („Danksagungen“), „Dedications“ („Widmungen“), „Endorsements“ („Billigungen“) oder

„History“ („Verlauf“).) Den „Titel“ eines solchen Abschnitts „beizubehalten“, wenn Sie das Dokument modifizieren, bedeutet,

dass dieser ein Abschnitt „Mit dem Titel XYZ“ gemäß dieser Definition bleibt.

Das Dokument kann im Anschluss an den Hinweis, der besagt, dass das Dokument unter dieser Lizenz freigegeben ist,

Haftungsausschlüsse enthalten. Diese Haftungsausschlüsse sind durch ihre Erwähnung Teil dieser Lizenz, sofern sie sich

ausschließlich auf den Ausschluss von Gewährleistungen beziehen: Andere Auswirkungen dieser Ausschlüsse sind nichtig

und unwirksam im Sinne dieser Lizenz.

2. WORTWÖRTLICHE VERVIELFÄLTIGUNG

Sie dürfen das Dokument auf jedem Medium sowohl kommerziell als auch nicht kommerziell kopieren und verbreiten,

vorausgesetzt, dass diese Lizenz, die Urheberrechtshinweise sowie der Lizenzhinweis, der besagt, dass diese Lizenz auf

das Dokument anzuwenden ist, in allen Kopien wiedergegeben wird, und dass keine weiteren Bedingungen jeglicher Art

zu den Bedingungen dieser Lizenz hinzugefügt werden. Sie dürfen keine technischen Maßnahmen treffen, um das Lesen

oder das weitere Kopieren von durch Sie erstellten oder verbreiteten Kopien zu erschweren oder zu kontrollieren.

Allerdings dürfen Sie eine Vergütung für Kopien akzeptieren. Wenn Sie eine ausreichend große Menge von Kopien

verbreiten, müssen Sie zusätzlich die Bestimmungen in Abschnitt 3 beachten.

Sie dürfen außerdem gemäß den oben aufgeführten Bedingungen Kopien verleihen oder diese öffentlich präsentieren.

3. VERVIELFÄLTIGUNG GROSSER MENGEN

Wenn Sie gedruckte Kopien des Dokuments (oder Kopien für Medien, die üblicherweise über gedruckte Umschläge

verfügen) in einer Stückzahl von mehr als 100 veröffentlichen und der Lizenzhinweis des Dokuments Umschlagtexte

verlangt, müssen die Kopien in Hüllen verpackt sein, die alle diese Umschlagtexte klar und lesbar enthalten: Die vorderen

Umschlagtexte auf dem vorderen Umschlag, die hinteren Umschlagtexte auf dem hinteren Umschlag. Beide Umschläge

müssen außerdem klar und lesbar Sie als den Herausgeber dieser Kopien benennen. Der vordere Umschlag muss den

vollständigen Titel enthalten, wobei der gesamte Wortlaut gleichermaßen sichtbar und hervorgehoben dargestellt werden

muss. Sie können den Umschlägen zusätzliche Inhalte hinzufügen. Das Kopieren mit auf Umschläge begrenzten

Änderungen kann, solange der Titel des Dokuments erhalten bleibt und diese Bedingungen erfüllt werden, in anderer

Hinsicht als wortwörtliche Kopie behandelt werden.

Wenn der erforderliche Text für einen der Umschläge zu umfangreich ist, um lesbar abgebildet zu werden, sollten Sie den

ersten der aufgelisteten Texte auf den Umschlag nehmen (so viel, wie vernünftigerweise möglich ist) und den Rest auf

direkt angrenzende Seiten.

Wenn Sie mehr als 100 undurchsichtige Kopien des Dokuments veröffentlichen oder verbreiten, müssen Sie entweder

jeder undurchsichtigen Kopie eine maschinenlesbare transparente Kopie beilegen oder für jede undurchsichtige Kopie

eine Netzwerkadresse angeben, von der die breite Öffentlichkeit eine vollständige transparente Kopie, die keine

zusätzlichen Inhalte enthält, über öffentliche Standardnetzwerkprotokolle herunterladen kann. Wenn Sie sich für die

letztere Möglichkeit entscheiden, müssen Sie mit Beginn der Verbreitung der undurchsichtigen Kopien in großen Mengen

zumutbare und vernünftige Schritte unternehmen, um sicherzustellen, dass die transparenten Kopien mindestens ein Jahr

nach Verbreitung der letzten undurchsichtigen Kopie (direkt oder über einen Vertreter oder Händler) dieser Ausgabe an

die Öffentlichkeit an der genannten Adresse verfügbar bleiben.

