Seite 1 FL MGUARD 2000/4000 Web-based Management mGuard 10.4.x Anwenderhandbuch UM DE FW MGUARD10...
Seite 2 Benutzerhandbuch „Generic Administration Interface - gaiconfig User Guide“: UM DE GAICONFIG MGUARD10 – 110193_de_xx Benutzerhandbuch „Installation, Konfiguration und Benutzung des mGuard device manager (mdm)“: UM DE MDM 1.15 – 111024_de_xx Phoenix Contact GmbH & Co. KG • Flachsmarktstraße 8 • 32825 Blomberg • Germany phoenixcontact.com...
Seite 3: Inhaltsverzeichnis
Veränderung des Produkts..................8 Sicherheitshinweise ..................... 9 IT-Sicherheit ......................10 Aktuelle Sicherheitshinweise zu Ihrem Produkt ........... 13 Support........................ 13 Grundlagen mGuard ........................15 Neue Geräteplattform FL MGUARD 2000/4000 ..........15 2.1.1 Nicht mehr unterstützte Funktionen ............. 16 2.1.2 Neu hinzugefügte Funktionen .............. 17 2.1.3 Geänderte Werkseinstellungen ............
Seite 4 5.5.1 Internes / Externes DHCP ..............150 5.5.2 DMZ DHCP ..................154 Netzwerk >> Proxy-Einstellungen..............157 5.6.1 HTTP(S) Proxy-Einstellungen ............157 Netzwerk >> Dynamisches Routing..............158 5.7.1 OSPF ....................158 5.7.2 Distributions-Einstellungen ..............162 4 / 350 Phoenix Contact 110191_de_07...
Seite 5 IPsec VPN >> L2TP über IPsec ................. 274 8.3.1 L2TP-Server ..................274 IPsec VPN >> IPsec Status ................276 Menü OpenVPN-Client ......................279 OpenVPN-Client >> Verbindungen ..............279 9.1.1 Verbindungen ..................279 9.1.2 Allgemein ................... 281 Phoenix Contact 5 / 350 110191_de_07...
Seite 6 Zusammenwirken mit anderen Geräten ..........328 13.1.9 Grenzen der Firewall-Redundanz ............331 14 Glossar ..........................333 15 Anhang ..........................343 15.1 CGI-Interface ..................... 343 15.2 Kommandozeilen-Tool „mg“ ................344 15.3 LED-Statusanzeige und Blinkverhalten ............. 345 15.3.1 Darstellung der Systemzustände ............345 6 / 350 Phoenix Contact 110191_de_07...
Seite 7: Zu Ihrer Sicherheit
Die Geräte der Serie FL MGUARD sind industrietaugliche Security-Router mit integrier- ter Stateful-Packet-Inspection-Firewall und VPN. Sie eignen sich für die dezentrale Ab- sicherung von Produktionszellen oder einzelner Maschinen gegen Manipulationen sowie für sichere Fernwartungsszenarien. Phoenix Contact 7 / 350 110191_de_07...
Seite 8: Veränderung Des Produkts
Modifikationen an der Hard- und Firmware des Geräts sind nicht zulässig. Unsachgemäße Arbeiten oder Veränderungen am Gerät können Ihre Sicherheit gefährden oder das Gerät beschädigen. Sie dürfen das Gerät nicht reparieren. Wenn das Gerät einen Defekt hat, wenden Sie sich an Phoenix Contact. 8 / 350 Phoenix Contact...
Seite 9: Sicherheitshinweise
Öffnen oder Verändern des Gerätes ist nicht zulässig. Reparieren Sie das Gerät nicht selbst, sondern ersetzen Sie es durch ein gleichwertiges Gerät. Reparaturen dürfen nur vom Hersteller vorgenommen werden. Der Hersteller haftet nicht für Schäden aus Zuwi- derhandlung. Phoenix Contact 9 / 350 110191_de_07...
Seite 10: It-Sicherheit
(ISMS) zur Verwaltung aller infrastrukturellen, organisatorischen und perso- nellen Maßnahmen, die zur Erhaltung der Informationssicherheit notwendig sind. Darüber hinaus empfiehlt Phoenix Contact, mindestens die folgenden Maßnahmen zu be- rücksichtigen. Weiterführende Informationen zu den im Folgenden genannten Maßnahmen erhalten Sie auf den folgenden Webseiten (letzter Zugriff am 15.09.2023):...
Seite 11 Stellen Sie sicher, dass Sie immer die aktuelle gerätespezifische Dokumentation ver- wenden. Stellen Sie die Integrität von heruntergeladenen Dateien sicher Phoenix Contact stellt Prüfsummen der Dateien bereit, die über die Produktseite des jewei- ligen Geräts heruntergeladen werden können. • Um sicherzugehen, dass die heruntergeladenen Firmware- oder Update-Dateien als auch heruntergeladene Dokumentation während des Downloads nicht von Dritten ver-...
Seite 12 Schaltschranks), sind somit auch sensible Daten für jeden abrufbar. • Stellen Sie sicher, dass Unbefugte keinen Zugriff auf die SD-Karte haben. • Stellen Sie bei der Vernichtung der SD-Karte sicher, dass die Daten nicht wiederherge- stellt werden können. 12 / 350 Phoenix Contact 110191_de_07...
