Securepoint 11 v11... · Securepoint 11 Securepoint Security Solutions 2 Änderungsnachweise Version Freigabedatum Kapitel Änderungen 0.9 03.11.2012 alle Neuerstellung

Securepoint 11

Handbuch zur Securepoint UTM Software Version 11.1

Version des Handbuchs 0.9.2

Securepoint GmbH, Lüneburg

Security Solutions

Securepoint 11

Securepoint Security Solutions 2

Änderungsnachweise

Version Freigabedatum Kapitel Änderungen

0.9 03.11.2012 alle Neuerstellung

0.9.1 14.11.2012 6, 8.1, 9.2, 10.5,

12.1

Aktualisierung

0.9.2 06.12.2012 12.2, 12.3, 12.4

13, 14, 15

Aktualisierung

Securepoint 11


Inhaltsverzeichnis

1 Einleitung .......................................................................................................... 8

2 Zur Version 11 .................................................................................................. 9

3 Die Appliances .................................................................................................10

4 Anschluss der Appliance ..................................................................................11

4.1 Piranja und RC 100 .......................................................................................... 11

4.2 RC 200 ............................................................................................................ 12

4.3 RC 300 ............................................................................................................ 12

4.4 RC 400 ............................................................................................................ 13

5 Administrator-Interface .....................................................................................14

5.1 Mit der Appliance verbinden ............................................................................. 14

5.2 Systemanforderung an den Client-Rechner ..................................................... 15

6 Securepoint Cockpit .........................................................................................16

7 Menü Konfiguration ..........................................................................................17

7.1 Konfigurationen verwalten ................................................................................ 18

7.1.1 Konfiguration importieren ................................................................................. 19

7.1.2 Konfiguration hinzufügen ................................................................................. 20

7.1.3 Cloud Backup .................................................................................................. 20

7.2 Setup Wizard ................................................................................................... 21

7.3 Herunterfahren ................................................................................................. 24

7.4 Werkseinstellungen .......................................................................................... 24

7.5 Neu starten ...................................................................................................... 24

7.6 Abmelden ........................................................................................................ 24

8 Netzwerk ..........................................................................................................25

8.1 Servereinstellungen ......................................................................................... 26

8.1.1 Registerkarte Servereinstellungen ................................................................... 26

8.1.2 Registerkarte Administration ............................................................................ 27

8.1.3 Registerkarte Syslog ........................................................................................ 28

8.1.4 Registerkarte SNMP ........................................................................................ 29

Securepoint 11


8.2 Netzwerkkonfiguration ..................................................................................... 30

8.2.1 Netzwerkschnittstellen ..................................................................................... 30

8.2.2 WLAN .............................................................................................................. 35

8.2.3 Routing ............................................................................................................ 35

8.2.4 DHCP .............................................................................................................. 36

8.2.5 DHCP-Leases .................................................................................................. 37

8.2.6 DHCP-Relay .................................................................................................... 38

8.3 Zonen .............................................................................................................. 39

8.4 Netzwerk Werkzeuge ....................................................................................... 40

8.4.1 Registerkarte Route ......................................................................................... 40

8.4.2 Registerkarte Ping ........................................................................................... 40

8.4.3 Registerkarte Host ........................................................................................... 41

8.4.4 Registerkarte Traceroute ................................................................................. 43

9 Menü Firewall ..................................................................................................44

9.1 Portfilter ........................................................................................................... 45

9.1.1 Neue Regel anlegen ........................................................................................ 46

9.1.2 Regelgruppe anlegen ....................................................................................... 48

9.1.3 Registerkarte Netzwerkobjekte ........................................................................ 48

9.1.4 Registerkarte Dienste ...................................................................................... 51

9.1.5 Registerkarte Zeitprofile ................................................................................... 53

9.1.6 Registerkarte QOS ........................................................................................... 54

9.2 Implizite Regeln ............................................................................................... 55

9.2.1 Silent Services Drop ........................................................................................ 55

9.2.2 IPSec Traffic .................................................................................................... 56

9.2.3 IPSec HideNAT ................................................................................................ 56

9.2.4 VPN ................................................................................................................. 57

10 Menü Anwendungen ........................................................................................58

10.1 HTTP Proxy ..................................................................................................... 59

10.1.1 Allgemein ......................................................................................................... 59

10.1.2 Virusscan ......................................................................................................... 60

Securepoint 11


10.1.3 Bandbreite ....................................................................................................... 61

10.1.4 Application Blocking ......................................................................................... 62

10.1.5 SSL-Interception .............................................................................................. 63

10.1.6 Webfilter .......................................................................................................... 64

10.1.7 Transparent Mode............................................................................................ 69

10.2 Reverse Proxy ................................................................................................. 70

10.2.1 Servergruppen ................................................................................................. 70

10.2.2 ACL Sets ......................................................................................................... 71

10.2.3 Sites ................................................................................................................ 73

10.2.4 Einstellungen ................................................................................................... 74

10.3 POP3 Proxy ..................................................................................................... 75

10.4 Mailrelay .......................................................................................................... 76

10.4.1 Allgemein ......................................................................................................... 77

10.4.2 Smarthost ........................................................................................................ 77

10.4.3 Relaying ........................................................................................................... 78

10.4.4 SMTP Routen .................................................................................................. 79

10.4.5 Greylisting ........................................................................................................ 80

10.4.6 Domain Mapping .............................................................................................. 84

10.4.7 Erweitert .......................................................................................................... 85

10.5 Mailfilter ........................................................................................................... 87

10.5.1 Filterregeln ....................................................................................................... 87

10.5.2 Content-Filter ................................................................................................... 89

10.5.3 URL-Filter ........................................................................................................ 90

10.5.4 Mailfilter Einstellungen ..................................................................................... 91

10.6 VoIP Proxy ....................................................................................................... 92

10.6.1 Allgemein ......................................................................................................... 92

10.6.2 Provider ........................................................................................................... 92

10.7 IDS .................................................................................................................. 93

10.7.1 Ungültige TCP Flags ........................................................................................ 93

10.7.2 Trojaner ........................................................................................................... 93

Securepoint 11


10.8 Anwendungsstatus........................................................................................... 94

11 Menü VPN .......................................................................................................95

11.1 Globale VPN Einstellungen .............................................................................. 96

11.1.1 Allgemein ......................................................................................................... 96

11.1.2 Nameserver ..................................................................................................... 96

11.2 IPSec ............................................................................................................... 97

11.2.1 Site-to-Site ....................................................................................................... 97

11.2.2 Site-to-End (Roadwarrior) .............................................................................. 100

11.3 SSL VPN ....................................................................................................... 103

11.3.1 Roadwarrior-Server ........................................................................................ 104

11.3.2 Site-to-Site-Client ........................................................................................... 105

11.3.3 Site-to-Site Server.......................................................................................... 106

11.4 PPTP ............................................................................................................. 107

11.5 L2TP .............................................................................................................. 108

11.6 Clientless VPN ............................................................................................... 109

12 Menü Authentifizierung .................................................................................. 110

12.1 Benutzer ........................................................................................................ 111

12.1.1 Neuen Benutzer hinzufügen ........................................................................... 111

12.2 Externe Authentifizierung ............................................................................... 115

12.2.1 Radius ........................................................................................................... 115

12.2.2 LDAP ............................................................................................................. 115

12.2.3 Active Directory .............................................................................................. 116

12.3 Zertifikate ....................................................................................................... 117

12.3.1 CA erstellen ................................................................................................... 118

12.3.2 Zertifikat erstellen........................................................................................... 119

12.3.3 CA und Zertifikate importieren ....................................................................... 120

12.3.4 CA und Zertifikate exportieren ....................................................................... 120

12.3.5 CA und Zertifikate löschen ............................................................................. 121

12.4 RSA-Schlüssel ............................................................................................... 122

12.4.1 Liste der RSA Schlüssel................................................................................. 123

Securepoint 11


12.4.2 RSA Schlüssel anlegen ................................................................................. 123

12.4.3 RSA Schlüssel exportieren ............................................................................ 124

12.4.4 RSA Schlüssel importieren ............................................................................ 124

13 Menü Extras................................................................................................... 125

13.1 CLI ................................................................................................................. 125

13.2 Registrieren ................................................................................................... 126

13.3 Firmware Updates.......................................................................................... 127

13.4 Erweiterte Einstellungen ................................................................................ 128

13.4.1 Registerkarte Allgemein ................................................................................. 128

13.4.2 Registerkarte Templates ................................................................................ 129

14 Live Log ......................................................................................................... 130

15 Abbildungsverzeichnis ................................................................................... 131

1 Einleitung Piranja und RC 100 Securepoint 11


1 Einleitung

Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag

nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine

Dauerverbindung des Computers oder des Netzwerkes zum Internet.

Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals

außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer-

den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet

werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust

kommt; zum Beispiel hervorgerufen durch einen Computervirus.

Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die

Schadprogramme dann schon im lokalen Netz sind.

Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz-

werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt

und die Kommunikation mit dem Internet überwacht.

Das Securepoint Unified Threat Management (UTM) bietet eine Komplettlösung mit vie-

len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet

das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan-

ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath –

Routing-Funktionalität. Außerdem wird WLAN mit virtuellen Netzen und UTMS Anbin-

dung unterstützt.

Die Verbindung in einem System verringert den administrativen und integrativen Auf-

wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen

dient ein klar strukturiertes Administrator-Interface.

Die Securepoint UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi-

ell abgestimmten Appliances erhältlich. So deckt Securepoint verschiedenste Anforde-

rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit

mehreren hundert Rechnern ab.

2 Zur Version 11 Piranja und RC 100 Securepoint 11


2 Zur Version 11

Die Version 11 der Securepoint UTM Software ist komplett neu entwickelt. Das Basissystem

ist neu und die gesamte Befehlsreferenz erneuert. Dies bemerken Sie nur, wenn Sie die

Konfiguration der Appliance auch über das Command Line Interface (CLI) vorgenommen

haben.

Auch die Konfigurationsoberfläche ist neu aufgesetzt. Ein erweiterter Funktionsumfang und

Neuerungen, die die Konfiguration weiter vereinfachen haben in der Oberfläche Einzug er-

halten. Bei einem Upgrade auf die neue Version werden Sie sich aber schnell zurechtfinden,

weil die Anordnung der Funktionen erhalten geblieben ist.

3 Die Appliances Piranja und RC 100 Securepoint 11


3 Die Appliances

Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz-

werkschutzes konzipiert sind. Im Produktangebot von Securepoint sind 7 Appliances erhält-

lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei-

tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen

der Geräte.

Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz

Piranja

bis 5 100 Mbit/s 70 Mbit/s

RC 100

10 bis 25 100 Mbit/s 100 Mbit/s

RC 200

25 bis 50 400 Mbit/s 260 Mbit/s

RC 300

50 bis 100 1000 Mbit/s 700 Mbit/s

RC 310

50 bis 100 1000 Mbit/s 1000 Mbit/s

RC 400

100 bis 500 1000 Mbit/s 1000 Mbit/s

RC 410

100 bis 500 1000 Mbit/s 1000 Mbit/s

Gerät CPU RAM HDD Interfaces USB Ports

Piranja VIA C3 / Eden 533

MHz

1 GB Compact Flash

512 MB

3 x 10/100 Ether-

net Ports

1

RC 100 VIA C7 1 GHz 1 GB 80 GB 3 x 10/100 Ether-

net Ports

1

RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x 10/100/1000

Ethernet Ports

5

RC 300 Intel Core2 Duo E4500

2 x 2,2 GHz

1 GB 80 GB 6 x 10/1000

Ethernet Ports

4

RC 310 Pentium D

2 x 3,4 GHz

1 GB 2 x 80 GB 6 x 10/1000

Ethernet Ports

4

RC 400 Xeon 5335

1,8 GHz

2 GB 2 x 73 GB 10 x 10/1000

Ethernet Ports

4

RC 410 Xeon 1,8 GHz 2 GB 2 x 73 GB 10 x 10/1000

Ethernet Ports

4

4 Anschluss der Appliance Piranja und RC 100 Securepoint 11


4 Anschluss der Appliance

Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der

Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischenge-

schaltet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit

der Appliance verbunden werden.

Modem Securepoint

Appliance

Switch

Computer n

Computer 1

Computer 2

Internet

Abb. 1 Position der Appliance im Netzwerk

4.1 Piranja und RC 100

Die Piranja und die RC 100 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3),

eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse.

Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk-

adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2

spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port

LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge-

sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss

benutzt werden.

Abb. 2 Rückansicht der Piranja bzw. der RC 100

Anschluss Interface Netz

LAN 1 eth0 extern (Internet)

LAN 2 eth1 intern

LAN 3 eth2 DMZ

4 Anschluss der Appliance RC 200 Securepoint 11


4.2 RC 200

Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch

mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3

gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter-

nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden.

Abb. 3 Rückansicht einer RC 200



LAN 2 eth1 intern

LAN 3 eth2 DMZ

LAN 4 eth3 freie Verfügung

4.3 RC 300

Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen-

sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports

nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern.

Abb. 4 Frontansicht der RC 300 (schematisch)



LAN 2 eth1 intern

LAN 3 eth2 DMZ




4 Anschluss der Appliance RC 400 Securepoint 11


4.4 RC 400

Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken

angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts.

LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports

am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung.

Abb. 5 Frontansicht der RC 400 (schematisch)



LAN 2 eth1 intern

LAN 3 eth2 DMZ






LAN 1 LAN 3

LAN 2 LAN 4 LAN 6 LAN 8

LAN 5 LAN 7

5 Administrator-Interface Mit der Appliance verbinden Securepoint 11


5 Administrator-Interface

5.1 Mit der Appliance verbinden

Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces

auf den Port 11115 mit dem https (SSL) Protokoll.

Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf

192.168.175.1 eingestellt. Der Port 11115 wird nicht geändert und ist für die Administration

reserviert.

Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt.

Benutzername: admin

Kennwort: insecure

Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein:

https://192.168.175.1:11115/

Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die

IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse.

Es erscheint der Dialog LOGIN.

Abb. 6 Login Dialog

Geben Sie im Feld Benutzername admin ein.

Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den

Benutzer admin schon geändert haben das neue Kennwort.

Klicken Sie anschließend auf Login.

Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm.

Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authenti-

fizierung, Menüpunkt Benutzer.

Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und

Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein.

5 Administrator-Interface Systemanforderung an den Client-Rechner Securepoint 11


5.2 Systemanforderung an den Client-Rechner

Betriebssystem: ab MS Windows XP und Linux

Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend

Speicher: 512 MB oder mehr

Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3

6 Securepoint Cockpit Systemanforderung an den Client-Rechner Securepoint 11


6 Securepoint Cockpit

Über einen Webbrowser erreichen Sie das Administrationsinterface der Securepoint Appli-

ance. Dieses Interface ist die zentrale Oberfläche zur Verwaltung der Appliance. Die Ober-

fläche ist schon von der Securepoint 10 bekannt, wurde aber in vielfältiger Hinsicht verbes-

sert.

Abb. 7 Securepoint 11 Cockpit

Die Anzeige des Administrationsinterface ist fast uneingeschränkt anpassbar. Das Interface

umfasst fünf Arbeitsoberflächen, auf die die Fenster, die den Status und die Einstellungen

der Dienste und Hardware anzeigen, verteilt werden können. So können z.B. zusammenge-

hörige Fenster gruppiert werden.

Am unteren Bildschirmrand ist eine Auswahl an Statusanzeigen aufgelistet, die per Ziehen

und Ablegen (Drag-and-drop) auf der Arbeitsoberfläche positioniert werden können. Die An-

ordnung erfolgt dabei zeilenweise. In einer Zeile werden immer zwei Fenster nebeneinander

angeordnet.

Die Auswahl der Statusanzeigen ist standardmäßig verborgen und nur als schmaler Balken

dargestellt. Die Auswahl wird durch das Betätigen des Pfeilsymbols auf der linken Seite des

Balkens geöffnet.

Über die Hauptmenüleiste gelangt man zu Konfigurations- und Verwaltungsfenster, die als

Popupfenster geöffnet werden.

7 Menü Konfiguration Systemanforderung an den Client-Rechner Securepoint 11


7 Menü Konfiguration

Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di-

rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi-

guration zu finden. Außerdem kann hier das System aus den Auslieferungszustand zu-

rückgesetzt werden.

Abb. 8 Dropdownmenü des Menüpunktes Konfiguration

Bezeichnung Erklärung

Konfigurationsverwal-

ten

Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfigurati-

onsdateien auf. Hier hat man die Möglichkeit die Dateien zu exportieren, zu

drucken und zu löschen. Außerdem kann man Konfigurationen laden, Start-

konfigurationen setzen und Konfigurationen importieren oder aktuelle Ein-

stellungen in einer neuen Datei speichern.