Auch wenn dies nicht zwingend erforderlich ist, wird empfohlen, dass Sie die Verfasser des Dokuments kontaktieren,

bevor Sie zu einem späteren Zeitpunkt erneut eine große Anzahl von Kopien verteilen, um ihnen die Möglichkeit zu geben,

Ihnen eine aktualisierte Version des Dokuments bereitzustellen.

4. MODIFIKATIONEN

Gemäß den Bedingungen von Abschnitt 2 und 3 sind Sie berechtigt, modifizierte Versionen zu kopieren und zu verbreiten,

sofern Sie die modifizierte Version unter dieser Lizenz herausgeben, wobei die modifizierte Version die Rolle des

Dokuments einnimmt, und dadurch eine Lizenz für die weitere Modifikation und Verbreitung der modifizierten Version an

jeden Besitzer einer Kopie des Dokuments vergeben. Zusätzlich müssen Sie die folgenden Dinge in der modifizierten

Version beachten:

1. Benutzen Sie auf der Titelseite (und auf Umschlägen, sofern vorhanden) einen Titel, der sich von dem Titel

des Dokuments und von denen früherer Versionen unterscheidet. (Die früheren Versionen sollten, wenn es

welche gibt, im Abschnitt „Verlauf“ aufgelistet werden.) Sie können den Titel einer Vorgängerversion

verwenden, wenn der ursprüngliche Herausgeber damit einverstanden ist.

2. Geben Sie auf der Titelseite als Verfasser eine oder mehrere natürliche oder juristische Personen an, die für

die Modifikationen der modifizierten Version verantwortlich sind, zusammen mit mindestens fünf der

ursprünglichen Verfasser des Dokuments (alle ursprünglichen Verfasser, wenn es weniger als fünf sind),

sofern diese Sie nicht von diesem Erfordernis befreit haben.

3. Geben Sie auf der Titelseite den Namen des Herausgebers der modifizierten Version als Herausgeber an.

4. Behalten Sie alle Urheberrechtshinweise des Dokuments bei.

5. Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen entsprechenden Urheberrechtshinweis für

Ihre Modifikationen ein.

6. Fügen Sie direkt im Anschluss an die Urheberrechtshinweise einen Lizenzhinweis hinzu, der es der breiten

Öffentlichkeit erlaubt, die modifizierte Version gemäß den Bedingungen dieser Lizenz in der im Anhang

beschriebenen Art und Weise zu verwenden.

7. Behalten Sie in diesem Lizenzhinweis die komplette Liste der unveränderlichen Abschnitte und obligatorischen

Umschlagtexte bei, die im Lizenzhinweis des Dokuments aufgeführt sind.

8. Schließen Sie eine unveränderte Kopie dieser Lizenz mit ein.

9. Erhalten Sie den Abschnitt „Verlauf“. Behalten Sie seinen Titel bei und fügen Sie einen Eintrag hinzu, der

mindestens den Titel, das Jahr, die neuen Verfasser und die Herausgeber, wie sie auf der Titelseite

aufgeführt sind, enthält. Sollte der Abschnitt „Verlauf“ bisher noch nicht existieren, so muss dieser von Ihnen

unter Angabe des auf der Titelseite vermerkten Titels, Jahres, Verfassers und Herausgebers des Dokuments

erstellt werden.

10. Erhalten Sie gegebenenfalls die Netzwerkadresse, die im Dokument angegeben wurde, um Zugang zu einer

transparenten Kopie zu gewähren, sowie Netzwerkadressen für frühere Versionen, auf denen das Dokument

aufbaute. Diese Angaben können in den Abschnitt „Verlauf“ verschoben werden. Sie können die

Netzwerkadresse weglassen, wenn sie sich auf ein Werk bezieht, das mindestens vier Jahre vor dem

Dokument selbst veröffentlicht wurde, oder wenn der ursprüngliche Herausgeber der Version, auf die sich die

Adresse bezieht, seine Erlaubnis erteilt.