Seite 13: Aktuelle Sicherheitshinweise Zu Ihrem Produkt
Aktuelle Sicherheitshinweise zu Ihrem Produkt Product Security Incident Response Team (PSIRT) Das Phoenix Contact PSIRT ist das zentrale Team für Phoenix Contact und dessen Toch- terunternehmen, dessen Aufgabe es ist, auf potenzielle Sicherheitslücken, Vorfälle und an- dere Sicherheitsprobleme im Zusammenhang mit Produkten, Lösungen sowie Diensten von Phoenix Contact zu reagieren.
Seite 14 MGUARD 10.4 14 / 350 Phoenix Contact 110191_de_07...
Seite 15: Grundlagen Mguard
Paketfilter untersucht Datenpakete anhand der Ursprungs- und Zieladresse und blo- ckiert unerwünschten Datenverkehr. Neue Geräteplattform FL MGUARD 2000/4000 Mit den Geräten der FL MGUARD 2000/4000-Serie werden die etablierten mGuard-Geräte der RS2000/RS4000- und PCI(E)4000-Serie nach und nach ersetzt. Die neuen Geräte mit bewährter mGuard Security Technology sind mit schnellem Gigabit- Ethernet ausgestattet und werden mit der Firmware-Version mGuard 10.x betrieben.
Seite 16: Nicht Mehr Unterstützte Funktionen
Auf der neuen Geräteplattform werden bestimmte Funktionen der alten Geräteplattform nicht mehr unterstützt. Hardware Die neuen mGuard-Modelle der FL MGUARD 2000/4000-Serie verfügen über keine serielle Schnittstelle und kein internes Modem. Firmware (Funktionen) Gerätefunktionen, die auf der neuen Geräteplattform nicht unterstützt werden, sind in Tabelle 2-1 aufgeführt.
Seite 17: Neu Hinzugefügte Funktionen
Menü: OpenVPN-Client > Verbindungen > Tunneleinstellungen Sektion: Datenverschlüsselung Migration von älteren mGuard-Konfigurationen Variable: Hash-Algorithmus (HMAC-Authentication) GAI-Variable: OPENVPN_CONNECTION.x.VPN_AUTH_HMAC Nach der Migration einer Konfiguration aus einer äl- teren Firmware-Version wird der Wert der neu hin- zugefügten Variable auf "SHA-1" gesetzt. Phoenix Contact 17 / 350 110191_de_07...
Seite 18: Geänderte Werkseinstellungen
LAN-Netzwerk erreichbar. Mit dem LAN-In- terface verbundene Geräte können ihre IP-Konfi- guration über den DHCP-Server des mGuard-Ge- räts erhalten. Migration von älteren mGuard-Konfiguratio- Der Wert aus der migrierten Konfiguration wird unverändert übernommen. Der konfigurierte Netzwerkmodus wird nicht geändert. 18 / 350 Phoenix Contact 110191_de_07...
Seite 19: Geänderte Variablenwerte
Gerät nicht verfügbar, müssen die Variablen vor dem Export der Konfiguration auf dem alten Gerät auf Werkseinstellungen zurückgesetzt werden (siehe Tabelle 2-1). Das genaue Vorgehen bei der Gerätemigration wird im Dokument 111259_de_xx (AH DE MGUARD MIGRATE 10) beschrieben, erhältlich unter phoenixcontact.com/pro- duct/1357875. Phoenix Contact 19 / 350 110191_de_07...
Seite 20: Grundlegende Eigenschaften
Dead-Peer-Detection (DPD): Erkennung von IPsec-Verbindungsabbrüchen – IPsec/L2TP-Server: Anbindung von IPsec/L2TP-Clients – IPsec-Firewall und IPsec NAT – Standard-Route über VPN-Tunnel – Weiterleiten von Daten zwischen VPNs (Hub and Spoke) – Gerätetypenabhängig bis zu 250 aktive VPN-Tunnel 20 / 350 Phoenix Contact 110191_de_07...
Seite 21 Kompatibel zur mGuard Secure Cloud (mSC) Support Bei Problemen mit Ihrem mGuard wenden Sie sich bitte an Ihre Bezugsquelle. Zusätzliche Informationen zum Gerät sowie Release Notes und Software-Updates finden Sie unter folgender Internet-Adresse: phoenixcontact.com/product/<Bestellnummer>. Phoenix Contact 21 / 350 110191_de_07...
Seite 22: Typische Anwendungsszenarien
Netzwerk gesetzt werden. Die Einstellungen (z. B. für Firewall und VPN) können mit einem Web-Browser unter der URL https://1.1.1.1/ vorgenommen werden. Auf dem Rechner selbst müssen keine Konfigurationsänderungen durchgeführt werden. Bild 2-1 Stealth-Modus (Plug-n-Protect) 22 / 350 Phoenix Contact 110191_de_07...
Seite 23: Netzwerkrouter
DMZ-Port einiger mGuard-Geräte, z. B. dem FL MGUARD 4305. Der DMZ-Port wird nur im Router-Modus unterstützt und benötigt wenigstens eine IP-Ad- resse und eine entsprechende Netzmaske. Die DMZ unterstützt keine VLANs. Internet Intranet Bild 2-3 Phoenix Contact 23 / 350 110191_de_07...
Seite 24: Vpn-Gateway
In diesem Beispiel wurden die mGuards in den Router-Modus geschaltet und für das WLAN ein eigenes Netz mit 172.16.1.x Adressen eingerichtet. Da vom Nebengebäude aus das Internet über das VPN erreichbar sein soll, wird hier eine Standard-Route über das VPN eingerichtet: 24 / 350 Phoenix Contact 110191_de_07...