Installations-

assistent

Der Installationsassistent hilft Ihnen bei der Einrichtung der grundlegenden

Einstellungen.

Neu starten Fährt die Appliance runter und startet sie anschließend neu.

Herunterfahren Das System wird gestoppt und heruntergefahren.

Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück.

Abmelden Abmeldung vom Administrator-Interface.

7 Menü Konfiguration Konfigurationen verwalten Securepoint 11


7.1 Konfigurationen verwalten

Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem

Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer

Liste aller gespeicherten Konfigurationsdateien.

Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im

Dropdownmenü auf den Eintrag Konfigurationen verwalten.

Es öffnet sich der Dialog Konfigurationen.

Abb. 9 Konfigurationsverwaltung

Das Fenster Konfigurationsverwaltung verfügt über die zwei Registerkarten Lokale Konfi-

gurationen und Cloud Backup. Die Registerkarte Lokale Konfigurationen zeigt die

auf der Appliance gespeicherte Konfigurationen.

Die Konfigurationen werden in einer Tabelle aufgelistet. Die Konfigurationen sind nach dem

Namen sortiert aufgelistet. Direkt oberhalb der Tabelle wird angezeigt, wie viele Einträge ein

Tabellenblatt aufnimmt. Außerdem kann über die Suchoption auf der rechten Seite nach ei-

ner Konfiguration gesucht werden.

Unterhalb der Tabelle wird die Gesamtanzahl der Konfigurationen angezeigt, sowie Naviga-

tionsschaltfläche für die Tabellenblätter.

In der Spalte Status werden Eigenschaften der jeweiligen Konfiguration angezeigt.

Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist

die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem

Reboot).

Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration.



Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die

Konfigurationsdateien anwenden kann.

Schaltfläche Bedeutung Beschreibung

Speichern Speichert die aktuelle Konfiguration in diese Datei.

Export Exportiert die Konfiguration und speichert diese im DAT Format ab.

Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration.

Laden Lädt die jeweilige Konfiguration.

Löschen Löscht die jeweilige Konfiguration.

Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen

+ Konfiguration importieren und + Konfiguration hinzufügen.

7.1.1 Konfiguration importieren

Eine bestehende Konfiguration kann auf das System importieren werden. Einzige Bedingung

dafür ist, dass die externe Datei im DAT Format vorliegen muss.

Abb. 10 Konfiguration importieren

Klicken Sie auf den Schaltfläche + Konfiguration importieren.

Es öffnet sich der Dialog Import.

Klicken Sie auf Datei auswählen und wählen Sie die gewünschte Datei aus.

Geben Sie im Feld Name einen Namen ein, unter der die Konfiguration gespeichert

werden soll.

Klicken Sie danach auf Import.

Die Konfigurationsdatei wird auf der Appliance gespeichert.



7.1.2 Konfiguration hinzufügen

Durch das Hinzufügen einer Konfiguration wird eine „leere“ Konfiguration im System ange-

legt. Ändert man die Einstellungen der Appliance können diese unter der neuen Konfigurati-

on gespeichert werden, ohne die bestehende Konfiguration zu überschreiben.

Bevor Sie die Einstellungen ändern, sollten Sie die aktuelle Konfiguration unter der neu er-

stellten Datei speichern. Anschließend laden Sie die neue Konfiguration und nehmen die

gewünschten Änderungen vor. So wird sichergestellt, dass die vorherige Konfiguration nicht

verändert wird.

Abb. 11 neue Konfiguration anlegen

Klicken Sie auf den Schaltfläche + Konfiguration hinzufügen.

Es öffnet sich der Dialog Hinzufügen.

Geben Sie im Feld Name einen Namen für die neue Konfiguration ein.

Klicken Sie danach auf Speichern.

Die Konfigurationsdatei wird auf der Appliance gespeichert.

7.1.3 Cloud Backup

Unter der Registerkarte Cloud Backup im Fenster Konfigurationsverwaltung, können

Sie ein Backup der Konfiguration in der Securepoint Cloud ablegen. Die Backups werden

also auf einen Securepoint Server gespeichert und sind von überall verfügbar.

Einstellungen zum Server und Authentifizierung müssen nicht vorgenommen werden. Diese

Daten werden dem Lizenzzertifikat entnommen. Das Zertifikat wird auch zur Authentifizie-

rung benutzt.

7 Menü Konfiguration Setup Wizard Securepoint 11


Abb. 12 Registerkarte Cloud Backup

Zum Anlegen eines Backups klicken Sie auf die Schaltfläche Backup der aktuel-

len Konfiguration erstellen.

Als Name des Backups werden das Speicherdatum und die Uhrzeit benutzt.

Die Backups können mit einem Kennwort gesichert werden.

Klicken sie dazu auf die Schaltfläche Kennwort setzen. Geben Sie in den Dialog

das Kennwort ein und bestätigen Sie dieses durch nochmalige Eingabe. Schließen

Sie den Vorgang mit Speichern ab.

7.2 Setup Wizard

Die Administratoroberfläche bietet einen Setup Assistenten an, der Ihnen bei der Anpassung

der Appliance an Ihre Netzwerkumgebung behilflich ist.

Der Assistent legt in sechs Schritten die wichtigsten Netzwerkverbindungen an.

Abb. 13 intere Firewall IP-Adresse

Starten Sie den Setup Assistenten über den Eintrag Setup Assistent im Menü-

punkt Konfiguration.

Im ersten Schritt geben Sie die interne IP-Adresse der Firewall an.



Abb. 14 Auswahl der Internetverbindung

Im zweiten Schritt geben Sie an, wie die Firewall mit dem Internet verbunden ist.

Zur Auswahl stehen:

DSL-PPPoE Die Verbindung wird über ein DSL Modem

hergestellt. Die Firewall übernimmt die Anmeldung.

Ethernet mit statischer IP Die Firewall ist in ein Ethernet Netzwerk

eingebunden und verfügt über eine statische

IP-Adresse.

Kabel-Modem mit DHCP Die Verbindung wird über ein Kabel-Modem

hergestellt. Dieses weißt der Firewall eine

IP-Adresse per DHCP zu.

Abb. 15 Daten für die Internetverbindung angeben

Der dritte Schritt ist der Verbindungsart aus Schritt zwei angepasst.

Bei einer DSL PPPoE Verbindung wird nach dem Benutzernamen und dem

Kennwort gefragt, welches vom Internet Provider zugewiesen wurde.

Bei einer Ethernet Verbindung muss die statische externe IP-Adresse der

Firewall und die IP-Adresse des Default Gateways angegeben werden. Das

Default Gateway ist die IP-Adresse des Geräts, was die Verbindung zum Internet

herstellt.

Da der dritten Methode wird die IP-Adresse automatisch bezogen. Der Assistent

wechselt zu Schritt vier.



Abb. 16 Netzwerkbereich der DMZ

Im vierten Schritt können Sie einen Adressbereich für die demilitarisierte Zone (DMZ)

anlegen.

Geben Sie die IP-Adresse und den Bitcount für den Netzwerkbereich der DMZ an.

Abb. 17 Ändern des Adminstrotorkennworts

Der fünfte Schritt verlangt die Änderung des Administrator Kennworts. welches bei Ausliefe-

rungszustand insecure lautet.

Geben Sie im Feld Benutzer den Namen des Nutzernamen des Administrators an.

Vorgabe ist admin.

Geben Sie im Feld Kennwort ein Kennwort für den Administrator ein.

Bestätigen Sie das Kennwort durch eine wiederholte Eingabe im Feld Kennwortbe-

stätigung.

7 Menü Konfiguration Herunterfahren Securepoint 11


Abb. 18 Einspielen der Lizenz

Der sechste Schritt kann eine Lizenz eingespielt werden.

Suchen Sie über die Schaltfläche Datei auswählen die Lizenz von Ihrem System

aus.

Klicken Sie auf Fertigstellen, um die Angaben zu übernehmen.

Der Assistent übernimmt die Änderungen und startet die Appliance neu.

Melden Sie sich an der Appliance mit den neuen Daten an.

7.3 Herunterfahren

Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet.

7.4 Werkseinstellungen

Setzt das System in den Auslieferungszustand zurück.

Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht.

7.5 Neu starten

Dieser Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die Start-

konfiguration geladen. Gegebenenfalls müssen Sie eine Startkonfiguration vor dem Reboot

festlegen.

7.6 Abmelden

Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und

die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei-

chert.

8 Netzwerk Abmelden Securepoint 11


8 Netzwerk

Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, sowie nützliche Netz-

werk Programme.

Abb. 19 Dropdownmenü des Menüpubktes Netzwerk


Appliance Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorgenommen:

Firewall-Name, DNS Server IP-Adressen, Syslog-Server IP-Adressen,

Zeitserver IP-Adresse und Zeitzone, Anzahl der gleichzeitigen Verbin-

dungen und Qualität der Regelprotokolleinträge

Netzwerkkonfiguration Einstellungen zum Netzwerk:

IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Routing und

DHCP Server Einstellungen

Zoneneinstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen anlegen.

Netzwerkwerkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle

8 Netzwerk Servereinstellungen Securepoint 11


8.1 Servereinstellungen

In diesem Bereich werden zum einen der Name der Appliance gesetzt und zum anderen IP-

Adressen zu DNS Servern, Time Server und Syslog Server angegeben.

8.1.1 Registerkarte Servereinstellungen

Abb. 20 Name, DNS Server und NTP Server angeben

Auf dieser Registerkarte müssen der Appliancename, die Domain Name Service Server und

der Network Time Protocol Server gesetzt werden.

Tragen Sie im Feld Firewallname den Domainnamen der Appliance ein.

Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Ser-

vice Servers ein.

Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer

Nameserver ein.

Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Ap-

pliance DNS Dienst verwendet.

Im Feld Aktuelles Datum wird die verwendete Systemzeit angezeigt. Die Schaltfläche

rechts neben dem Feld aktualisiert den Eintrag.

Geben Sie im Feld NTP-Server die IP-Adresse oder den Hostnamen eines Zeitser-

vers ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus.

Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbin-

dungen beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen.

Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene

Pakete.



8.1.2 Registerkarte Administration

Abb. 21 Netze oder IP-Adressen zur Administration

Auf dieser Registerkarte tragen Sie Netze oder IP-Adressen ein, die auf das Administrations-

interface der Appliance zugreifen dürfen.

Klicken Sie auf die Schaltfläche +IP / Netzwerk hinzufügen, um weitere Einträge

einzufügen.

Geben Sie im öffnenden Dialog die IP-Adresse oder das Netzwerk ein. Achten Sie

darauf, dass Sie den richtigen Bitcount verwenden.

Klicken Sie auf die Schaltfläche Speichern.

Die neue Eintragung erscheint in der Liste.



8.1.3 Registerkarte Syslog

Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das

Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen

können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log-

meldungen analysiert werden.

Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden.

Abb. 22 Syslog-Server angeben

Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Ser-

ver hinzufügen.

Es öffnet sich der Dialog Syslog Server hinzufügen.

Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und

den zu verwendenden Port (standardmäßig 514). Klicken Sie dann auf Hinzufügen.

Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen.



8.1.4 Registerkarte SNMP

Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen

Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto-

kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen.

Es werden die Protokollversion 1 und 2c unterstützt.

Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein.

Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und

der Community String bekannt sein.

Abb. 23 SNMP Einstellungen setzen

Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide

Versionen gleichzeitig verwenden.

Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Be-

nutzer mitgeteilt werden.

Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP-Adresse

oder ein Netzwerk an, von denen der Zugriff per SNMP erlaubt werden soll.

Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hin-

zufügen.

Die IP-Adresse bzw. das Netzwerk wird in der Liste hinzugefügt.

Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel

angelegt werden.

8 Netzwerk Netzwerkkonfiguration Securepoint 11


8.2 Netzwerkkonfiguration

Über diesen Punkt verwalten Sie die physikalischen und virtuellen Interface, die WLAN Ein-

stellungen, das Routing und den DHCP Dienst.

8.2.1 Netzwerkschnittstellen

Auf der Registerkarte Netzwerkschnittstellen werden die Netzwerkkarten der Appliance mit

deren IP-Adressen und Zonen angezeigt. Hier können Sie auch Schnittstellen für ver-

schiedenste Anbindungen erstellen. Die Konfiguration der Schnittstellen erfolgt dann über

den Bearbeitungsdialog der einzelnen Schnittstellen.

Neu ist die Unterstützung von IPv6. Sie haben die Möglichkeit Ihr internes Netzwerk auf IPv6

umzustellen. Die Verbindung zum globalen Netz benötigen Sie dann einen Tunnelbroker-

dienstleister, der die IPv6 Datenpakete über einen IPv4 Tunnel routet.

Abb. 24 Registerkarte Netzwerkschnittstellen

Schnittstellen Typ Beschreibung

6in4 Schnittstelle zur Verbindung mit externen IPv6 Tunnelbrokern.

VDSL Schnittstelle zur Verbindung zum VDSL.

GSM Schnittstelle zur Verbindung zum Mobilfunknetz.

PPPoE Schnittstelle zur Verbindung zum DSL Netz.

PPTP Schnittstelle zur Verbindung zum DSL Netz.

VLAN Schnittstelle zur Erstellung virtueller Netze.

Ethernet Weitere physikalische Netzwerkadapter.

Das Anlegen der Schnittstellen erfolgt jeweils durch einen kleinen Assistenten, der die benö-

tigten Daten Schritt für Schritt abfragt.



8.2.1.1 Schnittstelle bearbeiten

Wenn Sie eine Schnittstelle erstellt haben, können Sie die erweiterten Einstellungen zu der

Schnittstelle bearbeiten. Klicken Sie dazu auf die Schaltfläche mit dem Werkzeugschlüssel-

symbol.

Allgemein

Abb. 25 Registerkarte Allgemein

Im Feld Name kann der Name der Schnittstelle geändert werden.

Aktivieren Sie die Checkbox DHCP, wenn die Schnittstelle die IP-Adresse vom

DHCP Dienst beziehen soll.

Mit der Checkbox Router Advertisement verschickt das Interface Advertisement

an die Clients. Diese konfigurieren anhand dieser automatisch die default Route.

Einstellungen

Abb. 26 Registerkarte Einstellungen

Stellen Sie Im Feld MTU die Maximum Transmission Unit der Schnittstelle ein.

Entscheiden Sie im Feld Autonegotiation, ob die Schnittstelle mit anderen Geräten

die maximale Übertragungsgeschwindigkeit automatisch aushandeln darf.

Stellen sie im nächsten Feld die Geschwindigkeit der Schnittstelle ein.

Stellen Sie bei Duplex ein, ob es sich bei der Schnittstelle eine Vollduplex oder eine

Halbduplex Datenübermittlung benutzt.



IP-Adressen

Abb. 27 Registerkarte IP-Adressen

Tragen Sie weitere IP-Adressen für die Schnittstelle ein, indem Sie die gewünschte

IP-Adresse im unteren Feld eintragen.

Tragen Sie den passenden Bitcount dazu ein.

Klicken Sie dann auf Hinzufügen.

Zonen

Abb. 28 Registerkarte Zonen

Wählen Sie die Zonen für die Schnittstelle, indem Sie auf die entsprechende Zone

klicken.

Möchten Sie mehrere Zonen auswählen, drücken Sie bei der Auswahl die Strg Taste

bzw. die Ctrl-Taste.



DynDNS

Abb. 29 Registerkarte DynDNS

Wenn die Schnittstelle DynDNS benutzt aktivieren Sie dies, indem Sie ein Häkchen in

die Checkbox setzen.

Geben Sie den Hostnamen des Systems ein.

Geben Sie den Benutzer und das Kennwort ein, dass Sie vom DynDNS Anbieter

zugewiesen bekommen haben.

Geben Sie im Feld Server den Server des Anbieters an.

Geben Sie im Feld MX die Domäne für den E-Mail-Empfang an.

QoS

Abb. 30 Registerkarte QoS

Wählen Sie eine Datenraten Einstellung im Feld QoS, die Sie im Portfilter eingestellt

haben.



Fallback

Auf dieser Registerkarte können Sie eine Hotstandby Abfrage konfigurieren.

Abb. 31 Registerkarte Fallback

Wählen Sie im Feld Fallback-Schnittstelle aus, über welche Schnittstelle die Aktivi-

tätsabfragen geschickt werden soll.

Im Feld Ping-check Host tragen Sie den Hostnamen oder die IP-Adresse des

Hauptsystems ein.

Wählen Sie im Feld Ping-check Intervall aus, wie groß der Abstand zwischen den

einzelnen Abfragen sein soll.