11. Behalten Sie für alle Abschnitte mit dem Titel „Danksagungen“ oder „Widmungen“ den Titel sowie den

gesamten Inhalt und Ton der von den Mitwirkenden hierin gemachten Danksagungen und/oder Widmungen

bei.

12. Erhalten Sie alle unveränderlichen Abschnitte unverändert in Titel und Text. Abschnittsnummern oder

dergleichen gelten hierbei nicht als Teil der Abschnittstitel.

13. Löschen Sie alle Abschnitte, die mit „Billigungen“ überschrieben sind. Ein solcher Abschnitt sollte nicht in der

modifizierten Version enthalten sein.

14. Benennen Sie keinen Abschnitt in „Billigungen“ oder in einer Art und Weise um, dass er dem Titel eines

unveränderlichen Abschnitts entspricht.

15. Erhalten Sie alle Haftungsausschlüsse.

Wenn die modifizierte Version neue Einleitungsabschnitte oder Anhänge enthält, die als sekundäre Abschnitte gelten und

kein vom Dokument kopiertes Material enthalten, können Sie nach eigenem Ermessen einige oder alle diese Abschnitte

als unveränderliche Abschnitte kennzeichnen. Hierfür fügen Sie ihre Titel zur Liste der unveränderlichen Abschnitte im

Lizenzhinweis der modifizierten Version hinzu. Diese Titel müssen sich von allen anderen Abschnittstiteln unterscheiden.

Sie können einen Abschnitt mit dem Titel „Billigungen“ anfügen, sofern dieser ausschließlich Billigungserklärungen anderer

Parteien zur modifizierten Version enthält. Dies können beispielsweise Rezensionen oder ein Hinweis sein, dass der Text

von einer Organisation als maßgebliche Definition eines Standards deklariert wurde.

Sie können eine Textpassage mit bis zu fünf Wörtern als vorderen Umschlagtext und eine mit bis zu 25 Wörtern als

hinteren Umschlagtext am Ende der Liste mit den Umschlagtexten in der modifizierten Version hinzufügen. Nur je eine

Textpassage für den vorderen Umschlagtext und den hinteren Umschlagtext können von einer natürlichen oder

juristischen Person hinzugefügt (oder durch entsprechende Anordnung erstellt) werden. Wenn das Dokument bereits

einen Umschlagtext für denselben Umschlag enthält, der bereits von Ihnen oder der juristischen Person, in deren Namen

Sie tätig sind, eingefügt wurde, dürfen Sie keinen neuen hinzufügen. Sie können aber den alten ersetzen, wenn Sie die

ausdrückliche Genehmigung des Herausgebers haben, der den früheren Text eingefügt hat.

Der/die Verfasser und Herausgeber des Dokumentes geben durch diese Lizenz weder implizit noch explizit die Erlaubnis,

ihren Namen für Werbung für die modifizierte Version oder eine ausdrückliche oder implizierte Billigung der modifizierten

Version zu benutzen.

5. DOKUMENTE KOMBINIEREN

Sie dürfen das Dokument mit anderen nach dieser Lizenz freigegebenen Dokumenten gemäß den Bedingungen in

Abschnitt 4 für modifizierte Versionen kombinieren, sofern in der Kombination alle unveränderlichen Abschnitte aller

Originaldokumente enthalten sind, Sie diese als unveränderliche Abschnitte des kombinierten Dokuments im

Lizenzhinweis aufführen und alle Haftungsausschlüsse beibehalten werden.

Das kombinierte Werk muss nur eine Kopie dieser Lizenz zu enthalten. Mehrere identische unveränderliche Abschnitte

können durch eine einzelne Kopie ersetzt werden. Wenn es mehrere unveränderliche Abschnitte mit unterschiedlichem

Inhalt, aber gleichem Namen gibt, sollten Sie einem jeden solchen Abschnitt einen eindeutigen Namen zuweisen, indem

Sie an dessen Ende den Namen des ursprünglichen Verfassers oder Herausgebers (falls bekannt) in Klammern

hinzufügen oder andernfalls eine eindeutige Nummer anhängen. Machen Sie dasselbe mit den Titeln der Abschnitte in der

Liste der unveränderlichen Abschnitte im Lizenzhinweis des kombinierten Werkes.