Seite 25: Auflösen Von Netzwerkkonflikten
Mit Hilfe der mGuards und ihrem 1:1-NAT-Feature können diese Netze nun auf andere Netze umgeschrieben werden, so dass der Konflikt aufgelöst wird. (1:1-NAT kann im normalen Routing, in IPsec-Tunneln und in OpenVPN-Verbindungen ge- nutzt werden.) Phoenix Contact 25 / 350 110191_de_07...
Seite 26 MGUARD 10.4 26 / 350 Phoenix Contact 110191_de_07...
Seite 27: Hilfen Zur Konfiguration
Sicherheit in der Informationstechnik: „BSI TR-02102 Kryptographische Verfah- ren: Empfehlungen und Schlüssellängen“. Verwendung sicherer Verschlüsselungs- und Hash-Algorithmen Phoenix Contact empfiehlt die Verwendung von Verschlüsselungs- und Hash-Algorithmen entsprechend der unten stehenden Tabelle. Weitere auf dem mGuard-Gerät verfügbare Verschlüsselungs- und Hash-Algorith- men gelten als nicht mehr sicher.
Seite 28 2048 Bit sowie sichere Hash-Algorithmen (siehe auch Tabelle 3-1). Verwendung von X.509-Zertifikaten statt Pre-Shared Keys (PSK) Die Authentisierung mittels Pre-Shared-Keys (PSK) in VPN-Verbindungen gilt als unsicher und sollte nicht mehr verwendet werden. Verwenden Sie aus Sicherheitsgründen zur Aut- hentisierung X.509-Zertifikate. 28 / 350 Phoenix Contact 110191_de_07...
Seite 29: Geeignete Web-Browser
Passwörter und Private Keys können von ihm nicht gelesen werden. – Der Benutzer audit kann auf alle Funktionen ausschließlich lesend zugreifen. Die Be- nutzerrolle audit kann wie netadmin standardmäßig nur über den mGuard device manager (FL MGUARD DM UNLIMITED) eingeschaltet werden. Phoenix Contact 29 / 350 110191_de_07...
Seite 30: Eingabehilfe Bei Der Konfiguration (Systemnachrichten)
Menüpunkt rot markiert. Auch wenn Sie ein Menü schließen, bleiben die geänderten oder ungültigen Einträge ge- kennzeichnet. Bei Bedarf werden systemrelevante Informationen und Alarmmeldungen (siehe Kapitel 4.8.2, „Alarmausgang“) im oberen Bereich des Bildschirms angezeigt. 30 / 350 Phoenix Contact 110191_de_07...
Seite 31: Bedienung Der Web-Oberfläche
Sekunden, drei Werte als Stunden, Minuten und Sekunden. Die Werte für Minuten und Se- kunden dürfen größer als 59 sein. Nach Übernahme der Werte werden diese unabhängig vom Eingabeformat immer als [hh:mm:ss] angezeigt (aus 90:120 wird z. B. 1:32:00). Phoenix Contact 31 / 350 110191_de_07...
Seite 32: Zurücksetzen
Nach einem Klick auf das Icon öffnet sich das dem Inhalt der Seite entsprechende Kapitel des mGuard-Firmwarehandbuchs in einem neuen Tab/Fenster des Webbrowsers. Das mGuard-Firmwarehandbuch als PDF-Version können Sie auf den entsprechenden Produktseiten unter phoenixcontact.com/pro- ducts herunterladen. 32 / 350 Phoenix Contact 110191_de_07...
Seite 33 Die Zeilen wird an die mit einen Kasten markierten Stelle verschoben. Löschen von Zeilen Klicken Sie in der Zeile, die Sie löschen möchten, auf das Icon Zeile löschen. Klicken Sie anschließend auf das Icon Übernehmen, um die Änderung wirksam werden zu lassen. Phoenix Contact 33 / 350 110191_de_07...
Seite 34: Cidr (Classless Inter-Domain Routing)
Firewall, kann es erforderlich sein, den Adressraum in der CIDR-Schreibweise anzuge- ben. Die nachfolgende Tabelle zeigt links die IP-Netzmaske, ganz rechts die entspre- chende CIDR-Schreibweise. IP-Netzmaske Binär CIDR Beispiel: 192.168.1.0 / 255.255.255.0 entspricht im CIDR: 192.168.1.0/24 34 / 350 Phoenix Contact 110191_de_07...
Seite 35: Netzwerk-Beispielskizze
Zusätzliche interne Routen IP-Adresse 192.168.15.2 192.168.15.3 192.168.15.4 192.168.15.5 Netzwerk: Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 192.168.15.0/24 Gateway: Netz C Rechner 192.168.11.2 IP-Adresse 192.168.27.1 192.168.27.2 192.168.27.3 192.168.27.4 Netzwerk: Netzwerk-Maske 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 192.168.27.0/24 Gateway: 192.168.11.2 Phoenix Contact 35 / 350 110191_de_07...
Seite 36: Led-Statusanzeige Und Blinkverhalten
Mithilfe von eingebauten LED-Dioden zeigen mGuard-Geräte verschiedene Systemzu- stände an. Dabei kann es sich um Status-, Alarm- oder Fehlermeldungen handeln. Detaillierte Informationen zu den LEDs finden Sie im Anhang (siehe „LED-Statusanzeige und Blinkverhalten“ auf Seite 345) 36 / 350 Phoenix Contact 110191_de_07...