Wählen Sie im Feld Ping-check Threshold aus, wie viele Abfragen unbeantwortet

bleiben dürfen, bis die andere Maschine als ausgefallen gilt.



8.2.2 WLAN

In der Registerkarte kann die Appliance als WLAN Access Point konfiguriert werden.

Abb. 32 Registerkarte WLAN

Klicken Sie auf WLAN Hinzufügen und geben Sie die abgefragten Daten ein.

8.2.3 Routing

Auf dieser Registerkarte können Sie Routeneinträge setzen. Damit legen Sie fest über wel-

ches Gateway oder welche IP-Adresse ein Ziel erreicht wird. Der Standardeintrag (default

route) ist, dass alle Ziele über das interne Gateway erreicht werden.

Abb. 33 Registerkarte Routing



Abb. 34 Route anlegen / bearbeiten

Klicken Sie auf die Schaltfläche Route hinzufügen.

Geben Sie eventuelle ein Netzwerk im Feld Quellnetzwerk ein. Dies ist nur nötig,

wenn spezielle Routingeinträge für bestimmte Subnetze definiert werden sollen.

Entscheiden Sie sich, ob über eine Gateway-IP oder eine Gateway-Schnittstelle

geroutet werden soll. Geben Sie die Gateway-IP ein oder wählen Sie die Gateway-

Schnittstelle aus.

Geben Sie im Feld Zielnetzwerk das Netzwerk an, welches mit diesem Routingein-

trag erreicht werden soll.

8.2.4 DHCP

Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk

automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei-

nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser

übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des

Standardgateways.

Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und

deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen Anwen-

dungs.

Abb. 35 Registerkarte DHCP



Abb. 36 Netzwerkbereich festlegen

Abb. 37 zuständigen Router festlegen

Klicken Sie auf die Schaltfläche Pool Hinzufügen.

Geben Sie einen Namen für den Pool ein.

Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll.

Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste

Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit

nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen

für besondere Rechner, die feste IP-Adressen benötigen, vorhalten.

Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die

obere Grenze des Bereichs unter DHCP Pool Ende.

Geben Sie im Feld Router die IP-Adresse des Standardgateway ein.

8.2.5 DHCP-Leases

Auf dieser Registerkarte können für Clients IP-Adressen reserviert werden. Der Client be-

kommt bei der Anmeldung im Netzwerk dann immer die gleiche IP-Adresse zugewiesen.

Abb. 38 Registerkarte DHCP Leases



Abb. 39 DHCP Lease hinzufügen

Klicken Sie auf die Schaltfläche Lease hinzufügen.

Geben Sie im Feld Host einen Namen für den Client ein.

Geben Sie im Feld Ethernet die Mac Adresse des Host ein.

Tragen Sie im Feld IP die IP-Adresse ein, die für den Client reserviert werden soll.

8.2.6 DHCP-Relay

Ein DHCP Relay muss konfiguriert werden wenn der DHCP Server mehrere Subnetze ver-

walten soll. Der Relay Dienst nimmt DHCP Anfragen von Clients entgegen und gibt diese an

den zuständigen DHCP Server weiter. Antworten des Servers werden dann in das Subnetz

des Clients zurückgereicht.

Dies kann getrennt für IPv4 und IPv6 definiert werden.

Abb. 40 Registerkarte DHCP Relay

8 Netzwerk Zonen Securepoint 11


8.3 Zonen

Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter-

faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von-

einander abzugrenzen oder zu verbinden.

Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen

nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in

der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone

immer nur einem Interface zugeordnet werden kann.

Abb. 42 neue Zone anlegen

Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die

neue Zone ein.

Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone

zugeordnet werden soll.

Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der be-

treffenden Zone.

Bestätigen Sie die Sicherheitsabfrage mit Löschen.

Die Zone wird entfernt.

Hinweis: Ein zugeordnetes Interface kann nach dem Anlegen in dieser Ansicht nicht mehr

geändert werden. Möchten Sie der Zone ein anderes Interface zuordnen, benut-

zen Sie im Menü Netzwerk den Unterpunkt Netzwerkkonfiguration. In der

Registerkarte Schnittstellen können Sie die Zone für ein Interface bearbeiten.

Abb. 41 Zonen und Interfacebindung

8 Netzwerk Netzwerk Werkzeuge Securepoint 11


8.4 Netzwerk Werkzeuge

Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der

Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden.

Registerkarte Funktion

Route Zeigt die Routing Einträge der Appliance an.

Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist

Host Ermittlung der IP-Adresse(n) eines Host.

Traceroute Der Weg der Datenpakete bis zum Zielrechner.

8.4.1 Registerkarte Route

Abb. 43 Routing Einträge der Appliance

Klicken Sie auf Übertragen, damit die Routing Einträge angezeigt werden.

Wenn Sie IP Version 6 verwenden und sich die entsprechenden Routing Einträge an-

zeigen möchten, aktivieren Sie vorher die Checkbox IPv6.

8.4.2 Registerkarte Ping

Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die

Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und

wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in

diesem Zusammenhang auch als Pong bezeichnet).



Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber

auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist,

dass er Pings nicht beantwortet.

Abb. 44 Ergebnis des Ping Befehls

Wählen Sie im Feld Quelle die IP-Adresse, von der das Ping Paket abgeschickt

werden soll.

Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Ziel ein.

Klicken Sie dann auf Übertragen.

Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die

durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Au-

ßerdem wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen

(Received) worden sind.

Antwortet der Rechner nicht, erscheint die Meldung undefined.

8.4.3 Registerkarte Host

Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat. Es han-

delt sich nur um eine Hostnamenauflösung. Die Umkehrung, von der IP auf den Hostnamen

zu schließen, wird ebenfalls unterstützt. Benutzen Sie dazu den Abfrage Typ PTR.



Abb. 45 DNS Abfrage

Wählen Sie im Dropdownfeld Abfrage Typ einen Typ aus oder belassen Sie den

Eintrag auf beliebig.

Geben Sie im Feld Hostname einen Rechnernamen ein.

Klicken Sie dann auf Ausführen.

Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufge-

listet.

Abfrage Typ

A Gibt die IPv4 Adresse zu dem Hostnamen aus.

AAAA Gibt die IPv6 Adresse zu dem Hostnamen aus.

PTR Gibt den Hostnamen zu einen abgefragten IP-Adresse aus.

MX Mail Exchange

Gibt den E-Mail-Server der Domain zurück.

TXT Dieser Eintrag gibt den Text wieder, der beim DNS frei definierbar ist. Oftmals wer-

den hier Daten von Anti-Spam-Techniken abgelegt (z.B. SPF).

SOA Start Of Authority

Gibt Zonen Details des DNS zurück (Zonenklasse, Seriennummer, Gültigkeitsdauer

usw.).

NS Gibt die Nameserver an, die für diese Zone zuständig sind.



8.4.4 Registerkarte Traceroute

Mit Traceroute kann der Weg der Datenpakete durch das Netzwerk verfolgt werden. Dabei

werden die Vermittlungsstellen (Hops), die die Pakete passieren bis zum Zielhost angezeigt.

Abb. 46 Anzeige der Hops bis zum Zielhost

Geben Sie im Feld Ziel, eine IP-Adresse oder einen Hostnamen an.

Wenn Sie eine IPv6 Adresse benutzen, aktivieren Sie die Checkbox IPv6.

Klicken Sie auf Ausführen.

Im Anzeigebereich, werden die Vermittlungsstellen, die ein Paket bis zum Ziel pas-

siert aufgelistet.

9 Menü Firewall Netzwerk Werkzeuge Securepoint 11


9 Menü Firewall

In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der

Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech-

nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet.

Abb. 47 Dropdownmenü des Menüpunktes Firewall


Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und zu Geräten

angelegt.

Implizite Regeln Dieser Punkt enthält Standardregeln, die Sie bei Bedarf aktivieren können oder

von der Protokollierung ausnehmen können.

9 Menü Firewall Portfilter Securepoint 11


9.1 Portfilter

Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen

der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut-

zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der

eine bestimmte Regel betrifft, protokolliert wird.

Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die

den Datenverkehr erlaubt.

Auf weiteren Registerkarten finden Sie die Punkte Netzwerkobjekte, Dienste, Zeitprofile und

QOS (Quality Of Services).

Abb. 48 Portfilter

Die Regeln im Portfilter sind nach folgendem Schema aufgebaut:


Quelle Von wo wird die Verbindung aufgebaut. Dies kann ein Host oder ein Netz sein.

Ziel Wohin wird die Verbindung aufgebaut. Auch dies kann ein Host oder ein Netz sein.

Dienst Definiert das Protokoll und/oder den Port oder die Ports, die die Verbindung benutzt.

Aktion Legt fest, ob diese Verbindung erlaubt, verweigert oder zurückgewiesen wird.

Zur besseren Übersicht können die Regeln in Gruppen zusammengefasst werden.

Mit dem Werkzeugschlüsselsymbol am Ende der Zeile kann die jeweilige Regel bear-

beitet werden.

Mit dem Abfalleimersymbol am Ende der Zeile kann die jeweilige Regel gelöscht werden.

Regeln und Regelgruppen können per „Drag and Drop“ verschoben werden. Dabei können

Regeln auch von einer Gruppe in eine andere abgelegt werden.



Diese Funktion ist wichtig, da die Regeln nacheinander abgearbeitet werden und daher die

Reihenfolge der Regeln im Regelwerk relevant ist.

Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht

noch auf den Button Aktualisiere Regeln klicken.

Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän-

dern.

9.1.1 Neue Regel anlegen

Falls Netzwerkobjekte für Quelle und/oder Ziele der Verbindung noch nicht vorhanden sind,

müssen diese vorher angelegt werden. Das gleiche gilt für Dienste, die von der Verbindung

benutzt werden.

Abb. 49 Dialog zum ANlegen einer neuen Regel

Klicken Sie im Portfilter auf die Schaltfläche Regel hinzufügen.

Es erscheint der Dialog Regel hinzufügen.

Wählen Sie im Bereich Allgemein die gewünschten Einstellungen aus. Folgende

Eigenschaften sind vordefiniert:

Die Regel ist aktiv. Soll die Regel nicht angewendet werden, deaktivieren Sie

die Checkbox.



Die Aktion der Regel ist ACCEPT (erlauben). Wenn die neue Regel die Daten-

transfer verbieten soll, wählen Sie als Aktion DROP oder REJECT. Bei der Ak-

tion REJECT wird der Quelle die Fehlermeldung „Destination unreachable“ zu-

rückgegeben.

Logging-Typ ist NONE (keine Protokollierung). Sollten Sie eine Protokollierung

wünschen, wählen Sie die Einstellung SHORT (Die ersten drei Pakete einer

neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten drei

Pakete der gleichen Verbindung geloggt.) oder LONG (Alle Pakete werden pro-

tokolliert.).

Es ist keine Regelgruppe ausgewählt. Soll die Regel einer Regelgruppe ange-

hören, wählen Sie eine bestehende Regelgruppe aus dem Dropdownfeld. Sollte

die gewünschte Gruppe noch nicht existieren, Können Sie diese auch später im

Portfilter anlegen und die Regel in die Gruppe verschieben.

Markieren Sie in der Liste Quelle die Paketquelle. Benutzen Sie ggf. die Suchzeile

über der Liste.

Markieren Sie in der Liste Ziel das Ziel der Pakete. Benutzen Sie ggf. die Suchzeile

über der Liste.

Wählen Sie einen NAT Typ (Network Address Translation) aus.

None: Diese Regel ist an keinem NAT Typ gebunden.

Hide-NAT: Datenpakete dieser Regel werden mit der IP-Adresse des gewählten

Interfaces versehen.

Hide-NAT exclude: Die Datenpakete dieser Regel verwenden kein NAT, be-

halten somit die originalen IP-Adressen. Diese Funktion ist z.B. wichtig bei IP-

SEC Verbindungen.

Dest NAT: Bei dieser Adressumsetzung wird die Zieladresse von eingehenden

Paketen ersetzt. Dies ist abhängig vom benutzten Dienst und Port. So können

Serverdienste, die auf verschiedenen Computern laufen, unter einer IP-Adresse

angesprochen werden.

Wählen Sie einen Dienst welcher von der Verbindung benutzt wird, aus der Liste

Dienst.

Wenn Sie schon QOS (Quality Of Service) Einstellungen vorgenommen haben, kön-

nen Sie eine Bandbreite auswählen.

Haben Sie schon Zeitprofile eingestellt, können Sie die Geltung der Regel auf be-

stimmte Uhrzeiten und Tage begrenzen.

Im Bereich Bemerkung können Sie eine Beschreibung der Regel oder Anmerkun-

gen zur Regel angeben.

Erstellen Sie die Regel mit der Schaltfläche Speichern.

Hinweis: Beachten Sie, dass eine neue Regel erst in Kraft tritt, wenn die Schaltfläche

Regeln aktualisieren gedrückt wurde.



9.1.2 Regelgruppe anlegen

Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln

eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher

zu gestalten.

Abb. 50 Regelgruppe hinzufügen

Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen.

Es öffnet sich der Dialog Gruppe hinzufügen.

Tragen Sie im Feld Name einen Namen für die neue Gruppe ein.

Klicken Sie auf Hinzufügen.

Die neue Gruppe wird im Portfilter an unterster Position angefügt.

Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben.

Bei der Erstellung einer neue Regel können Sie diese der Gruppe zuweisen.

Sie können die Gruppe selbst ebenfalls per „Drag & Drop“ im Portfilter verschieben.

9.1.3 Registerkarte Netzwerkobjekte

Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces,

VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil-

ter genau bestimmt werden.

Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter



Wechsel Sie im Fenster Portfilter auf die Registerkarte Netzwerkobjekte.

Hier sind alle bestehenden Netzwerkgruppen und Netzwerkobjekte aufgelistet. Die

Tabellen können nach den Werten der verschiedenen Spalten geordnet werden.

Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen

Objektes positioniert.

Über jeder Tabelle befindet sich ein Suchfeld, mit dem die jeweilige Liste durchsucht

werden kann.

Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkgruppen

und neue Netzwerkobjekte angelegt werden.

9.1.3.1 Netzwerkgruppe hinzufügen

Eine Netzwerkgruppe dient dazu, thematisch zusammengehörige Netzwerkobjekte zusam-

menzufassen. Dies hilft die Menge der Netzwerkobjekte zu strukturieren.

Abb. 52 neue Netzwerkgruppe anlegen

Um eine Gruppe anzulegen, gehen Sie wie folgt vor.

Klicken Sie im linken Bereich Netzwerkgruppen auf die Schaltfläche Gruppe hin-

zufügen.

Geben Sie im öffnenden Dialog den Namen der neuen Gruppe ein.

Klicken Sie auf Speichern.



9.1.3.2 Netzwerkobjekt hinzufügen

Es können verschiedene Netzwerkobjekttypen definiert werden. Durch die verschiedenen

Typen, können die Objekte genau definiert. Außerdem wird der Portfilter übersichtlicher, da

jeder Typ ein eindeutiges Symbol hat.

Beim Anlegen eines neuen Objektes variieren die Eingabemaske und/oder die Auswahlmög-

lichkeiten in Abhängigkeit zum gewählten Typ.

Typ Beschreibung

Host Netzwerkobjekt für einen Rechner

Netzwerk Netzwerkobjekt für ein Netzwerk oder Subnetz

VPN Host Netzwerkobjekt für einen Rechner in der Zone IPSec

VPN Netzwerk Netzwerkobjekt für ein Netzwerk in der Zone IPSec

Statische Schnittstelle Netzwerkobjekt für ein Interface mit fester IP-Adresse

Dynamische Schnittstelle Netzwerkobjekt für ein Interface mit dynamischer IP-Adresse

Benutzer Netzwerkobjekt für einen Benutzer

Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner.

Klicken Sie im Portfilter auf der Registerkarte Netzwerkobjekte auf die Schaltflä-

che Objekt hinzufügen. Diese befindet sich unterhalb der Liste aller Netzwerkob-

jekte.

Es öffnet sich der Dialog Netzwerkobjekt hinzufügen.

Geben Sie im Feld Name einen Namen für das neue Objekt an.

Wahlen Sie aus dem Dropdownfeld Gruppe eine bestehende Gruppe, zu der das

Objekt zugefügt werden soll. Die Auswahl ist optional.

Wählen Sie aus dem Dropdownfeld Typ die Art des Objekts.

Wählen Sie aus dem Dropdownfeld Zone die Zone, in der sich das neue Objekt be-

findet.

Geben Sie in dem Feld IP-Adresse die IP-Adresse und den Bitcount des Objekts

an. Dies ist für Rechner, Netzwerke und statische Schnittstellen nötig.