In der Kombination müssen Sie alle Abschnitte mit dem Titel „Verlauf“ in den ursprünglichen Dokumenten zu einem

einzelnen Abschnitt „Verlauf“ zusammenführen. Verfahren Sie auch entsprechend mit den Abschnitten

„Danksagungen“ und „Widmungen“. Sie müssen alle Abschnitte mit dem Titel „Billigungen“ entfernen.

6. SAMMLUNGEN VON DOKUMENTEN

Sie dürfen eine Sammlung von Dokumenten erstellen, die aus diesem Dokument und weiteren gemäß dieser Lizenz

veröffentlichten Dokumenten besteht. Die einzelnen Kopien dieser Lizenz in den verschiedenen Dokumenten dürfen

hierbei durch eine einzelne der Sammlung beigefügte Kopie ersetzt werden, sofern Sie für jedes der Dokumente in allen

anderen Punkten die Regeln für wortwörtliches Kopieren befolgen.

Sie dürfen ein einzelnes Dokument einer solchen Sammlung entnehmen und es separat unter dieser Lizenz verbreiten,

sofern Sie eine Kopie dieser Lizenz in das entnommene Dokument einfügen und in allen anderen Punkten die Regeln für

wortwörtliches Kopieren befolgen.

7. ZUSAMMENSTELLUNG MIT UNABHÄNGIGEN WERKEN

Eine Zusammenstellung des Werkes oder seiner Ableitungen mit anderen separaten, unabhängigen Dokumenten oder

Werken in oder auf derselben Einheit eines Speicher- oder Verbreitungsmediums wird dann ein „Gesamtwerk“ genannt,

wenn durch die aus der Zusammenstellung resultierenden Urheberrechte die Rechte der Benutzer der Zusammenstellung

nicht stärker einschränken, als dies durch die Lizenzen der einzelnen Werke geschieht. Wenn das Dokument in einem

Gesamtwerk enthalten ist, so gilt diese Lizenz nicht für die anderen Werke dieses Gesamtwerks, die keine Ableitung des

Dokuments sind.

Wenn die Bestimmungen für die Umschlagtexte in Abschnitt 3 auf diese Kopien des Dokuments Anwendung finden, und

wenn das Dokument weniger als die Hälfte des Gesamtwerks ausmacht, dann können die Umschlagtexte auf Umschlägen

platziert werden, die das Dokument innerhalb des Gesamtwerks umschließen, oder auf das elektronische Äquivalent eines

Umschlags, wenn das Dokument in elektronischer Form vorliegt. Anderenfalls müssen sie auf gedruckten Umschlägen

erscheinen, die das gesamte Werk umschließen.

8. ÜBERSETZUNG

GNU-Lizenz für freie Dokumentation

Übersetzungen werden als eine Art von Modifikationen betrachtet. Damit dürfen Sie eine Übersetzung des Dokuments

gemäß den Bestimmungen von Abschnitt 4 verbreiten. Um die unveränderlichen Abschnitte durch eine Übersetzung zu

ersetzen, benötigen Sie die spezielle Erlaubnis des Urheberrechtsinhabers. Sie können allerdings Übersetzungen einiger

oder aller unveränderlicher Abschnitte zu den Originalversionen der unveränderlichen Abschnitte hinzufügen. Sie können

eine Übersetzung dieser Lizenz, aller Lizenzhinweise im Dokument sowie eine Übersetzung der Haftungsausschlüsse

hinzufügen, sofern Sie die englische Originalversion dieser Lizenz und die Originalversionen dieser Hinweise und

Ausschlüsse beifügen. Sollten die Übersetzung und die Originalversion dieser Lizenz oder eines Hinweises oder

Ausschlusses voneinander abweichen, so gilt die Originalversion.