Seite 37: Menü Verwaltung
Verwaltung >> Systemeinstellung >> Host Zustand der beiden Netzteile (modellabhängig mit redundan- System Zustand der Stromver- sorgung 1/2 ter Stromversorgung) Systemtemperatur Wenn der angegebene Temperaturbereich unter- bzw. über- (°C) schritten wird, wird ein SNMP-Trap ausgelöst. Phoenix Contact 37 / 350 110191_de_07...
Seite 38 B. „Hermes“, „Pluto“. (Unter SNMP: sysName) Standort Frei vergebbare Bezeichnung des Installationsortes, z. B. „Halle IV, Flur 3“, „Schaltschrank“. (Unter SNMP: sysLocation) Angabe einer für den mGuard zuständigen Kontaktperson, Kontakt am besten mit Telefonnummer. (Unter SNMP: sysContact) 38 / 350 Phoenix Contact 110191_de_07...
Seite 39: Zeit Und Datum
Aktivitäten nicht starten kann (siehe „Zeitabhängige Aktivitäten“ auf Seite 40). Verbundene Geräte können den mGuard ihrerseits als NTP-Server verwenden. Bitte beachten Sie, dass aus Sicherheitsgründen die NTP-Version NTP v1 vom mGuard nicht unterstützt wird. Phoenix Contact 39 / 350 110191_de_07...
Seite 40: Zeitabhängige Aktivitäten
Dies ist der Fall, wenn unter dem Menüpunkt „Authentifizierung >> Zertifikate“, „Zertifikatseinstellungen“ für die Option Beachte den Gültigkeitszeitraum von Zer- tifikaten und CRLs die Einstellung Warte auf Synchronisation der Systemzeit aus- gewählt ist (siehe „Authentifizierung >> Zertifikate“ „Zertifikatseinstellungen“ auf Seite 179). 40 / 350 Phoenix Contact 110191_de_07...
Seite 41: Lokale Systemzeit Einstellen
Hier können Sie die Zeit des mGuards setzen, falls kein stellen NTP-Server eingestellt wurde oder aber der NTP-Server nicht erreichbar ist. Das Datum und die Zeit werden in dem Format JJJJ.MM.TT- HH:MM:SS angegeben: JJJJ Jahr Monat Stunde Minute Sekunde Phoenix Contact 41 / 350 110191_de_07...
Seite 42 Damit der mGuard als NTP-Server fungieren kann, muss er selber das aktuelle Datum und die aktuelle Uhrzeit von einem NTP-Server (= Zeit-Server) beziehen. Dazu muss die Adresse von mindestens einem NTP-Server angegeben werden. Zusätzlich muss dieses Feature aktiviert sein. 42 / 350 Phoenix Contact 110191_de_07...
Seite 43 Geben Sie hier einen oder mehrere Zeit-Server an, von denen der mGuard die aktuelle Zeitangabe beziehen soll. Falls Sie mehrere Zeit-Server angeben, verbindet sich der mGuard au- tomatisch mit allen, um die aktuelle Zeit zu ermitteln. Phoenix Contact 43 / 350 110191_de_07...
Seite 44: Erlaubte Netzwerke Für Ntp-Zugriff
Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert. 44 / 350 Phoenix Contact 110191_de_07...
Seite 45 Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Funktion Log akti- vieren oder – das Ereignis nicht protokolliert werden soll – Funktion Log deaktivieren (werkseitige Voreinstellung). Phoenix Contact 45 / 350 110191_de_07...
Seite 46: Shell-Zugang
MGUARD 10.4 4.1.3 Shell-Zugang Die Konfiguration des mGuards darf nicht gleichzeitig über den Web-Zugriff, den Shell- Zugang oder SNMP erfolgen. Eine zeitgleiche Konfiguration über die verschiedenen Zu- gangsmethoden führt möglicherweise zu unerwarteten Ergebnissen. 46 / 350 Phoenix Contact 110191_de_07...
Seite 47: Erlaube Ssh-Zugang Standard: Aktiviert Als Benutzer Root
Sie die Firewall-Regeln für die verfügbaren Interfaces entsprechend definieren (siehe „Erlaubte Netz- werke“ auf Seite 51). Erlaube SSH-Zugang Standard: aktiviert als Benutzer root Bei aktivierter Funktion kann sich der Benutzer „root“ via SSH- Zugang auf dem Gerät anmelden. Phoenix Contact 47 / 350 110191_de_07...
Seite 48 Shell-Kommandos die eingestellte Anzahl von Sekunden überschreitet. Im Unterschied hierzu kann die Verbindung auch abgebro- chen werden, wenn die Funktionsfähigkeit der Verbindung nicht mehr gegeben ist, siehe „Verzögerung bis zur nächsten Anfrage nach einem Lebenszeichen“ auf Seite 48 / 350 Phoenix Contact 110191_de_07...
Seite 49 Wenn z. B. alle 15 Sekunden nach einem Lebenszeichen ge- fragt werden soll und dieser Wert auf 3 eingestellt ist, dann wird die SSH-Verbindung gelöscht, wenn nach circa 45 Se- kunden immer noch kein Lebenszeichen gegeben wurde. Phoenix Contact 49 / 350 110191_de_07...
Seite 50 Bei „0“ ist keine Sitzung erlaubt. Es kann sein, dass der Benut- zer „netadmin“ nicht verwendet wird. Audit 0 bis 2147483647 Bei „0“ ist keine Sitzung erlaubt. Es kann sein, dass der Benut- zer „audit“ nicht verwendet wird. 50 / 350 Phoenix Contact 110191_de_07...