Wählen Sie aus dem Dropdownfeld Benutzer den Benutzer aus, für den das Objekt

angelegt wird. Nur nötig beim Anlegen eines Netzwerkobjektes für einen Benutzer.



9.1.4 Registerkarte Dienste

Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der

Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste

benutzen.

Die Liste der vordefinierten Dienste ist schon sehr umfassend, Sie können aber auch eigene

Dienste hinzufügen, Dienste löschen oder bearbeiten.

Abb. 54 Ansicht der Registerkarte Dienste

Dienstgruppen werden im linken Fensterbereich angezeigt. Wenn Sie eine Dienstgruppe

markieren, werden die Dienste, die in der Gruppe beinhaltet sind, in der oberen Liste auf der

rechten Seite angezeigt. Hier können Sie Dienste aus der Gruppe entfernen oder Dienste zu

der Gruppe hinzufügen.

Zum Entfernen eines Dienstes suchen Sie den betreffenden Dienst aus der oberen Liste auf

der rechten Seite. Klicken Sie in der betreffenden Zeile auf die Schaltfläche mit dem Minus-

symbol. Der Dienst wird lediglich aus der Gruppe entfernt. Der Dienst ist für weitere Verwen-

dungen noch im System gespeichert.

Zum Hinzufügen suchen Sie in der unteren Liste auf der rechten Seite den gewünschten

Dienst heraus. Klicken Sie in der Zeile des Dienstes auf die Schalfläche mit dem Plussymbol.

Der Dienst wird der markierten Gruppe hinzugefügt.



9.1.4.1 Hinzufügen einer Dienstgruppe

In dem Bereich Dienstgruppen können sie mehrere Dienste zu einer Gruppe zusammenfas-

sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin-

zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden.

Abb. 55 neue Dienstgruppe anlegen

Klicken Sie unterhalb der linken Liste auf die Schaltfläche Gruppe hinzufügen.

Im öffnenden Dialog geben Sie einen Namen für die Gruppe ein und klicken Sie auf

Speichern.

9.1.4.2 Neuen Dienst anlegen

Sie können auch einen neuen Dienst nach Ihren Anforderungen anlegen.

Abb. 56 Eingabemaske zum Anlegen eine Dienstes. Diese Abbildung zeigt alle möglichen Paramter an.

Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll.

Um eine neuen Dienst anzulegen, klicken Sie auf die Schalfläche Dienst hinzufü-

gen unterhalb der unteren Liste im rechten Fensterbereich.

Geben Sie im öffnenden Dialog einen Namen für den neuen Dienst an.

Wählen Sie dann das gewünschte Protokoll aus dem Dropdownfeld. Es werden ei-

ne Vielzahl Protokolle angeboten. Je nach gewähltem Protokoll ändert sich die Ein-

gabemaske.

Die gebräuchlichsten Protokolle (tcp, udp und icmp) führen die Dropdownliste an. Alle

weiteren sind alphabetisch geordnet.



Tragen Sie die abgefragten Parameter ein und klicken Sie auf die Schaltfläche Spei-

chern.

Sie können den neu angelegten Dienst einer Gruppe hinzufügen.

9.1.5 Registerkarte Zeitprofile

Auf dieser Registerkarte können Sie Zeitprofile anlegen. Wenn Sie die Profile an eine Regel

binden, wird der Geltungszeitraum der Regel beschränken.

Abb. 57 Zeitprofil für Arbeitstage anlegen

Erstellen Sie zuerst ein Zeitprofil.

Klicken Sie unterhalb der linken Liste auf die Schaltfläche Zeitprofil hinzufügen.

Geben Sie im erscheinenden Dialog einen Namen für das Profil ein und klicken Sie

auf Speichern.

Wählen Sie jetzt die Zeiten für die Gültigkeit des Profils aus.

Markieren Sie in der linken Liste das Profil, für welches Sie Zeiten auswählen möch-

ten.

Markieren Sie jetzt im rechten Fenster an welchen Wochentagen und Zeiten das Pro-

fil eine Regel freigibt.

Neben- und untereinander liegende Tabellenzellen können Sie mit markieren, indem

Sie die linke Maustaste gedrückt halten und die Maus zur gewünschten Tabellenzelle

ziehen.

Möchten Sie Zellen markieren, die nicht zusammenhängen, halten Sie bei der Mar-

kierung die Strg Taste (ctrl auf englischen Tastaturen) gedrückt.



9.1.6 Registerkarte QOS

Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra-

tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden

und eingehenden Datenverkehr möglich.

Abb. 58 QoS grafisch dargestellt

Abb. 59 QoS anlegen

Klicken Sie auf die Schaltfläche QoS hinzufügen, um eine neue Limitierung oder

Zusicherung anzulegen.

Geben Sie im Feld Name eine Bezeichnung für den neuen Eintrag an.

Wählen Sie im Dropdownfeld Parent in welcher Ebene der Baumstruktur der neue

Eintrag eingefügt werden soll. Wenn kein Parent gewählt wird, wird der Eintrag auf

der höchsten Ebene eingetragen.

Tragen Sie in der Feldern Min und Max die minimale und maximale Datenrate in

kbit/s an (Werte können auch gleich sein).

Fügen Sie durch Speichern den neuen Eintrag hinzu.

9 Menü Firewall Implizite Regeln Securepoint 11


9.2 Implizite Regeln

Für verschiedene Systemdienste und VPN-Verbindungen sind ab Werk Regeln vordefiniert.

In diesem Bereich können diese bei Bedarf aktiviert werden. Diese werden dann auch von

der Protokollierung ausgenommen.

Silent Service Accept

BOOTP steht für Bootstrap Protocol. Mit diesem Protokoll können im TCP/IP Netzwerk ein-

fache Netzwerkparameter übermittelt werden.

Abb. 60 Bootstrap Protocol zulassen

Über die Checkboxes hinter dem Systemdienst kann die der Dienst zugelassen und

die Protokollierung deaktiviert werden.

Setzen Sie dazu das Häkchen in die Checkbox.

9.2.1 Silent Services Drop

Die NetBIOS Funktionen zur paket- und verbindungsorientierter Kommunikation sowie zur

Namensauflösung können hier geblockt werden. Die Meldungen dazu werden dann von der

Protokollierung ausgeschlossen.

Abb. 61 NetBIOS Dienste blockieren

Aktivieren Sie die Checkbox des Dienstes, den Sie blocken möchten.

Wenn Sie die Checkbox in der Titelleiste aktivieren, werden alle Einträge geblockt.



9.2.2 IPSec Traffic

Diese Registerkarte betrifft den Datenverkehr von IPSec VPN Verbindungen. Sie können

hier jeglichen Nutzdatenverkehr zulassen und von der Protokollierung ausnehmen.

Abb. 62 Datenverkehr im IPSec Tunnel

Aktivieren Sie die Checkbox um den Nutzdatenverkehr zuzulassen.

Gleichzeitig wird die Protokollierung zu diesem Datenverkehr ausgeschaltet.

9.2.3 IPSec HideNAT

Hier können Sie alle IPSec Verbindungen von der Adressumsetzung ausnehmen.

Abb. 63 NAT für IPSec Verbindungen ausschalten

Aktivieren Sie die Checkbox, um NAT-Einstellungen für IPSec-Verbindungen nicht

anzuwenden.



9.2.4 VPN

Hier sind vordefinierte Regeln aufgelistet, für Protokolle und Dienste, die zum Aufbau und

Betrieb von VPN Verbindungen benötigt werden.

Abb. 64 vordefinierte VPN Regeln

Über die Checkboxes hinter den Regeln können diese aktiviert oder deaktiviert wer-

den.

Wenn ein Häkchen in der Checkbox der Überschriftzeile gesetzt wird, dann sind alle

aufgelisteten Regeln aktiviert.

Zugelassene Protokolle und Dienste werden von der Protokollierung ausgenommen.

10 Menü Anwendungen Implizite Regeln Securepoint 11


10 Menü Anwendungen

Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und Reverse Proxy sowie die

Einstellungen für das IDS und den Nameserver, für das Mail Relay und den SPAM-Filter

zusammengefasst. Außerdem kann der Status der Dienste gewechselt werden.

Abb. 65 Dropdownmenü Dienste


HTTP-Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und Filterung von

Internetadressen und Webseiteninhalten.

Reverse-Proxy Lastverteilung und Bandbreitenmanagement für interne Server.

POP3-Proxy Allgemeine Einstellungen für den POP3 E-Mail Proxy.

Mailrelay Einstellungen für den Mail Server.

Mailfilter Einstellungen des Spamfilters.

VoIP-Proxy Einstellungen für den Voice over IP Proxy.

IDS Auswahl der Signaturregeln des Intrusion Detection Systems.

Nameserver Einstellungen zu DNS Funktionen.

Anwendungsstatus Aktivieren, Deaktivieren und Neustart von Diensten.

10 Menü Anwendungen HTTP Proxy Securepoint 11


10.1 HTTP Proxy

Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er

filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei-

en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus

dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als

eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen-

über als Client.

10.1.1 Allgemein

Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht.

Abb. 66 Registerkarte Allgemein des HTTP-Proxys

Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080.

Wenn Sie eine Ausgangsadresse bestimmen möchten, tragen die gewünschte IP-

Adresse ein im Feld Ausgangsadresse ein.

Wenn Sie die DNS Namensauflösung für das Internet Protokoll Version 4 bevorzu-

gen, Aktivieren Sie die Checkbox IPv4 DNS lookups preferred.

Wählen Sie eine Authentifizierungsart.

Keine keine Authentifizierung erforderlich

Basic Authentifizierung gegen die lokale Nutzerdatenbank

NTLM Authentifizierung gegen den NT LAN Manager

(Active Directory)

LDAP Authentifizierung über das AD des Netzwerkes

Radius Authentifizierung gegen einen Radius Server



Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei enable

Forwarding.

Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy

ein und dessen Port unter Übergeordneter Proxy Port.

Tragen Sie zur Authentifizierung am übergeordneten Proxy den Nutzernamen und

das Kennwort in den Feldern Parent Proxy User und Parent Proxy Password

ein.

10.1.2 Virusscan

Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos-

sen werden sollen. Außerdem können Sie entscheiden, welchen Virenscanner Dienst sie

benutzen möchten.

Abb. 67 Registerkarte Virusscan des HTTP-Proxy

Sie können die Virensuche ganz deaktivieren, indem Sie beim Feld Virusscan akti-

vieren das Häkchen aus der Checkbox entfernen.

Entscheiden Sie in der Dropdownbox Virusscan engine, ob Sie den Commtouch

Scan Deamon oder den Clam AV Dienst benutzen möchten.

Legen Sie im Feld Maximum scan size limit die maximale Größe des Scanobjekts

an. Die Angabe erfolgt in Megabytes.

Geben Sie im Feld Tickle time die Zeit an, die der Scan andauern darf. Die Angabe

erfolgt in Sekunden.

Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden.

Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag lö-

schen.

Sie können Einträge hinzufügen, indem Sie die Schaltfläche Add MIME Type unter

der Liste betätigen.



Wählen Sie im erscheinenden Dialog einen MIME Type aus dem Dropdownfeld

aus. Ein Eintrag besteht aus der Art der Datei und der Dateiendung getrennt durch

einen Slash. Ein Stern an der Stelle der Endung schließt alle eingetragenen En-

dungen ein.

Sie können auch selbst einen MIME Type definieren. Klicken Sie auf die Schaltfläche

Add MIME Type und im neuen Dialog auf die Schaltfläche mit dem Stiftsymbol.

Definieren Sie die Kategorien gefolgt von einem Slash und der Dateiendung. Bestäti-

gen Sie die Eintragung mit der Schaltfläche Speichern.

Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden.

Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag lö-

schen.

Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite ein-

geben und dann auf die Schaltfläche Add Regex betätigen.

Es wird ein Regulärer Ausdruck erwartet. Für die Erstellung Regulärer Ausdrücke le-

sen Sie bitte weiterführende Literatur.

10.1.3 Bandbreite

Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer

beschränken.

Abb. 68 Registerkarte Bandbreite im HTTP-Proxy

Entscheiden sie im Dropdownfeld Bandwidth limiting policy, ob Sie die Bandbrei-

ten Kontrolle deaktivieren (None), Die Bandbreite global Beschränk werden soll (Li-

mit total bandwidth) oder ob Sie die Bandbreite pro Rechner beschränken (Limit

bandwidth per host).

Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global bandwidth.

Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Per host band-

width.

Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der glo-

bale Wert noch nicht ausgeschöpft ist.



10.1.4 Application Blocking

Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro-

gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden.

Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die

Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter-

net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom-

munikation zu unterbinden.

Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit

dem letzten Eintrag Andere IMs werden andere Messaging Programme, die nicht in der

Liste aufgeführt sind, gesperrt.

Abb. 69 Messaging Anwendungen blocken

Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die

jeweilige Checkbox.

Klicken Sie dann auf Speichern.



10.1.5 SSL-Interception

Die SSL-Interception fängt SSL verschlüsselte Datenströme ab und macht den Inhalt z.B. für

den Virenscanner sichtbar. Dies verhindert, dass Schadcode und Viren in SSL-

verschlüsselten Paketen ins interne Netzwerk gelangen. Die SSL-Interception macht sich

das Proxy System zunutze. Es steht zwischen den beiden Endpunkten der SSL Datenströme

und handelt einerseits mit dem Client eine Verschlüsselung aus und andererseits eine Ver-

schlüsselung mit dem Server. Der Client verschlüsselt die Daten die Appliance entschlüsselt

und überprüft diese. Danach werden diese wieder verschlüsselt und an den Server ge-

schickt. Das Gleiche geschieht auf dem Weg vom Server zum Client. Wird Schadcode oder

nicht akzeptierter Content festgestellt, wird die Verbindung unterbrochen.

Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy

Sie aktivieren die SSL-Interception, indem Sie ein Häkchen in die Checkbox Enable

SSL-Interception setzen.

Wählen Sie im Dropdownfeld Certificate ein Zertifikat für die Schlüsselaushandlung

aus.

Die Checkbox Enable no verification list aktiviert die Liste der nicht geprüften

Zertifikate. Diese Liste enthält Zertifikate, denen nicht vertraut wird. Diese Einträge

werden durch reguläre Ausdrücke definiert.

Die Checkbox Enable exception list aktiviert die Ausnahme Liste. Diese beinhaltet

Ausnahmen für nicht vertrauenswürdig eingestufte Zertifikate. Die Ausnahmen wer-

den mit regulären Ausdrücken definiert.

Die Checkbox Enable peer verification aktiviert die Prüfung, ob das Zertifikat der

Gegenstelle gültig ist.



10.1.6 Webfilter

Der Webfilter gibt Ihnen die Möglichkeit Benutzergruppen oder Netzwerke den Zugang zu

bestimmten Internetinhalten zu verwehren oder zu gewähren.

Sie haben die Möglichkeit verschiedenen Nutzergruppen anzulegen und diesen definierten

Zugangsregeln zuzuweisen.

10.1.6.1 Options

Abb. 71 Webfilter deaktiviert

Zuerst müssen Sie den Webfilter aktivieren.

Im HTTP-Proxy Fenster, auf der Registerkarte Webfilter finden Sie die Register-

karte Options.

Aktivieren Sie die Checkbox Enable Webfilter.



10.1.6.2 Profile

Auf der Registerkarte Profile werden die verschieden Filterregeln verwaltet. Es werden die

verwendeten Netzwerke und Benutzergruppen angezeigt und deren zugefügten Filteroptio-

nen. Der Rang der Profile entscheidet über die Abarbeitung der Filter.

Abb. 72 Registerkarte Profiles des Webfilters

Profil hinzufügen

Abb. 73 Profil erstellen

Klicken Sie in der Registerkarte Profile auf die Schaltfläche Add Profile.

In dem öffnenden Dialog wählen Sie im Bereich Allgemein eine Gruppe aus dem

Dropdownfeld Netzwerk oder Benutzergruppe. Die aufgelisteten Gruppen sind

die Gruppen aus der Benutzerverwaltung. Jede Gruppe kann nur einmal ausgewählt

werden.



Vergeben Sie dann Filteroptionen.

Wählen Sie in der Dropdownbox Ruleset einen definierten Filter, der auf diese

Gruppe angewendet werden soll.

Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.

Sie können mehrere Filter auswählen.

In der Tabelle können Sie Filter aktivieren, deaktivieren, den Rang einstellen und

wieder aus dem Profil löschen.

Klicken Sie abschließend auf Speichern.