Wenn ein Abschnitt des Dokuments mit „Danksagungen“, „Widmungen“ oder „Verlauf“ überschrieben ist, so wird die

Anforderung (Abschnitt 4), den Titel (Abschnitt 1) dieses Abschnitts beizubehalten, typischerweise die Änderung des

tatsächlichen Titels erfordern.

9. SCHLUSSBESTIMMUNG

Sie dürfen dieses Dokument nicht kopieren, verändern, unterlizenzieren oder verteilen, sofern Sie dies nicht ausdrücklich

gemäß den Bestimmungen dieser Lizenz tun. Jeder andere Versuch, das Dokument zu kopieren, zu modifizieren,

unterzulizenzieren oder zu verbreiten ist unzulässig und führt automatisch zum Entzug der durch diese Lizenz gewährten

Rechte. Allerdings verlieren Parteien, die von Ihnen Kopien oder Rechte gemäß dieser Lizenz erhalten haben, nicht ihre

Rechte, solange sie die Lizenzbedingungen vollständig einhalten.

10. ZUKÜNFTIGE ÜBERARBEITUNGEN DIESER LIZENZ

Die Free Software Foundation kann jederzeit neue, überarbeitete Versionen der GNU-Lizenz für freie Dokumentation

veröffentlichen. Diese neuen Versionen werden den Geist der Vorgängerversion bewahren, können sich aber in Reaktion

auf neu aufgetretene Probleme und Sachverhalte in Details unterscheiden. Siehe http://www.gnu.org/copyleft/.

Jede Version dieser Lizenz erhält eine eigene Versionsnummer. Wenn das Dokument bestimmt, dass eine bestimmte

nummerierte Version „oder eine spätere Version“ hierauf Anwendung findet, können Sie entweder den Bedingungen

dieser bestimmten Version folgen oder einer Version, die später von der Free Software Foundation (nicht als Entwurf)

veröffentlicht wurde. Wenn das Dokument keine Versionsnummer für diese Lizenz festlegt, können Sie irgendeine durch

die Free Software Foundation (nicht als Entwurf) veröffentlichte Version auswählen.

ANHANG: Wie Sie diese Lizenz für Ihre Dokumente verwenden können

Um diese Lizenz in einem von Ihnen verfassten Dokument zu verwenden, müssen Sie eine Kopie der Lizenz in das

Dokument aufnehmen. Platzieren Sie hierbei die folgenden Urheberrechts- und Lizenzhinweise unmittelbar im Anschluss

an die Titelseite:

Copyright (C) JAHR IHR NAME. Dieses Dokument darf gemäß den Bedingungen der von der Free Software Foundation veröffentlichten GNU-Lizenz für freie Dokumentation (Version 1.2 oder höher) kopiert, verbreitet und/oder modifiziert werden; keine unveränderlichen Abschnitte, keinen vorderen oder hinteren Umschlagtexte. Eine Kopie der Lizenz ist im Abschnitt „GNU Free Documentation License“ enthalten.

Sind unveränderliche Abschnitte oder vordere und hintere Umschlagtexte vorhanden, ersetzen Sie die Zeile „keine …

Umschlagtexte.“ durch folgenden Text:

mit den unveränderlichen Abschnitten (AUFLISTUNG DER TITEL), mit den vorderen Umschlagtexten (AUFLISTUNG) und mit den hinteren Umschlagtexten (AUFLISTUNG).

Sind unveränderliche Abschnitte ohne Umschlagtexte oder eine andere Kombination der drei vorhanden, kombinieren Sie

diese zwei Alternativen entsprechend der Situation.

Wenn Ihr Dokument nicht-triviale Beispiele von Programmcode enthält, empfehlen wir, diese Beispiele parallel gemäß den Bestimmungen einer

freien Softwarelizenz Ihrer Wahl, beispielsweise der GNU General Public License, freizugeben, um deren Verwendung in freier Software zu

gestatten.er 5.50 »


http://www.gnu.org/copyleft/

Documents

Panda GateDefenderresources.pandasecurity.com/enterprise/.../eseries/GateDefender-eSe… · Die Verwaltungsoberfläche der Panda GateDefender-Appliance. Die GUI der Panda GateDefender-Appliance