Seite 51 Zugang erlaubt beziehungsweise verboten ist. Bei den Angaben haben Sie folgende Möglichkeiten: IP-Adresse: 0.0.0.0/0 bedeutet alle Adressen. Um einen Be- reich anzugeben, benutzen Sie die CIDR-Schreibweise, siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite Phoenix Contact 51 / 350 110191_de_07...
Seite 52 Benutzer können bei ihrer Anmeldung über einen RADIUS-Server authentifiziert werden. Dies gilt für Anwender, die über den Shell-Zugang mit Hilfe von SSH auf den mGuard zu- greifen wollen. Bei den vordefinierten Benutzern (root, admin, netadmin und audit) wird das Passwort lokal geprüft. 52 / 350 Phoenix Contact 110191_de_07...
Seite 53 Methode zur Passwortprüfung einzurichten, empfehlen wir Ihnen, ein „Customized Default Profile“ anzulegen, das die Authentifizierungsmethode zurücksetzt. Die vordefinierten Benutzer (root, admin, netadmin und audit) können sich dann nicht mehr per SSH beim mGuard anmel- den. Phoenix Contact 53 / 350 110191_de_07...
Seite 54 CA-Zertifikate nutzt, um die Gültigkeit der von den VPN-Partnern vorgezeigten Zertifikate zu bestätigen. Wenn Sie Änderungen am Authentifizierungsverfahren vornehmen, sollten Sie den mGuard anschließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Zertifikaten oder Passwörtern sicher zu beenden. 54 / 350 Phoenix Contact 110191_de_07...
Seite 55 Authentifizierung des SSH-Clients zur Verfügung stehen müs- sen, wenn der SSH-Client bei Verbindungsaufnahme eines der folgenden Zertifikatstypen vorzeigt: – ein von einer CA signiertes Zertifikat – ein selbst signiertes Zertifikat Zum Verständnis der nachfolgenden Tabelle siehe Kapi- „Authentifizierung >> Zertifikate“ Phoenix Contact 55 / 350 110191_de_07...
Seite 56 „Authentifizierung >> Zertifikate“ geladen worden sind. Wenn Sie Änderungen am Authentifizierungsver- fahren vornehmen, sollten Sie den mGuard an- schließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Zertifikaten oder Passwörtern sicher zu beenden. 56 / 350 Phoenix Contact 110191_de_07...
Seite 57 Attribute mit der übereinstimmen, wie sie in den Zer- tifikaten gegeben ist, auf die der Filter angewendet werden soll. Auf Groß- und Kleinschreibung achten. Es können mehrere Filter gesetzt werden, die Reihenfolge ist irrelevant. Phoenix Contact 57 / 350 110191_de_07...
Seite 58 „Authentifizierung >> Zertifi- kate“ geladen worden sind. Wenn Sie Änderungen am Authentifizierungsver- fahren vornehmen, sollten Sie den mGuard an- schließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Zertifikaten oder Passwörtern sicher zu beenden. 58 / 350 Phoenix Contact 110191_de_07...
Seite 59 Mit der Einstellung Alle Benutzer ist der Zugriff für jeden der vorgenannten Systembenutzer möglich. Die Einstellmöglichkeiten netadmin und audit be- ziehen sich auf Zugriffsrechte mit dem mGuard de- vice manager (FL MGUARD DM UNLIMITED). Phoenix Contact 59 / 350 110191_de_07...
Seite 60: E-Mail
Port-Nummer des Port-Nummer des E-Mail-Servers E-Mail-Servers Verschlüsselungs- Keine Verschlüsselung / TLS-Verschlüsselung / TLS-Ver- modus für den E-Mail- schlüsselung mit StartTLS Server Verschlüsselungsmodus für den E-Mail-Server SMTP-Benutzerken- Benutzerkennung (Login) nung SMTP-Passwort Passwort für den E-Mail-Server 60 / 350 Phoenix Contact 110191_de_07...
Seite 61: E-Mail-Benachrichtigungen
Zeitstempel in Form eines Platzhalters in Klartext (\T) oder maschinenlesbar (\t) können ebenfalls eingefügt werden. Zeitstempel Tabelle 4-1 Beispiele für Zeitstempel Klartext \T Maschinenlesbar \t (nach RFC-3339) Montag, April 22 2016 13:22:36 2016-04-22T11:22:36+0200 Phoenix Contact 61 / 350 110191_de_07...
Seite 62 Stromversorgung 2 defekt fail Zustand des Eingangs/ Service Eingang/CMD1 (I1) aktiviert /ihal/service/cmd1 CMD 1 (I1) Service Eingang/CMD1 (I1) deaktiviert Zustand des Eingangs/ Service Eingang/CMD2 (I2) aktiviert /ihal/service/cmd2 CMD 2 (I2) Service Eingang/CMD2 (I2) deaktiviert 62 / 350 Phoenix Contact 110191_de_07...
Seite 63 Nicht alle IPsec-SAs aufgebaut some Alle IPsec-SAs aufgebaut Aktivierungszustand des Der Zustand der Firewall-Regelsätze hat sich /fwrules/*/state inactive Firewall-Regelsatzes geändert. active Aktivierungszustand der Gestoppt /openvpn/con/*/ar- OpenVPN-Verbindung Gestartet Status der OpenVPN-Ver- Getrennt /openvpn/con/*/state down bindung Aufgebaut Phoenix Contact 63 / 350 110191_de_07...