10.1.6.3 Rulesets

In dieser Registerkarte sind die Filter aufgelistet. Zu jedem Filter sind die gewählten Regeln

aufgelistet. Über die Schaltfläche mit dem Werkzeugschlüsselsymbol können die Filter bear-

beitet werden.

Filter angelegen

Klicken Sie auf die Schaltfläche Add Ruleset.

Geben Sie in dem öffnenden Dialog einen Namen für den neuen Filter ein und klicken

Sie auf Speichern.

Dieser Filter wird in der Tabelle abgelegt. Dem Filter müssen jetzt noch Regeln über-

geben werden.



Filter bearbeiten

Der neu angelegte Filter ist noch nicht mit Regeln ausgestattet.

Abb. 74 Dialog zum Erstellen von Filterregeln

Um dem Filter Regeln hinzuzufügen, klicken Sie auf der Registerkarte Ruleset auf

den Werkzeugschlüssel des gewünschten Filters. Es öffnet sich der Dialog Filter

bearbeiten.

Unter dem Namen des Filters befindet sich die Checkbox Block access. Wenn Sie

diese Checkbox aktivieren, wird der Filter den Webzugang gänzlich sperren.

Im Bereich Time können Sie die Gültigkeit des Filters auf bestimmte Tage und Uhr-

zeiten beschränken.

Aktivieren Sie dazu die Checkbox Enable.

Wählen Sie mit den Feldern Startzeit und Endzeit einen Zeitbereich zu dem der Fil-

ter gelten soll.

Zusätzlich können Sie die Gültigkeit auf bestimmte Wochentage begrenzen. Aktivie-

ren Sie die Checkboxes für die gewünschten Wochentage.

Sie können die stufe für die Safe-Search Funktion auswählen.

off: Keine Filterung von nicht jugendfreien Inhalten.

strict: Es werden eindeutige nicht jugendfreie Seiten und Seiten die Links

auf nicht jugendfreie Inhalte enthalten könnten gefiltert.

moderate: Es werden nur eindeutig nicht Jugendfreie Seiten gefiltert.

Wenn die Option Resolve URL-Shortener ausgewählt wird, wird versucht, die

durch einen Dienst gekürzte URL auf die ursprüngliche URL zurückzuführen.



Im Bereich Regeln können Sie blacklist und whitelist Regeln anlegen. Eine blacklist

beinhaltet Seiten die gesperrt werden sollen und eine whitelist enthält Seiten die zu-

gelassen werden sollen. Die Seiten die zugelassen, bzw. gesperrt werden, können di-

rekt durch die Eintragung einer Internetadresse (URL) definiert werden. Es kann aber

auch der Securepoint Contentfilter benutzt werden.

Wählen Sie im Dropdownfeld Action die gewünschte Filteraktion aus.

blacklist-url: Sperrliste mit genau definierten Internetadressen.

whiteliste-url: Zulassungliste mit genau definierten Internetadressen.

blacklist-cat: Sperrliste über Kategorien des Securepoint Contentfilter.

whitelist-cat: Zulassungsliste über Kategorien des Securepoint Contentfilter.

Bei einer URL Aktion müssen Sie die Internetadresse, die zugelassen oder gesperrt

werden soll, eintragen.

Bei Nutzung der Kategorien wählen Sie eine Kategorie aus dem rechten

Dropdownfeld.

Fügen Sie die Regeln zum Filter hinzu, indem Sie auf das Plussymbol klicken.

In der Tabelle können Sie den Rang der Regeln verändern und gewählte Regeln

auch wieder löschen.



10.1.7 Transparent Mode

Wird der transparente Modus des HTTP-Proxy aktiviert, ist für die Benutzer nicht ersichtlich,

dass die Verbindung über einen Proxy geleitet wird. Die Benutzer müssen auch keine Proxy

Einstellungen an Ihren Anwendungen vornehmen.

Der transparente Modus des Proxy kann auf verschiedene Netze angewendet werden.

Abb. 75 transparenter Modus des HTTP-Proxy

Abb. 76 transparenten Modus einrichten

Klicken Sie auf die Schaltfläche Add Transparent Rule.

Geben Sie den Typen für den transparenten Modus ein.

INCLUDE bedeutet, dass der transparente Modus angewendet wird.

EXCLUDE bedeutet, dass der transparente Modus explizit nicht angewendet wird.

Bestimmen Sie nun für welche Datenverbindungen diese Regel eingerichtet wird.

Wählen Sie im Feld Source von wo die Datenverbindung aufgebaut wird.

Wählen Sie im Feld Destination wohin die Datenverbindung aufgebaut wird.

Beenden Sie die Einstellungen mit Speichern.

10 Menü Anwendungen Reverse Proxy Securepoint 11


10.2 Reverse Proxy

Bei externen Anfragen an Server im internen Netz tritt der Reverse Proxy als Vermittlungs-

stelle auf. Der Reverse Proxy hat dabei die gleichen Aufgaben wie der HTTP-Proxy aller-

dings in anderer Richtung. Der Proxy steuert durch Access Control List (ACL) den Zugriff auf

interne Webserver und kann eine Lastverteilung (Load Balancing) und Bandbreitenbe-

schränkung vornehmen.

10.2.1 Servergruppen

Interne Webserver können in Servergruppen zusammengefasst werden. Server müssen da-

für als Netzwerkobjekte definiert sein.

Abb. 77 Registerkarte Servergruppen

Abb. 78 Servergruppe anlegen

Abb. 79 Server zur Gruppe hinzufügen

Klicken Sie auf der Registerkarte Servergruppen auf die Schaltfläche Server-

gruppe hinzufügen.

Im erscheinenden Dialog Servergruppe hinzufügen tragen Sie zunächst im Feld

Name einen Namen für die neue Servergruppe ein.

Um die Gruppe mit Serverobjekten zu füllen, klicken Sie auf die Schaltfläche Server

hinzufügen.

Im erscheinenden Dialog Server hinzufügen wählen Sie einen Server aus dem

Feld Netzwerkobjekt. Der Server muss zuvor als Netzwerkobjekt definiert worden

sein.

Wählen Sie den Port, den der Server verwendet.



Ist eine Anmeldung notwendig, geben Sie eine Anmeldenamen und ein Kennwort

ein.

Klicken Sie auf hinzufügen.

Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Server erfasst haben.

10.2.2 ACL Sets

Mit den Access Control Lists können Sie Zugriffe auf die angebotenen Dienste eingrenzen.

Abb. 80 Registerkarte ACL Sets

Abb. 81 ACL Set anlegen

Abb. 82 ACL Argument definieren

Klicken Sie auf der Registerkarte ACLSets auf die Schaltfläche ACLSet hinzufü-

gen.

Im erscheinenden Dialog ACLSet hinzufügen geben Sie im Feld Namen einen

Namen für das neue ACLSet ein.

Um das Set zu füllen müssen neue ACLSets definier werden.

Klicken Sie deshalb auf die Schaltfläche ACL hinzufügen.

Wählen Sie im Dialog ACL hinzufügen einen Typ nachdem der Zugriff gefilter wird.

req_header Request Header

Header des Anfrage Packets.

src Source

Quelle der Anfrage.

dstdomain Destination Domain

Ziel Domäne der Anfrage.



srcdomain Source Domain

Quell Domäne der Anfrage.

srcdom_regex Source Domain Regulare Expression

Regulärer Ausdruck für die Quell Domäne.

proto Protocol

Benutztes Protokoll der Anfrage.

time Time

Zeit der Anfrage.

Geben Sie dann einen passenden Begriff im Feld Argument ein.

Klicken Sie auf hinzufügen.



10.2.3 Sites

Auf der Registerkarte Sites werden Bandbreitenbegrenzung und Lastverteilung für die Server

vorgenommen.

Abb. 83 Registerkarte Sites

Abb. 84 Site anlegen

Abb. 85 ACL Set definieren

Klicken Sie auf der Registerkarte Sites auf die Schaltfläche Site hinzufügen um

eine Bandbreitenbeschränkung und Lastverteilung anzulegen.

Im erscheinenden Dialog Site hinzufügen geben Sie zunächst einen Namen im

Feld Domain name ein.

Wählen Sie im Feld Servergruppe eine Gruppe, die auf der Registerkarte Server-

gruppen angelegt wurde.

Definieren Sie im Feld Site-Bandbreite die Bandbreite für die gesamte Site. Maxi-

mal sind 1000 kbit/s zulässig.

Definieren Sie im Feld Client-Bandbreite die Bandbreite, die einen Client gewährt

wird.

Wählen Sie im Feld Lastverteilung die Methode der Lastverteilung aus.

round-robin Jeder Client bekommt eine kurze Zeitspanne

den Zugriff.

weighted-round-robin Jeder Client bekommt für eine kurze Zeitspanne

den Zugriff. Allerdings ist diesmal das Verfahren

gewichtet und einige Clients werden öfter bedient.

userhash Hash aus dem username.



sourcehash Hash aus der Quell IP.

Sie können nun noch ein ACLSet hinzufügen. Klicken Sie dazu auf die Schaltfläche

ACLSet hinzufügen.

Wählen Sie im Feld ACLSet eins aus. Diese werde auf der Registerkarte ACLSets

angelegt.

Entscheiden Sie bei Aktion ob bei Zutreffen des ACLSets der Zugriff erlaubt (allow)

oder verweigert (deny) wird.

Im Feld Aktiviert entscheiden Sie, ob dieses Set aktiviert werden soll oder deakti-

viert.

Klicken Sie dann auf hinzufügen.

Beenden Sie das Anlegen der Site mit Speichern.

10.2.4 Einstellungen

Auf dieser Registerkarte werden die allgemeinen Einstellungen für den Reverse Proxy ge-

setzt.

Abb. 86 allgemeine Einstellungen für den Reverse Proxy

Wählen Sie im Feld Modus aus, ob Sie den Reverse Proxy nur für das Protokoll

HTTP oder das Protokoll HTTPS oder für beide einsetzen möchten.

Geben Sie im Feld Proxy Port den Port des Proxy an.

Im Feld SSL-Proxy Port geben Sie den Port an, der für die SSL verschlüsselten

Verbindungen benutzt wird.

Im Feld SSL-Zertifikat wählen Sie ein Zertifikat für die Verschlüsselung aus.

10 Menü Anwendungen POP3 Proxy Securepoint 11


10.3 POP3 Proxy

Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber

die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter-

sucht und an den E-Mail-Client weitergegeben.

Abb. 87 POP3 Proxy

Abb. 88 transparente Regel anlegen

Setzen Sie ein Häkchen in die Checkbox Enable Mailfilter, um diesen zu aktivie-

ren.

Setzen Sie ein Häkchen in die Checkbox Enable TLS, um die TLS Verschlüsselung

zu aktivieren.

Klicken Sie auf die Schaltfläche Add Transparent Rule, um eine neue Regel für

den transparenten Proxy anzulegen.

Wählen Sie im öffnenden Dialog einen Typ für die neue Regel.

INCLUDE wird den transparenten Proxy für die gewählte Verbindung anwenden.

EXCLUDE wird den transparenten Proxy für die gewählte Verbindung nicht anwen-

den.

Wählen Sie eine Quelle, von der die POP3 Anfragen kommen.

Wählen Sie ein Ziel wohin die Anfragen weitergeleitet werden.

Sichern Sie Ihre Einstellungen mit Speichern.

10 Menü Anwendungen Mailrelay Securepoint 11


10.4 Mailrelay

Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt.

Abb. 89 Registerkarten des Mailrelays


Allgemein Grundeinstellung für Mailfilter, Postmaster Adresse und E-Mail -Größe

Smarthost

Relaying Angabe der erlaubten Relaying Hosts bzw. Domains.

SMTP Routen Die SMTP Routen bestimmen, welcher Mailserver für eine Domain zuständig ist.

Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden E-Mails

mit einer unbekannten Kombination von Mailserver, Absender- und Empfänger-

adresse mit einer Fehlermeldung abgewiesen. Der entfernte Mailserver wird im

Gegensatz zu einem „Spamserver“ versuchen, die E-Mail ein weiteres Mal zuzu-

stellen. Diesmal wird die E-Mail angenommen, da die Kombination der Kommu-

nikationsdaten schon bekannt ist.

Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine

andere umgeschrieben wird.

Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den Server vor

Spammails und Angriffen schützen.



10.4.1 Allgemein

Hier werden grundlegende Eigenschaften des Mailrelays eingestellt.

Abb. 90 Registerkarte Allgemein des Mailrelay

Entscheiden Sie, ob der Mailfilter im Mailrelay verwendet werden soll. Ist dies der Fall

aktivieren Sie die Checkbox Enable Mailfilter.

Im Feld Postmaster Address ist die E-Mail-Adresse des E-Mail-Administrators

einzutragen.

Im Feld Maximum message size können Sie die Größe der E-Mails begrenzen

(Angabe in MB).

10.4.2 Smarthost

Ein Smarthost muss angegeben werden, wenn der Server die E-Mails nicht direkt versenden

soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails weiterge-

leitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem Mailserver.

Abb. 91 Registerkarte Smarthost

Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost ak-

tivieren.

Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld

Smarthost ein.

Geben Sie im Feld Port den Port des Smarthost ein (Der Standardport ist 25).



Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox Au-

thentisierung aktivieren.

Tragen Sie in den Feldern Benutzer und Passwort Ihren Nutzernamen und Ihr

Kennwort ein.

10.4.3 Relaying

Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder

Domains verfahren wird.

Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht

werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E-

Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden.

Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die

angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt.

Abb. 92 Registerkarte Relaying

Abb. 93 Domain hinzufügen

Um eine Domain oder einen Host hinzuzufügen, klicken Sie auf den Button Do-

main/Host hinzufügen.

Es öffnet sich der Dialog Domain/Host hinzufügen.

Im Feld Domain geben Sie den Domainnamen, den Hostnamen oder die Host-IP-

Adresse ein.

Wählen Sie unter Option zwischen None, To, From und Connect.

Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK

(E-Mail annehmen).


Setzen Sie ein Häkchen in die Checkbox SMTP Authentifizierung für lokale

Benutzer aktivieren, um die SMTP Authentifizierung zu nutzen.



Wählen Sie im Feld CA eine CA aus und im Feld Zertifikat ein Zertifikat. Mit diesen

wird der Datenverkehr verschlüsselt.

10.4.4 SMTP Routen

Mit SMTP Routen wird bestimmt, welcher Mailserver für eine Domain zuständig ist.

Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger

nicht existiert, ablehnt.

Abb. 94 Registerkarte SMTP Routen

Um eine Route für einkommende E-Mails anzulegen, klicken Sie auf die Schaltfläche

SMTP-Routing hinzufügen.

Geben Sie im erscheinenden Dialog im Feld Domain den Domänennamen an.

Geben Sie im Feld Mailserver die IP-Adresse oder den Hostnamen des Mailservers

ein, der die Mails verarbeiten soll.

Wählen Sie zur Adressprüfung einen Wert aus dem Feld E-Mail-Adresse überprüfen.

aus E-Mail-Adressen werden nicht überprüft.

SMTP Der SMTP Server prüft die Existenz der Adressen.

LDAP Adressprüfung gegen das LDAP Verzeichnis.

Lokale E-Mail-Adressliste Die Prüfung erfolgt gegen die lokale

E-Mail-Adressliste.

Diese kann über die Schaltfläche Lokale E-Mail-Adressliste bearbeiten

eingesehen und editiert werden.



10.4.5 Greylisting

Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver-

sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht

versuchen die E-Mail ein weiteres Mal zuzustellen.

Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse

des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell-

versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent-

fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden.

Diesmal wird die E-Mail angenommen.

Abb. 95 Greylisting Einstellungen im unteren Fensterbereich

Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen.

Stellen Sie in Automatisches Whitelisting nach ein, wie lange die Kombination

der Versanddaten gespeichert werden, wenn eine E-Mail durch den zweiten Versand

zugestellt wurde.

Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversu-

chen liegen müssen.



10.4.5.1 Whitelist IP/Netzwerke

In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen

und schon beim ersten Zustellversuch weitergeleitet werden.

Im Bereich IP / Netzwerke können Sie E-Mails von bestimmten IP-Adressen und Netzwer-

ken vom Greylisting ausnehmen.

Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden.

Klicken Sie auf die Schaltfläche IP / Netzwerk hinzufügen.

Tragen Sie im Feld IP / Netzwerk die IP-Adresse ein und ändern Sie den Bitcount

nach Ihren Bedürfnissen.




10.4.5.2 Whitelist Domains

Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen.

Angaben werden nur in Second- und Top-Level-Domain vorgenommen.

Abb. 97 Domains, die vom Greylisting ausgenommen werden.

Klicken Sie auf die Schaltfläche Domain hinzufügen.

Tragen Sie die gewünschte Domain im Feld Domain ein.


Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die

Domain des Hosts, der die E-Mail versenden möchte.



10.4.5.3 Whitelist Empfänger

E-Mail an bestimmte Empfänger vom Greylisting ausnehmen.

Abb. 98 Empfänger, die vom Greylisting ausgenommen werden.

Klicken Sie auf die Schaltfläche Empfänger hinzufügen.

Tragen Sie die gewünschte E-Mail-Adresse im Feld Empfänger ein.


10.4.5.4 Whitelist Absender

E-Mails von definierten Absendern werden vom Greylisting ausgenommen.

Abb. 99 Absender, die vom Greylisting ausgenommen werden.

Klicken Sie auf die Schaltfläche Absender hinzufügen.

Tragen Sie die gewünschte Absender E-Mail-Adresse in das Feld Absender ein.




10.4.6 Domain Mapping

Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge-

schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse

geändert wird.

Zum Beispiel lautet die einkommende E-Mail-Adresse [email protected] und soll umge-

wandelt werden in [email protected].

Abb. 100 Ändern der Domain

Klicken Sie auf die Schaltfläche Domain Mapping hinzufügen.

Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein.

Geben Sie im Feld Ziel Domain die neue Domain ein.




10.4.7 Erweitert

Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha-

nismen vor Spam schützt.

Abb. 101 Einstellung, die Spam-E-Mails abwehren

10.4.7.1 Greeting Pause

Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf

eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle.

Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese

werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö-

hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser-

vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld

abgewehrt.

Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen

Sie dafür die Schaltfläche Ausnahmen und tragen die IP-Adresse oder den Hostnamen

des Mailservers ein.



10.4.7.2 HELO

Mit der Meldung HELO sendet der Client seinen Namen an den Mailserver. Clientanfragen,

die sich nicht an diesen Standard halten, können mit dieser Einstellung abgewiesen werden.

10.4.7.3 Recipient Flooding

So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs-

daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier-

ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt.

Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen-

sammler.

10.4.7.4 Empfängerbeschränkung

Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail.

10.4.7.5 Verbindungslimit

Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli-

ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell

zur Appliance aufgebaut werden.

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung

nicht gilt.

10.4.7.6 Rate Kontrolle

Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines

Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra-

gen.

Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung

nicht gilt.

10 Menü Anwendungen Mailfilter Securepoint 11


10.5 Mailfilter

Der Spamfilter der neuen Version setzt sich aus dem Commtouch Spamfilter, dem

Securepoint Contentfilter und einem URL Filter.

10.5.1 Filterregeln

Über die Filterregeln wird entschieden, wie mit erkannten Spam-E-Mails und E-Mails, die

einen Virus enthalten, verfahren wird. Dabei werden die Protokolle SMTP und POP3 unter-

schieden.

Abb. 102 Filterregeln

Die gängigsten Filterregeln sind schon vordefiniert. Nach eigenen Bedürfnissen können die-

se Regeln bearbeitet werden und neue Regeln erstellt werden.



10.5.1.1 Neue Filterregel erstellen / Filterregel bearbeiten

Abb. 103 Dialog zum Erstellen einer neuen Regel

Abb. 104 Regel zur Filterregel hinzufügen

Klicken Sie zum Erstellen einer neuen Regel auf die Schaltfläche Filterregel hinzu-

fügen oder zum Bearbeiten einer Regel auf die Schaltfläche mit dem Werkzeug-

schlüsselsymbol in der Zeile der jeweiligen Regel.

Wählen Sie im Feld Protokoll SMTP oder POP3.

Entscheiden Sie im Feld Kategorie welche kategorisierten E-Mails behandelt wer-

den sollen.

spam Als Spam kategorisierte E-Mails.

probably_spam Als möglicherweise Spam kategorisierte E-Mails.

virus E-Mails in denen ein Virus entdeckt wurde.

content E-Mails in denen gesperrter Content entdeckt wurde.

Ein Contentfilter muss ausgewählt werden.

user E-Mails von angegebenen Nutzern.

urlfilter E-Mails in denen sich unerwünschte URL befinden.

Wählen Sie im Feld Aktion, was mit der E-Mail geschehen soll.

none Die E-Mail wird ganz normal behandelt.

mark Die Betreffzeile der E-Mail wird mit einer Markierung versehen.

filter Die E-Mail wird in einen Spam Ordner gesendet.

block Die E-Mail wird nicht angenommen.

reject Die E-Mail wird zurückgewiesen.

In der Liste Regeln, können Sie eingrenzen auf welche E-Mails die Filterregel ange-

wendet wird.

Wählen Sie einen Typ aus.

any Filterregel wird auf jede E-Mail angewendet.



mail_from Bestimmt einen Absender. Filterregel wird auf E-Mails von dem

definierten Absender angewendet.

rcpt_to Bestimmt einen Empfänger. Filterregel wird auf E-Mails zu dem

definierten Empfänger angewendet.

helo Bestimmt einen Clientnamen. Filterregel wird auf E-Mails mit dem

definierten Clientnamen angewendet.

src Bestimmt eine Quelle. Filterregel wird auf E-Mails von der

definierten Quelle angewendet.

dest Bestimmt ein Ziel. Filterregel wird auf E-Mails zu dem definierten

Ziel angewendet.

header Bestimmt einen Header Eintrag. Filterregel wird auf E-Mails mit dem

definierten Headereintrag angewendet.


10.5.2 Content-Filter

Mit dem Content-Filter können Anhänge der E-Mails auf bestimmt Inhalte untersucht werden

und geblockt oder explizit zugelassen werden.

Abb. 105 Liste der Content-Filter

Abb. 106 Content-Filter erstellen

Klicken Sie auf die Schaltfläche Content-Filter hinzufügen.

Geben Sie im Feld Name einen Namen für den neuen Filter an.

Wählen Sie im Feld Typ aus, ob Sie Inhalte blocken (Blacklist) oder zulassen

(Whitelist) wollen.

Klicken Sie auf die Schaltfläche Content-Typ hinzufügen.

Wählen Sie im neuen Dialog im Feld Typ aus, ob Sie nach Dateiendungen oder

MIME types suchen möchten.

Wählen Sie im Feld Wert die gewünschte Dateiendung oder den gewünschten MIME

type aus.



Sie können auch eine Dateiendung bzw. einen MIME type selbst definieren, indem

Sie auf die Schaltfläche mit dem Stiftsymbol klicken.

Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Content-Typen einge-

tragen haben.

Klicken Sie auf Speichern, um den Dialog zu schließen.

10.5.3 URL-Filter

Mit dem URL-Filter können Sie E-Mails auf die Beinhaltung von URLs untersuchen und un-

erwünschte URLs blocken oder zurückweisen und unbedenkliche URLs explizit erlauben.

Abb. 107 Registerkarte URL-Filter

Sie können die URLs mit Hilfe von regulären Ausdrücken filtern oder Sie benutzen die Kate-

gorien des Securepoint Content Filter.

Sie können eine Blacklist und eine Whitelist mit regulären Ausdrücken anlegen.

Geben Sie unter dem Feld Whitelist bzw. Blacklist einen den regulären Ausdruck,

der die erlaubten bzw. zu blockenden URLs beschreibt, in das Textfeld ein.

Klicken Sie auf Hinzufügen, um den regulären Ausdruck in die Liste aufzunehmen.

Über die Kategorien des Content Filters können Sie eine Whitelist und eine Blacklist anle-

gen.

Klicken Sie auf die Dropdownbox unterhalb der Listenfelder.

Wählen Sie die gewünschten Kategorien aus, die Sie zulassen bzw. blocken möch-

ten.

Klicken Sie auf Hinzufügen, um die gewählte Kategorie in die Liste aufzunehmen.



10.5.4 Mailfilter Einstellungen

Hier können Sie definieren, wie gefilterte E-Mails gekennzeichnet werden.

Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails

Im Bereich E-Mail Betreffzeilen können Schlagwörter angegeben werden, die der Betreffzeile

der gefilterten E-Mails vorangestellt werden. Diese werden zur Abgrenzung und besseren

Erkennung am Besten in eckigen Klammern und in Großbuchstaben angegeben.

Das Feld bestätigtes SPAM Betreff beinhaltet das Schlagwort für E-Mails, die

eindeutig als Spam erkannt wurden.

Das Feld möglicherweise SPAM beinhaltet das Schlagwort für E-Mails, die Spam

sein könnten.

Das Feld URL-Filter Betreff beinhaltet das Schlagwort für E-Mails, die URLs ent-

halten, die per Blacklist gefiltert wurden.

Das Feld Virus Betreff enthält das Schlagwort für E-Mail, in denen ein Virus erkannt

wurde.

In den Textfeldern Blocking Nachricht. Geben Sie einen Text ein, der anstatt des E-Mail Tex-

tes angezeigt wird.

Content-Blocking Nachricht Text für E-Mails, die wegen Ihren Inhalts geblockt

wurden.

URL-Filter Nachricht Text für E-Mails, die wegen der beinhalteten URLs

gefiltert wurden.

Virus-Blocking Nachricht Text für E-Mails, die wegen einer Viruserkennung

geblockt wurden.

Im Bereich Mailarchiv machen Sie Angaben zur Vorhaltung der E-Mails.

Geben Sie im ersten Feld die maximale Anzahl der E-Mails an, die vorgehalten

werden.

Geben Sie im zweiten Feld maximales E-Mail Alter die Zeit der Vorhaltung in Ta-

ge an.

Geben Sie im dritten Feld die maximale E-Mail Größe in Megabytes an.

10 Menü Anwendungen VoIP Proxy Securepoint 11


10.6 VoIP Proxy

Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen.

Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung

und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten.

10.6.1 Allgemein

Abb. 109 allgemeine Einstellungen des VoIP Proxy

Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client

den Proxy erreicht.

Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die

Daten ins Internet übertragen soll.

Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Re-

gel 5060).

Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an.

Geben Sie den Timeout zum SIP Servers des Providers an.

10.6.2 Provider

Stellen Sie hier die providerseitigen Daten ein.

Abb. 110 Einstellungen zum Provider

Unter Domain geben Sie die Domain des Providers ein.

Unter Proxy geben Sie den SIP Proxy des Providers ein.

Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel

5060).

10 Menü Anwendungen IDS Securepoint 11


10.7 IDS

Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das

Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver-

dächtige Aktivitäten.

Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten-

bank verglichen, um Angriffe auf das Netzwerk zu erkennen.

Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli-

che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig.

10.7.1 Ungültige TCP Flags

Hier sind Regeln aufgelistet, die ungültige TCP Flags in den Paketen aufspüren.

Abb. 111 ungültige TCP Flags

Aktivieren Sie die Einträge, nach denen

Sie die Pakete untersuchen möchten.

Wenn Sie die Checkbox in der Über-

schrift aktivieren, werden alle Einträge

der Liste aktiviert.

10.7.2 Trojaner

Diese Registerkarte beinhaltet Einträge von Ports, die oft von Trojanern benutzt werden.

Diese können auf Wunsch gesperrt werden.

Abb. 112 Trojaner

Aktivieren Sie die Checkboxes der

Trojaner, dessen Ports Sie sperren

möchten.

Wenn Sie die Checkbox in der Über-

schrift aktivieren, werden alle Einträge

in der Liste aktiviert.

10 Menü Anwendungen Anwendungsstatus Securepoint 11


10.8 Anwendungsstatus

Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von

hier aus kann ein Dienst gestartet, gestoppt oder neu gestartet werden.

Abb. 113 Übersicht der Dienste

Bei einem aktiven Dienst ist der vorangestellte Kreis grün.

Bei einem inaktiven Dienst ist der vorangestellte Kreis grau.

Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf

die Schaltfläche Starten.

Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes

auf die Schaltfläche Stoppen.

Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes

auf die Schaltfläche Neustarten.

11 Menü VPN Anwendungsstatus Securepoint 11


11 Menü VPN

Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei-

genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut-

zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN

stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung

übertragenen Datenpakete werden am Client verschlüsselt und von der Securepoint Firewall

wieder entschlüsselt und umgekehrt.

Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits-

grad und Komplexität unterscheiden.

Abb. 114 Dropdownmenü des Menüpunktes VPN


Globale VPN

Einstellungen

Allgemeine Einstellungen für alle VPN Verbindungen.

IPSec Editieren und Löschen von IPSec Verbindungen.

SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll.

PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Verschlüsse-

lung. Wird direkt von Windows unterstützt.

L2TP Kombination und Weiterentwicklung von PPTP und L2F.

Wird von Windows unterstützt.

Clientless VPN Stellt über den Browser eine Verbindung mit dem Unternehmensnetzwerk her.

11 Menü VPN Globale VPN Einstellungen Securepoint 11


11.1 Globale VPN Einstellungen

Im Abschnitt Globale VPN Einstellungen können Einstellungen für alle VPN Verbindun-

gen festgelegt werden.

11.1.1 Allgemein

Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese

Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden,

so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut-

zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten.

Abb. 115 blobale VPN Einstellung – Allgemein

11.1.2 Nameserver

In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der

Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt

werden.

Abb. 116 Hinterlegung der Nameserver

11 Menü VPN IPSec Securepoint 11


11.2 IPSec

Bei der Erstellung von IPSec VPN Verbindungen werden Assistenten ausgeführt, die Sie

Schritt für Schritt durch die einzelnen Konfigurationspunkte führen.

Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site-

oder eine Roadwarrior-Verbindung.

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz-

werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem

lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem

Netzwerk der Zentrale.

Abb. 117 IPSec Verbindungsübersicht

11.2.1 Site-to-Site

Klicken Sie in der Verbindungsübersicht auf +Site-to-Site.

Abb. 118 Assistent Scchritt 1

Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.

Im Feld Remote Gateway tragen Sie die IP-Adresse oder den Hostnamen des ent-

fernten Netzwerkes ein.



Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen

Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin-

dungspartnern bekannt ist.

Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA

Schlüssel.

Abb. 119 Assistent Schritt 2 - Authetifizierung PSK

Preshared Key

Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key

(PSK) ein.

Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten

und markieren den entsprechenden Radiobutton.

Klicken Sie auf Weiter.

Zertifikat

Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem

Dropdownfeld ein Zertifikat aus.

Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten

und markieren den entsprechenden Radiobutton.


RSA Key

Markieren Sie den Radiobutton RSA Schlüssel und wählen Sie aus dem

Dropdownfeld Local Key einen RSA Schlüssel für die Firewall aus.

Wählen Sie aus dem Dropdownfeld Remote Key den öffentlichen Schlüssel der

Gegenstelle aus. Diesen müssen Sie vorher importiert haben.




Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,

daher müssen Sie diese hier auswählen.

Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga-

teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem

Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec editiert werden

Abb. 120 Assistent Schritt 3

Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).

Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der

Auswahlliste eingetragen sind.

Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Host-

namen der Gegenstelle.

Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den

vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf

jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec eintragen. Editieren

Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden Zertifi-

katsdaten aus dem Dropdownfeld Remote Gateway ID.

Klicken Sie Weiter.



Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei-

nander verbinden möchten.


In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein.

In dem Feld Remote Netzwerk wählen Sie das zu verbindende entfernte Netzwerk.

Klicken Sie auf Fertig, um die Erstellung der Site-to-Site Verbindung abzuschließen

11.2.2 Site-to-End (Roadwarrior)

Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit

L2TP (Layer 2 Tunneling Protocol) zu erstellen. Weiterhin können Sie XAuth (extended Au-

thority) benutzen. Dies ist eine Entwicklung der Firma Cisco, die von der IPSec Working

Group allerdings nicht akzeptiert wurde.

Oder Sie wählen das IKEv2 Protokoll.

Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs-

system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.


Klicken Sie in der Verbindungsübersicht auf +Roadwarrior.

Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.

Wählen Sie einen Verbindungstyp.

Klicken Sie dann auf Weiter.



Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter

Im zweiten Schritt müssen Sie die Verschlüsselungsparameter auswählen.

Im Feld Verschlüsselung sollten Sie die aes Verschlüsselung aussuchen.

Im Feld Authentifizierung sollten Sie die sha Verschlüsselung auswählen.


Wählen Sie die Authentifizierungsart.

Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,

daher müssen Sie diese hier auswählen.


Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die

VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).

Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der

Auswahlliste eingetragen sind.

Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich

bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.

Klicken Sie Weiter.



Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den

Roadwarrior oder einen VPN Adresspool angeben.


Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Road-

warrior verbindet.

Möchten Sie nur einen Roadwarrior den Zugriff gestatten, benutzen Sie im Feld

Roadwarrior IP-Adresse / Pool den Bitcount 32 und tragen eine IP-Adresse in

das Feld ein.