Seite 64: Verwaltung >> Web-Einstellungen
Zeit der Inaktivität, nach denen der Benutzer von der Web- Schnittstelle des mGuards automatisch abgemeldet wird. Mögliche Werte: 15 bis 86400 Sekunden (= 24 Stunden) Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen. 64 / 350 Phoenix Contact 110191_de_07...
Seite 65: Zugriff
Menü Verwaltung 4.2.2 Zugriff Die Konfiguration des mGuards darf nicht gleichzeitig über den Web-Zugriff, den Shell- Zugang oder SNMP erfolgen. Eine zeitgleiche Konfiguration über die verschiedenen Zu- gangsmethoden führt möglicherweise zu unerwarteten Ergebnissen. Phoenix Contact 65 / 350 110191_de_07...
Seite 66 Passwörter für die Benutzer root und admin festgelegt sind. Wenn Sie das Passwort für root oder admin ändern, sollten Sie den mGuard anschließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Passwörtern sicher zu beenden. 66 / 350 Phoenix Contact 110191_de_07...
Seite 67 Fernzugang die Port-Nummer 443 festgelegt ist, dann muss bei der entfernten Gegenstelle im Web-Browser diese Port- Nummer nicht hinter der Adresse angegeben werden. Bei einer anderen Port-Nummer ist diese hinter der IP-Ad- resse anzugeben, z. B.: https://123.124.125.21:442/ Phoenix Contact 67 / 350 110191_de_07...
Seite 68 Regel gefunden wird. Diese wird dann an- gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert. Bei den Angaben haben Sie folgende Möglichkeiten: 68 / 350 Phoenix Contact 110191_de_07...
Seite 69: Radius-Authentifizierung
Ereignis nicht protokolliert werden soll – Funkti- on Log deaktivieren (werkseitige Voreinstellung). RADIUS-Authentifizierung Benutzer können bei ihrer Anmeldung über einen RADIUS-Server authentifiziert werden. Nur bei den vordefinierten Benutzern (root, admin, netadmin, audit und user) wird das Passwort lokal geprüft. Phoenix Contact 69 / 350 110191_de_07...
Seite 70 Zugang zum mGuard unter Umständen nicht mehr möglich. Dies gilt z. B. wenn Sie einen falschen RADIUS-Server ein- richten oder den mGuard umsetzen. Die vordefinierten Benut- zer (root, admin, netadmin, audit und user) werden dann nicht mehr akzeptiert. 70 / 350 Phoenix Contact 110191_de_07...
Seite 71 Passwort, einem X.509-Benutzerzertifikat oder einer Kombination daraus authentifiziert. Wenn Sie Änderungen am Authentifizierungsverfahren vornehmen, sollten Sie den mGuard anschließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Zertifikaten oder Passwörtern sicher zu beenden. Phoenix Contact 71 / 350 110191_de_07...
Seite 72 Erst wenn sichergestellt ist, dass diese Einstellung funktioniert, auf Login nur mit X.509-Benutzerzerti- fikat umstellen. Es könnte sonst passieren, dass Sie sich selbst aussperren! Diese Vorsichtsmaßnahme unbedingt immer dann treffen, wenn unter Benutzerauthentifizierung Einstellungen geändert werden. 72 / 350 Phoenix Contact 110191_de_07...
Seite 73 „Authentifizierung >> Zertifikate“ auf Seite 174). Ist unter Menüpunkt „Authentifizierung >> Zertifikate“, Zertifikatseinstellungen die Ver- wendung von Sperrlisten (= CRL-Prüfung) aktiviert, wird jedes von einer CA signierte Zer- tifikat, das HTTPS-Clients „vorzeigen“, auf Sperrung geprüft. Phoenix Contact 73 / 350 110191_de_07...
Seite 74 Erst wenn sichergestellt ist, dass diese Einstellung funktioniert, auf Login nur mit X.509-Benutzerzerti- fikat umstellen. Sonst könnte es passieren, dass Sie sich selbst aussperren! Diese Vorsichtsmaßnahme unbedingt immer dann treffen, wenn unter Benutzerauthentifizierung Einstellungen geändert werden. 74 / 350 Phoenix Contact 110191_de_07...
Seite 75 Beschränkung auf bestimmte Subjects (d. h. Personen) und/oder auf Subjects, die bestimmte Merkmale (Attribu- te) haben, oder – Freigabe für alle Subjects (siehe Glossar unter „Subject, Zertifikat“ auf Seite 337). Das Feld X.509-Subject darf nicht leer bleiben. Phoenix Contact 75 / 350 110191_de_07...
Seite 76 Diese Rechtevergabe erfolgt bei der Filtersetzung hier (unter „Für den Zugriff autorisiert als“). Das hat folgende Konsequenz: Gibt es mehrere Filter, die einen bestimmten Benutzer „durchlassen“, tritt der erste Filter in Kraft. 76 / 350 Phoenix Contact 110191_de_07...
Seite 77 Für eine Beschreibung der Berechtigungsstufen root, admin und user siehe „Authentifizierung >> Administrative Benutzer“ auf Seite 163. Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte bei Zugriffen mit dem mGuard device manager (FL MGUARD DM UNLIMITED). Phoenix Contact 77 / 350 110191_de_07...
Seite 78 Für eine Beschreibung der Berechtigungsstufen root, admin und user siehe „Authentifizierung >> Administrative Benutzer“ auf Seite 163. Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte bei Zugriffen mit dem mGuard device manager (FL MGUARD DM UNLIMITED). 78 / 350 Phoenix Contact 110191_de_07...