Möchten Sie mehreren Roadwarrior den Zugriff gestatten, benutzen Sie im Feld

Roadwarrior IP-Adresse / Pool einen passenden Bitcount und tragen eine Netz-

werkadresse ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl eine IP-

Adresse zugewiesen.

Klicken Sie Fertig.

11 Menü VPN SSL VPN Securepoint 11


11.3 SSL VPN

SSL VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.

Sie können hier Roadwarrior Server Einstellungen vornehmen. Das ist nötig, wenn sich

Roadwarrior auf das System verbinden möchten. Sie können Site-to-Site Client und Server

Einstellungen vornehmen. Site-to-Site Client wird benötigt, wenn Sie der Initiator der Site-to-

Site Verbindung sind. Wenn Sie auf Verbindung eines anderen Netzwerkes warten, benöti-

gen Sie die Site-to-Site Server Einstellung.

Abb. 127 Auflistung aller verfügbarer Verbindungen



11.3.1 Roadwarrior-Server


Tragen Sie im Feld Name einen Namen für die Verbindung ein.

Wählen Sie ein Protokoll. Gewöhnlich ist das UDP.

Wählen Sie den Port, die für die Verbindung genutzt werden soll. Standardmäßig ist

das 1194.

Wählen Sie eine Art der Benutzerauthentifizierung. Zur Wahl stehen: Local;

Radius; LDAP

Geben Sie das Serverzertifikat an.

Definieren Sie im Feld Pool einen IP-Adresspool für die Roadwarrior.


Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.

Der Wert 1500 kann gewöhnlich beibehalten werden.



11.3.2 Site-to-Site-Client


Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der

Übersicht später Server und Client Konfigurationen unterscheiden können, wird an

den Namen das Suffix client angehängt.

Geben Sie im Feld Remote Host die IP-Adresse oder den Hostnamen der Gegen-

stelle ein.

Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.

Wählen Sie das Client Zertifikat, welches Sie von der Gegenstelle erhalten haben

und ins System importiert haben.







11.3.3 Site-to-Site Server


Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der

Übersicht später Server und Client Konfigurationen unterscheiden können, wird an

den Namen das Suffix server angehängt.

Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.

Wählen Sie im Feld Port, den Port, den die Verbindung benutzt. Standard ist 1194.

Wählen Sie das Server Zertifikat.

Geben Sie im Feld Pool einen IP-Adresspool für die Clients der Gegenstelle an.



Aktivieren Sie die Checkbox Remote-Profil erstellen, wenn das System eine Client-

konfiguration erstellen soll.

Wählen Sie als Remote-Zertifikat das Zertifikat, welches die Gegenseite verwen-

den soll.

Geben Sie als Tunnel Adresse die IP an, zu dem sich die Gegenstelle verbindet.

Geben Sie als Subnetz ein Netz für die Gegenseite an.

11 Menü VPN PPTP Securepoint 11





11.4 PPTP

In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt

werden.

Abb. 135 globale Einstellungen füt PPTP Verbindungen

Bei Lokale IP geben Sie eine IP an, die vom PPTP Interface benutzt werden soll.

Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuel-

le Adresse an das externe Interface gebunden.

Unter Adressen-Pool können Sie den PPTP Adressbereich einstellen.

Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen.

Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs.

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert

haben, überprüfen Sie vor dem Abspeichern den Endwert.

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.

Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen das Active Di-

rectory (Default) oder gegen eine Radius Datenbank authentifiziert werden sollen.

11 Menü VPN L2TP Securepoint 11


11.5 L2TP

In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt

werden.

Abb. 136 globale Einstellungen für L2TP

Bei Lokale IP geben Sie eine IP an, die vom L2TP Interface benutzt werden soll.

Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuel-

le Adresse an das externe Interface gebunden.

Unter Adress-Pool können Sie den L2TP Adressbereich einstellen.

Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen.

Das Feld Adress-Pool-Anfang bezeichnet den Anfang und das Feld Adress-

Pool-Ende das Ende des Bereichs.

Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert

haben, überprüfen Sie vor dem Abspeichern den Endwert.

Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.

Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu au-

thentifizieren haben. Möglich ist eine Authentifizierung an dem Active Directory

(Default) oder an einem Radius Server.

Unter Gebunden an Schnittstelle können Sie festlegen, über welches Interface die

Pakete dieser Verbindung geroutet werden sollen.

11 Menü VPN Clientless VPN Securepoint 11


11.6 Clientless VPN

Per Clientless VPN kann über einen Webbrowser auf das Unternehmensnetzwerk zugegrif-

fen werden, ohne dass Softwareerweiterungen nötig sind. Die Verbindung besteht lediglich

zum Webserver. Dieser kann aber als Schnittstelle zu anderen Anwendungen dienen.

Abb. 137 Übersicht der Clientless VPN

Verbindungen

Abb. 138 Clientless VPN Verbindung anlegen

Um einen neues Profil anzulegen, klicken Sie in der Übersichtsliste auf die Schaltflä-

che Hinzufügen.

Geben Sie im erscheinenden Dialog die gefragten Daten an.

Im Feld Servername geben Sie einen Namen für den Server an.

Geben Sie im Feld IP-Adresse die IP des Servers an.

Geben Sie im Feld Port den Port an, den der Server für die Clientless VPN Verbin-

dung benutzt.

Geben Sie im Feld Domain die Domain an, zu der die Verbindung hergestellt wird.

Geben Sie in den Feldern Benutzername und Password die Anmeldedaten ein.

Wählen Sie eine Auflösung für die Darstellung.

Wählen Sie die Farbtiefe für die Darstellung.

Entscheiden Sie sich zwischen RDP (Remote Desktop Protocol) und VNC (Virtual

Network Computing) als Typ.


12 Menü Authentifizierung Clientless VPN Securepoint 11


12 Menü Authentifizierung

In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer-

dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen.

Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung


Benutzer Benutzerverwaltung

Externe Authentifizierung Einstellungen für externe Authentifizierungsmethoden.

Zertifikate Zertifikatsverwaltung

RSA-Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung

12 Menü Authentifizierung Benutzer Securepoint 11


12.1 Benutzer

Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei-

genschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können

Gruppen verwaltet werden, in denen Benutzer organisiert sind.

Abb. 140 Auflistung aller Benutzer

Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen,

Gruppenzugehörigkeit und Benutzerrechte.

Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der

Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer.

12.1.1 Neuen Benutzer hinzufügen

Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den

Button Benutzer hinzufügen.

Es öffnet sich der Dialog Benutzer hinzufügen.

Abb. 141 allgemeine Einstellungen für den neuen Benutzer

Tragen Sie unter Anmeldenamen den Loginnamen des Nutzers ein.

Vergeben Sie im Feld Passwort ein Kennwort und bestätigen Sie dieses durch

nochmalige Eingabe im Feld Passwort bestätigen.



In der Registerkarte Gruppen können Sie den Benutzer einer oder mehreren Gruppen zu-

ordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.

Abb. 142 Gruppenzugehörigkeit

Markieren Sie die Gruppe, die der neue Benutzer beitreten soll.

Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.

In der Registerkarte VPN vergeben Sie feste IP-Tunnel Adresse an den Benutzer.

Abb. 143 feste IP-Adressen für VPN Verbindungen

Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-

Adresse für den Benutzer ein.

Die Registerkarte SSL-VPN nimmt die Einstellungen für den SSL-VPN Client auf.

Abb. 144 EInstellungen für den SSL-VPN Client

Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-

Interface herunterladen darf, aktivieren Sie die Checkbox SSL-VPN Client Down-

load aktivieren.



Wählen Sie im Feld SSL-VPN Verbindung eine der angelegten SSL-VPN Verbin-

dungen aus.

Wählen Sie im Feld Client-Zertifikat ein Zertifikat, welches der Benutzer zur Au-

thentifizierung benutzen soll.

Wählen Sie im Feld Remote Gateway eine der angebotenen IP-Adressen oder be-

tätigen Sie die Schaltfläche mit dem Stiftsymbol und tragen eine IP-Adresse ein.

Aktivieren Sie die Checkbox Redirect Gateway, wenn der gesamte Internetverkehr

des Clients über das gewählte Gateway gesendet werden soll.

Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des

Clients, den portablen Client oder die Konfiguration herunterladen.

Auf der Registerkarte Passwort werden Stärke des Kennwortes definiert und ob das Kenn-

wort vom Benutzer selbst geändert werden darf.

Abb. 145 Einstellungen zum Kennwort

Entscheiden Sie im Feld Passwortänderung erlaubt, ob der Benutzer sein Kenn-

wort im User-Interface selber ändern darf.

Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge.

Entscheiden Sie welche Zeichen das Kennwort enthalten muss:

Ziffern

Sonderzeichen

Groß- und Kleinbuchstaben



Tragen Sie in der Registerkarte Mailfilter die Mailadressen und Domains ein, die der Be-

nutzer im User-Interface verwalten darf.

Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen

Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die

der Benutzer verwalten darf. Klicken Sie dann auf die Schaltfläche mit dem Plus-

symbol.

Wake on LAN schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per

Datenpaket zu starten, muss der Rechner dies auch unterstützen.

Abb. 147 Wake On LAN

Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im

rechten Feld das Interface, über welches der Computer mit der Appliance verbun-

den ist.

Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.

12 Menü Authentifizierung Externe Authentifizierung Securepoint 11


12.2 Externe Authentifizierung

Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch-

führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die

Anmeldung an einen Radius-, einen LDAP-Server oder an ein Active Directory.

12.2.1 Radius

Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius-Server ein.

Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server

Tragen Sie unter IP oder Hostname die IP-Adresse oder den Hostnamen des Ra-

dius-Servers ein.

Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den

Radius Server ein.

12.2.2 LDAP

Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis

Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP oder

Hostname ein.

Tragen Sie die Server Domäne im Feld Domain ein.

Geben Sie im Feld Base an, ab welcher Stelle des Verzeichnisses die Benutzerda-

ten gesucht werden sollen.

Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein.

Geben Sie unter Passwort Ihr Kennwort.

12 Menü Authentifizierung Externe Authentifizierung Securepoint 11


12.2.3 Active Directory

Abb. 150 Eingaben für die Nutzung eines Active Directory

Unter Domainamen tragen Sie den Domainnamen ein.

Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie

den Zugriff erlauben möchten.

Im Feld Password-Server geben Sie die IP-Adresse oder den Hostname des

Rechners an, auf dem der AD-Dienst läuft.

Unter Administrator-Zugang tragen Sie den Administrator des AD-Dienstes.

Unter Appliance Account tragen Sie den Zugangsnamen der Appliance ein.

Wählen Sie die Verschlüsselungsart vom Dropdownfeld LDAP-Verschlüsselung.

Wählen Sie im Feld Root-Zertifikat ein Zertifikat aus.

In der Zeile Verbindungsstatus zeigt Ihnen ein Grüner Punkt.

Geben Sie im Feld Passwort das Kennwort für den AD Dienst ein.

Mit der Schaltfläche Beitreten verbinden Sie sich mit dem AD.

Mit der Schaltfläche Verlassen trennen Sie die Verbindung.

12 Menü Authentifizierung Zertifikate Securepoint 11


12.3 Zertifikate

Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden-

titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi-

kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu

garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz.

Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um

selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der

Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt

sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und

nicht von dritten ausgestellt worden sind.

Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son-

dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und

jeweils eins für jeden externen Benutzer.

Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti-

fikate im PEM Format oder im PKCS #12 zu exportieren.

Die Registerkarte CA zeigt alle bestehenden Certification Authorities an.

Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet.

Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet.

Auf der Registerkarte CRLs sind die Zertifikatssperrlisten hinterlegt (Certificate Revocation

List).

Abb. 151 Registerkarte CA der Zertifikatsverwaltung



12.3.1 CA erstellen

Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten

Zertifikate signieren zu können.

Abb. 152 CA anlegen

Klicken Sie in der Registerkarte CA auf CA hinzufügen.

Es öffnet sich der Dialog CA hinzufügen.

Geben Sie im Feld Name eine Bezeichnung für die CA ein.

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA.

Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld kli-

cken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Fel-

der sind für die Uhrzeit.

Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA sig-

niert wurden ungültig.

Wählen Sie Ihre Landeskennung im Feld Land.

Geben Sie Ihr Bundesland im Feld Staat an.

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.

Geben Sie im Feld Organisation den Namen Ihrer Firma ein.

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.

Klicken Sie auf Speichern, um die CA zu erstellen.



12.3.2 Zertifikat erstellen

Abb. 153 Zertifikat erstellen

Klicken Sie in der Registerkarte Zertifikate auf Zertifikate hinzufügen.

Es öffnet sich der Dialog Zertifikat hinzufügen.

Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein.

Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie

ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstel-

lung ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt wor-

den ist.

Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten.

Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zerti-

fikats. Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das

Feld klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden

drei Felder sind für die Uhrzeit.

Wählen Sie Ihre Landeskennung im Feld Land.

Geben Sie Ihr Bundesland im Feld Staat an.

Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.

Geben Sie im Feld Organisation den Namen Ihrer Firma ein.

Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.

Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.

Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter

MacOS benötigt).

Klicken Sie auf Speichern, um das Zertifikat zu erstellen.



12.3.3 CA und Zertifikate importieren

Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie-

gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie

die Appliance verwalten, vorliegen.

Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).

Klicken Sie auf den Button CA importieren bzw. Zertifikat importieren und an-

schließend auf die Durchsuchen Schaltfläche im öffnenden Dialog.

Wählen Sie die zu importierende Datei von Ihrem Rechner aus.

Klicken Sie dann auf Importieren.

12.3.4 CA und Zertifikate exportieren

Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im

PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die

Appliance nur PEM Formate wieder importiert.


In jeder Zeile der Listen finden sie folgende Icons.

Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Ex-

port im PKCS #12 (*.p12) Format.

Wenn Sie das Zertifikat im PKCS #12 Format exportieren, können Sie noch ein

Kennwort definieren.

Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öff-

nenden Dialog.



12.3.5 CA und Zertifikate löschen

Man kann Zertifikate und CA löschen und widerrufen. Beides hat den gleichen Effekt. Die

Zertifikate werden als ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig ge-

speichert, damit sich niemand mit diesen Zertifikaten authentifizieren kann.

Wenn Sie eine CA löschen, werden auch alle Zertifikate, die mit dieser CA signiert wurden,

gelöscht.

Die widerrufenen Zertifikate und CAs werden auf der Registerkarte Widerrufen angezeigt.


Klicken Sie am Ende der Zeile auf das Abfalleimersymbol.

Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen.

Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, wel-

che auf der Registerkarte Widerrufen angezeigt wird.

12 Menü Authentifizierung RSA-Schlüssel Securepoint 11


12.4 RSA-Schlüssel

Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs-

verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be-

nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten

Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender

herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte

Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer-

den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen

Auslesen des Schlüssels codiert.

Abb. 154 schematische Darstellung einer RSA Verschlüsselung

Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur

zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich.

Die RSA Schlüssel werden von der Securepoint Appliance erzeugt. Sie könnten aber auch

das Programm OpenSSL benutzen.



12.4.1 Liste der RSA Schlüssel

Abb. 155 Liste der gespeicherten RSA Schlüssel

Im Dialog RSA-Schlüssel werden Ihnen die angelegten RSA Schlüssel aufgelistet. Im rech-

ten Bereich neben dem jeweiligen Schlüssel werden Ihnen Exportfunktionen angeboten.

Unterhalb der Liste befinden sich Schaltflächen zum Erstellen und Importieren von RSA

Schlüsseln.

12.4.2 RSA Schlüssel anlegen

Abb. 156 RSA Schlüssel generieren

Klicken Sie in der RSA Schlüssel Liste auf die Schaltfläche RSA Schlüssel hinzu-

fügen.

Geben Sie im Feld Namen einen Namen für den Schlüssel an.

Wählen Sie im Feld Schlüssellänge die Länge des Schlüssels.



12.4.3 RSA Schlüssel exportieren

Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel

des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex-

portieren.

Abb. 157 Schaltflächen für den Export

In der Liste der RSA Schlüssel werden in der Zeile des jeweiligen Schlüssels Export-

funktionen angeboten.

Sie können den Schlüssel in den Formaten PEM, Hex und B64 (base 64) exportie-

ren.

Klicken Sie auf die gewünschte Schaltfläche.

Wählen Sie in dem öffnenden Dialog einen Speicherort.

12.4.4 RSA Schlüssel importieren

Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel-

le importieren.

Klicken Sie auf die Schaltfläche + RSA Schlüssel importieren.

Klicken Sie im neuen Dialog auf durchsuchen.

Wählen Sie den RSA Schlüssel von Ihrem System.