Seite 79: Verwaltung >> Lizenzbedingungen
Listet die Lizenzen der Fremd-Software auf, die im mGuard verwendet wird. Es handelt sich meistens um Open-Source-Software (für die jeweils aktuelle Liste siehe auch Anwender- hinweis AH DE MGUARD3 MG10 LICENSES „Lizenzinformationen - Freie und Open- Source-Software“ (verfügbar im PHOENIX CONTACT Web Shop z. B. unter phoenixcon- tact.com/product/1357828)).
Seite 80: Verwaltung >> Update
Da mit jeder neuen Firmware-Version sicherheitsrelevante Verbesserungen in das Pro- dukt eingefügt werden, sollte grundsätzlich immer auf die neueste Firmware-Version ak- tualisiert werden. Phoenix Contact stellt regelmäßig Firmware-Updates zur Verfügung. Diese finden Sie auf der Produktseite des jeweiligen Geräts (z. B. phoenixcontact.com/product/1357840). •...
Seite 81: Update
Hersteller reaktiviert werden können. Abhängig von der Größe des Updates, kann dieses mehrere Minuten dauern. Falls zum Abschluss des Updates ein Neustart erforderlich sein sollte, werden Sie durch eine Nachricht darauf hingewiesen. Phoenix Contact 81 / 350 110191_de_07...
Seite 82 Die Login-Informationen (Login + Passwort) müssen nicht angegeben wer- den, wenn der werkseitig voreingestellte Update-Server (https://update.inno- minate.com) verwendet wird. Bei den Angaben haben Sie folgende Möglichkeiten: Protokoll Das Update kann per HTTPS, HTTP, FTP oder TFTP erfol- gen. 82 / 350 Phoenix Contact 110191_de_07...
Seite 83 über ein CA-Zertifikat. Das Zertifikat muss auf das mGuard- Gerät hochgeladen werden, damit es zur Prüfung des Server- Zertifikats in der Drop-Down-Liste ausgewählt werde kann (siehe Kapitel 6.4.4, „Gegenstellen-Zertifikate“ Kapitel 6.4.3, „CA-Zertifikate“). Wird die Option „Ignorieren“ ausgewählt. findet keine Prüfung statt. Phoenix Contact 83 / 350 110191_de_07...
Seite 84: Verwaltung >> Konfigurationsprofile
Es ist möglich, ein Konfigurationsprofil zu laden und in Kraft zu setzen, das unter einer äl- teren Firmware-Version erstellt wurde. Umgekehrt trifft das nicht zu: Ein unter einer neu- eren Firmware-Version erstelltes Konfigurationsprofil sollte nicht geladen werden und wird zurückgewiesen. 84 / 350 Phoenix Contact 110191_de_07...
Seite 85 – Um die Einträge des geladenen Profils (gegebenenfalls mit weiteren Änderun- gen) zu übernehmen, klicken Sie auf das Icon Übernehmen. – Um alle Änderungen zu verwerfen, klicken Sie auf das Icon Zurücksetzen. Phoenix Contact 85 / 350 110191_de_07...
Seite 86: Konfigurationsprofil Löschen
Feld Profilname den gewünschten Profilnamen eintragen. • Auf die Schaltfläche Übernehmen klicken. Das Konfigurationsprofil wird im mGuard gespeichert. Der Name des Profils wird in der Liste der im mGuard gespeicher- ten Konfigurationsprofile angezeigt. 86 / 350 Phoenix Contact 110191_de_07...
Seite 87 Feld Profilname den gewünschten Profilnamen eintragen. • Auf die Schaltfläche Übernehmen klicken. Das Konfigurationsprofil wird im mGuard gespeichert. Der Name des Profils wird in der Liste der im mGuard gespeicher- ten Konfigurationsprofile angezeigt. Phoenix Contact 87 / 350 110191_de_07...
Seite 88 Technische Voraussetzung von SD-Karten: – FAT-kompatibles Dateisystem auf der ersten Partition. Zertifizierte und freigegebene SD-Karten durch Phoenix Contact: siehe Bereich „Zube- hör“ auf den Produktseiten unter: phoenixcontact.com/products Um die Datei in ein mGuard-Gerät zu importieren, muss die SD-Karte in den mGuard ein- gelegt werden.
Seite 89 Auch wenn der ECS nicht angeschlossen, voll oder defekt ist, werden Konfigurationsänderungen ausgeführt. Entspre- chende Fehlermeldungen erscheinen im Logging (siehe „Log- ging >> Logs ansehen“ auf Seite 311). Die Aktivierung der neuen Einstellung verlängert die Reakti- onszeit der Bedienoberfläche, wenn Einstellungen geändert werden. Phoenix Contact 89 / 350 110191_de_07...
Seite 90 ECS zugegriffen. Das Konfigurationsprofil wird vom ECS beim Start in den mGuard geladen, gegebenenfalls entschlüsselt und als gültige Konfiguration verwendet. Das geladene Konfigurationsprofil erscheint nicht automatisch in der Liste der im mGuard gespei- cherten Konfigurationsprofile. 90 / 350 Phoenix Contact 110191_de_07...
Seite 91: Verwaltung >> Snmp
MIB-Datei in den SNMP-Client importiert werden. MIB-Dateien werden in einer verpackten ZIP-Datei zusammen mit der Firmware bzw. Firmware-Updates zur Verfügung gestellt. Sie können auf der Webseite des Herstel- lers über die entsprechenden Produktseiten heruntergeladen werden: phoenixcontact.com/products. 4.6.1 Abfrage Phoenix Contact 91 / 350 110191_de_07...