Der Schlüssel wird importiert. An den Namen des Schlüssel wird Kodierung ange-

hängt (pem, hex, b64).

13 Menü Extras CLI Securepoint 11


13 Menü Extras

Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff

auf die Appliance haben.

Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten-

bank zu aktualisieren.

Unter dem Punkt Registrieren können Sie Ihre Lizenz einspielen.


CLI Command Line Interface

Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befehle an die

Firewall und Bearbeitung von Templates.

Registrieren Einspielen der Lizenzdatei.

Firmware Updates Aktualisierung der Firewall Software und der Virusdatenbank.

Erweiterte

Einstellungen

Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für erfahre-

ne Benutzer.

13.1 CLI

Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den

meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos

zu Grunde.

Hier haben Sie die Möglichkeit Befehle ohne die grafische Bedienoberfläche an die Appli-

ance zu senden. Hierfür sind spezielle CLI Kommandos nötig.

Diese Funktion ist nur für erfahrene Benutzer gedacht.

Sie verlassen das Eingabefenster mit den Befehlen exit oder quit.

Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster

Hinweis:

Der neuen Version der Firewall

liegt ein neues Backend zu Grun-

de. Daher können CLI Befehle der

vorherigen Versionen nicht mehr

benutzt werden.

13 Menü Extras Registrieren Securepoint 11


13.2 Registrieren

In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch

nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der Securepoint

Homepage gelangen und dort Ihre Appliance registrieren lassen.

Abb. 159 Informationen über die eingespielte Lizenz

Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisys-

tem aus.

Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen.

13 Menü Extras Firmware Updates Securepoint 11


13.3 Firmware Updates

Aktualisierungen der Firewall Software können Sie unter diesem Punkt vornehmen. Dabei

verbindet sich die Firewall mit dem Securepoint Server und sucht nach neuen Versionen.

Aktualisierungen sind nur mit einer gültigen Lizenz möglich.

Abb. 160 Aktualisierungen suchen

Klicken Sie auf die Schaltfläche Update suchen.

Ist eine neue Version verfügbar wird dies im unteren Fenster angezeigt.

Klicken Sie dann auf die Schaltfläche Aktivieren.

Sichern Sie vorsichtshalber zuvor Ihre aktuelle Konfiguration.

13 Menü Extras Erweiterte Einstellungen Securepoint 11


13.4 Erweiterte Einstellungen

Unter diesem Menüpunkt können generelle Einstellungen des Webinterface geändert wer-

den.

Außerdem können Templates der Dienste und Anwendungen bearbeitet werden.

13.4.1 Registerkarte Allgemein

Abb. 161 Einstellung zu Speicherung und Webserver

Änderungen, die in der Administrationsoberfläche vorgenommen werden, werden automa-

tisch in der aktuell verwendeten Konfiguration gespeichert. Wenn Sie diese Funktion aus-

schalten, bleiben die Änderungen nur bis zu Neustart der Appliance erhalten.

Aktivieren Sie die Checkbox Automatische Speicherung abschalten, wenn Sie

diese Funktion nicht verwenden möchten.

Die Administrationsweboberfläche ist über den internen Webserver über den Port 11115

erreichbar. Die Benutzeroberfläche ist über den Standard SSL Port 443 erreichbar. Wenn

Sie diese Einstellungen ändern möchten, nehmen Sie die Änderungen im Bereich Webser-

ver vor.

Um den Port zum Zugang der Administrationsoberfläche zu ändern, benutzen Sie das

Feld Administration Webinterface Port. Verwenden Sie einen nicht verwende-

ten Port über 1024.

Um den Port zum Zugang zur Benutzeroberfläche zu ändern, benutzen Sie das Feld

User Webinterface Port. Wenn Sie diesen Port ändern, muss der Benutzer diesen

Port mit in die Adresszeile des Browsers eingeben.

Der Winbind Dienst sammelt Benutzer- und Gruppeninformationen und ist für die Namesauf-

lösung zuständig. Wenn die Informationen im Cache vorgehalten werden, erhöht das die

Geschwindigkeit. Es besteht allerdings die Gefahr, dass die Informationen veraltet sind.

Verändern Sie den Wert im Feld Cache Time, um die Zeit bis zur erneuten Abfrage

zu verkürzen (niedriger Wert) oder zu verlängern (hoher Wert).

13 Menü Extras Erweiterte Einstellungen Securepoint 11


13.4.2 Registerkarte Templates

Die Konfigurationsdateien der Anwendungen der Appliance sind auf dieser Registerkarte als

Templates aufrufbar und können so bearbeitet werden.

Abb. 162 Konfigurationsdatei des Proxy

Suchen Sie aus dem Dropdownfeld das Template heraus, welches Sie bearbeiten

möchten.

Damit das Template im Textfeld angezeigt wird, müssen Sie die Schaltfläche Laden

betätigen.

Verändern Sie das Template nach Ihren Wünschen.

Speichern Sie die Änderungen mit der Schaltfläche Speichern ab.

Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestar-

tet werden.

14 Live Log Erweiterte Einstellungen Securepoint 11


14 Live Log

Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion

können Sie nach ganz bestimmten Meldungen suchen.

Abb. 163 Anzeige der aktuellen Protokollmeldungen

Spalte Beschreibung

Datum Zeigt den Tag und die Zeit der Meldung an.

Zusätzlich wird die Zeitzone als positive oder negative Stundenangabe angezeigt. Die-

se Angabe bezieht sich auf die GMT.

Dienst Zeigt den Dienst an, der diese Meldung auslöst.

Nachricht In dieser Spalte wird die Meldung des Eintrags angezeigt.

Mit dem Suchfeld, welches sich oben rechts im Fenster befindet, können Sie die Anzeige

filtern. Eingetragene Suchwörter werden über alle Spalten gesucht, daher sollte die Suchan-

frage so genau wie möglich sein.

15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11


15 Abbildungsverzeichnis

Abb. 1 Position der Appliance im Netzwerk .........................................................................11

Abb. 2 Rückansicht der Piranja bzw. der RC 100 ................................................................11

Abb. 3 Rückansicht einer RC 200 ........................................................................................12

Abb. 4 Frontansicht der RC 300 (schematisch) ...................................................................12

Abb. 5 Frontansicht der RC 400 (schematisch) ...................................................................13

Abb. 6 Login Dialog .............................................................................................................14

Abb. 7 Securepoint 11 Cockpit ............................................................................................16

Abb. 8 Dropdownmenü des Menüpunktes Konfiguration .....................................................17

Abb. 9 Konfigurationsverwaltung .........................................................................................18

Abb. 10 Konfiguration importieren .......................................................................................19

Abb. 11 neue Konfiguration anlegen ....................................................................................20

Abb. 12 Registerkarte Cloud Backup ...................................................................................21

Abb. 13 intere Firewall IP-Adresse ......................................................................................21

Abb. 14 Auswahl der Internetverbindung .............................................................................22

Abb. 15 Daten für die Internetverbindung angeben .............................................................22

Abb. 16 Netzwerkbereich der DMZ ......................................................................................23

Abb. 17 Ändern des Adminstrotorkennworts ........................................................................23

Abb. 18 Einspielen der Lizenz .............................................................................................24

Abb. 19 Dropdownmenü des Menüpubktes Netzwerk .........................................................25

Abb. 20 Name, DNS Server und NTP Server angeben........................................................26

Abb. 21 Netze oder IP-Adressen zur Administration ............................................................27

Abb. 22 Syslog-Server angeben ..........................................................................................28

Abb. 23 SNMP Einstellungen setzen ....................................................................................29

Abb. 24 Registerkarte Netzwerkschnittstellen ......................................................................30

Abb. 25 Registerkarte Allgemein .........................................................................................31

Abb. 26 Registerkarte Einstellungen ....................................................................................31

Abb. 27 Registerkarte IP-Adressen .....................................................................................32

Abb. 28 Registerkarte Zonen ...............................................................................................32

Abb. 29 Registerkarte DynDNS ...........................................................................................33

Abb. 30 Registerkarte QoS ..................................................................................................33

Abb. 31 Registerkarte Fallback ............................................................................................34

Abb. 32 Registerkarte WLAN................................................................................................35

Abb. 33 Registerkarte Routing .............................................................................................35

Abb. 34 Route anlegen / bearbeiten ....................................................................................36

Abb. 35 Registerkarte DHCP ...............................................................................................36

Abb. 36 Netzwerkbereich festlegen .....................................................................................37



Abb. 37 zuständigen Router festlegen .................................................................................37

Abb. 38 Registerkarte DHCP Leases ..................................................................................37

Abb. 39 DHCP Lease hinzufügen ........................................................................................38

Abb. 40 Registerkarte DHCP Relay .....................................................................................38

Abb. 41 Zonen und Interfacebindung ...................................................................................39

Abb. 42 neue Zone anlegen ................................................................................................39

Abb. 43 Routing Einträge der Appliance ..............................................................................40

Abb. 44 Ergebnis des Ping Befehls .....................................................................................41

Abb. 45 DNS Abfrage ...........................................................................................................42

Abb. 46 Anzeige der Hops bis zum Zielhost ........................................................................43

Abb. 47 Dropdownmenü des Menüpunktes Firewall ............................................................44

Abb. 48 Portfilter ..................................................................................................................45

Abb. 49 Dialog zum ANlegen einer neuen Regel .................................................................46

Abb. 50 Regelgruppe hinzufügen ........................................................................................48

Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter .................................................48

Abb. 52 neue Netzwerkgruppe anlegen ...............................................................................49

Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner................................................50

Abb. 54 Ansicht der Registerkarte Dienste ..........................................................................51

Abb. 55 neue Dienstgruppe anlegen ...................................................................................52

Abb. 56 Eingabemaske zum Anlegen eine Dienstes.

Diese Abbildung zeigt alle möglichen Paramter an.

Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll. ............52

Abb. 57 Zeitprofil für Arbeitstage anlegen ............................................................................53

Abb. 58 QoS grafisch dargestellt .........................................................................................54

Abb. 59 QoS anlegen ..........................................................................................................54

Abb. 60 Bootstrap Protocol zulassen ...................................................................................55

Abb. 61 NetBIOS Dienste blockieren ...................................................................................55

Abb. 62 Datenverkehr im IPSec Tunnel ...............................................................................56

Abb. 63 NAT für IPSec Verbindungen ausschalten .............................................................56

Abb. 64 vordefinierte VPN Regeln .......................................................................................57

Abb. 65 Dropdownmenü Dienste .........................................................................................58

Abb. 66 Registerkarte Allgemein des HTTP-Proxys ............................................................59

Abb. 67 Registerkarte Virusscan des HTTP-Proxy ..............................................................60

Abb. 68 Registerkarte Bandbreite im HTTP-Proxy ...............................................................61

Abb. 69 Messaging Anwendungen blocken .........................................................................62

Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy ...................................................63

Abb. 71 Webfilter deaktiviert ................................................................................................64



Abb. 72 Registerkarte Profiles des Webfilters ......................................................................65

Abb. 73 Profil erstellen ........................................................................................................65

Abb. 74 Dialog zum Erstellen von Filterregeln .....................................................................67

Abb. 75 transparenter Modus des HTTP-Proxy ...................................................................69

Abb. 76 transparenten Modus einrichten .............................................................................69

Abb. 77 Registerkarte Servergruppen .................................................................................70

Abb. 78 Servergruppe anlegen ............................................................................................70

Abb. 79 Server zur Gruppe hinzufügen ...............................................................................70

Abb. 80 Registerkarte ACL Sets ..........................................................................................71

Abb. 81 ACL Set anlegen ....................................................................................................71

Abb. 82 ACL Argument definieren .......................................................................................71

Abb. 83 Registerkarte Sites .................................................................................................73

Abb. 84 Site anlegen ...........................................................................................................73

Abb. 85 ACL Set definieren .................................................................................................73

Abb. 86 allgemeine Einstellungen für den Reverse Proxy ...................................................74

Abb. 87 POP3 Proxy ...........................................................................................................75

Abb. 88 transparente Regel anlegen ...................................................................................75

Abb. 89 Registerkarten des Mailrelays ................................................................................76

Abb. 90 Registerkarte Allgemein des Mailrelay ...................................................................77

Abb. 91 Registerkarte Smarthost .........................................................................................77

Abb. 92 Registerkarte Relaying ...........................................................................................78

Abb. 93 Domain hinzufügen ................................................................................................78

Abb. 94 Registerkarte SMTP Routen ...................................................................................79

Abb. 95 Greylisting Einstellungen im unteren Fensterbereich ..............................................80

Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden. ...........................81

Abb. 97 Domains, die vom Greylisting ausgenommen werden. ...........................................82

Abb. 98 Empfänger, die vom Greylisting ausgenommen werden. ........................................83

Abb. 99 Absender, die vom Greylisting ausgenommen werden. ..........................................83

Abb. 100 Ändern der Domain ..............................................................................................84

Abb. 101 Einstellung, die Spam-E-Mails abwehren .............................................................85

Abb. 102 Filterregeln ...........................................................................................................87

Abb. 103 Dialog zum Erstellen einer neuen Regel ...............................................................88

Abb. 104 Regel zur Filterregel hinzufügen ...........................................................................88

Abb. 105 Liste der Content-Filter .........................................................................................89

Abb. 106 Content-Filter erstellen .........................................................................................89

Abb. 107 Registerkarte URL-Filter .......................................................................................90

Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails ....................................91



Abb. 109 allgemeine Einstellungen des VoIP Proxy ............................................................92

Abb. 110 Einstellungen zum Provider ..................................................................................92

Abb. 111 ungültige TCP Flags .............................................................................................93

Abb. 112 Trojaner ................................................................................................................93

Abb. 113 Übersicht der Dienste ...........................................................................................94

Abb. 114 Dropdownmenü des Menüpunktes VPN ...............................................................95

Abb. 115 blobale VPN Einstellung – Allgemein ...................................................................96

Abb. 116 Hinterlegung der Nameserver ..............................................................................96

Abb. 117 IPSec Verbindungsübersicht ................................................................................97

Abb. 118 Assistent Scchritt 1 ...............................................................................................97

Abb. 119 Assistent Schritt 2 - Authetifizierung PSK .............................................................98

Abb. 120 Assistent Schritt 3 ................................................................................................99

Abb. 121 Assistent Schritt 4 .............................................................................................. 100


Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter ................................................ 101




Abb. 127 Auflistung aller verfügbarer Verbindungen .......................................................... 103








Abb. 135 globale Einstellungen füt PPTP Verbindungen ................................................... 107

Abb. 136 globale Einstellungen für L2TP ........................................................................... 108

Abb. 137 Übersicht der Clientless VPN Verbindungen ...................................................... 109

Abb. 138 Clientless VPN Verbindung anlegen ................................................................... 109

Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung .......................................... 110

Abb. 140 Auflistung aller Benutzer..................................................................................... 111

Abb. 141 allgemeine Einstellungen für den neuen Benutzer .............................................. 111

Abb. 142 Gruppenzugehörigkeit ........................................................................................ 112

Abb. 143 feste IP-Adressen für VPN Verbindungen ........................................................... 112

Abb. 144 EInstellungen für den SSL-VPN Client ............................................................... 112

Abb. 145 Einstellungen zum Kennwort .............................................................................. 113



Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen ...................... 114

Abb. 147 Wake On LAN .................................................................................................... 114

Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server ............................... 115

Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis ........................ 115

Abb. 150 Eingaben für die Nutzung eines Active Directory ................................................ 116

Abb. 151 Registerkarte CA der Zertifikatsverwaltung ........................................................ 117

Abb. 152 CA anlegen ........................................................................................................ 118

Abb. 153 Zertifikat erstellen ............................................................................................... 119

Abb. 154 schematische Darstellung einer RSA Verschlüsselung ...................................... 122

Abb. 155 Liste der gespeicherten RSA Schlüssel .............................................................. 123

Abb. 156 RSA Schlüssel generieren .................................................................................. 123

Abb. 157 Schaltflächen für den Export .............................................................................. 124

Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster .................................................... 125

Abb. 159 Informationen über die eingespielte Lizenz ........................................................ 126

Abb. 160 Aktualisierungen suchen .................................................................................... 127

Abb. 161 Einstellung zu Speicherung und Webserver ....................................................... 128

Abb. 162 Konfigurationsdatei des Proxy ............................................................................ 129

Abb. 163 Anzeige der aktuellen Protokollmeldungen ......................................................... 130

Documents

Securepoint 11 v11... · Securepoint 11 Securepoint Security Solutions 2 Änderungsnachweise Version Freigabedatum Kapitel Änderungen 0.9 03.11.2012 alle Neuerstellung