Seite 92 Konfigurationsprofil übernommen. Eine Aktivierung des Profils ändert das aktuell auf dem mGuard bestehende SNMPv3-Passwort nicht. Das Hinzufügen zusätzlicher SNMPv3-Benutzer wird aktuell nicht unterstützt. Für die Authentifizierung wird MD5 verwendet, für die Ver- schlüsselung DES. 92 / 350 Phoenix Contact 110191_de_07...
Seite 93: Snmpv3-Zugangsdaten
Wird die aktuelle Konfiguration in einem ATV-Kon- figurationsprofil gespeichert, wird nur der SNMPv3-Benutzername und nicht das Passwort in das Konfigurationsprofil übernommen. Eine Aktivierung des Profils ändert das aktuell auf dem mGuard bestehende SNMPv3-Passwort nicht. Phoenix Contact 93 / 350 110191_de_07...
Seite 94 Bei den Angaben haben Sie folgende Möglichkeiten: – Eine IP-Adresse. – Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe „CIDR (Classless Inter-Domain Rou- ting)“ auf Seite 34). – 0.0.0.0/0 bedeutet alle Adressen. 94 / 350 Phoenix Contact 110191_de_07...
Seite 95 Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Funktion Log akti- vieren oder – das Ereignis nicht protokolliert werden soll – Funktion Log deaktivieren (werkseitige Voreinstellung). Phoenix Contact 95 / 350 110191_de_07...
Seite 96: Trap
Verbindung als Gegenstellen-Netzwerk angegeben ist. Und die interne IP-Adresse muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbindung als Lokal angegeben ist (siehe „IPsec VPN >> Verbindungen >> Editie- ren >> Allgemein“). 96 / 350 Phoenix Contact 110191_de_07...
Seite 97 Versuch stammte. – enterprise-oid : mGuard – generic-trap : enterpriseSpecific – specific-trap : mGuardShellLoginTrap (2) – additional : mGuardShellLastAccessIP Wird gesendet, wenn jemand die Shell per SSH öffnet. Der Trap enthält die IP-Adresse der Login-Anfrage. Phoenix Contact 97 / 350 110191_de_07...
Seite 98 – generic-trap : enterpriseSpecific – specific-trap : mGuardTrapSignalRelais (3) – additional : mGuardTResSignalRelaisState (mGuardTEsSignlalRelaisReason, mGuardTResSignal RelaisReasonIdx) Wird gesendet nach geändertem Meldekontakt und gibt den dann aktuellen Status an (0 = Aus, 1 = Ein). 98 / 350 Phoenix Contact 110191_de_07...
Seite 99: Benutzerfirewall-Traps
Wird gesendet beim Einloggen eines Benutzers der Benutzer- Firewall. – enterprise-oid : mGuardTrapUserFirewall – generic-trap : enterpriseSpecific – specific-trap : mGuardTrapUserFirewallLogout (2) – additional : mGuardTResUserFirewallUsername, mGuardTResUserFirewallSrcIP, mGuardTResUserFirewallLogoutRea- Wird gesendet beim Ausloggen eines Benutzers der Benut- zer-Firewall Phoenix Contact 99 / 350 110191_de_07...
Seite 100: Statusänderung
Wird gesendet, wenn sich der Zustand des HA-Clusters geän- dert hat. VPN-Traps Statusänderungen Trap-Beschreibung von IPsec-Verbindun- – enterprise-oid : mGuardTrapVPN – genericTrap : enterpriseSpecific – specific-trap : mGuardTrapVPNIKEServerStatus (1) – additional : mGuardTResVPNStatus Wird gesendet beim Starten und Stoppen des IPsec-IKE-Ser- vers. 100 / 350 Phoenix Contact 110191_de_07...
Seite 101 Standard: 162 Ziel-Port, an welchen der Trap gesendet werden soll Zielname Ein optionaler beschreibender Name für das Ziel. Hat keinen Einfluss auf die generierten Traps. Ziel-Community Name der SNMP-Community, der der Trap zugeordnet ist. Phoenix Contact 101 / 350 110191_de_07...
Seite 102: Lldp
MAC-Adressen. IP-Adresse IP-Adresse des gefundenen Rechners, über die der Rechner per SNMP administriert werden kann. Port-Beschreibung Ein Text, welcher die Netzwerkschnittstelle beschreibt, über welche der Rechner gefunden wurde. Systemname Hostname des gefundenen Rechners. 102 / 350 Phoenix Contact 110191_de_07...
Seite 103: Verwaltung >> Zentrale Verwaltung
HTTPS-Server holen, wenn der Server sie dem mGuard als Datei zur Verfügung stellt (Da- tei-Endung: .atv). Wenn sich die jeweils zur Verfügung gestellte Konfiguration von der aktu- ellen Konfiguration des mGuards unterscheidet, wird die verfügbare Konfiguration automa- tisch heruntergeladen und aktiviert. Phoenix Contact 103 / 350 110191_de_07...
Seite 104 Inkraftsetzen der neuen Konfiguration back ignoriert wird der mGuard nicht mehr erreichbar ist und damit eine neue, korrigierende Fernkonfiguration nicht mehr möglich ist. Um das auszuschließen, unternimmt der mGuard folgende Prü- fung: 104 / 350 Phoenix Contact 110191_de_07...
Seite 105 Wird im Feld Anzahl der Zyklen... als Wert 0 (Null) festgelegt, hat das zur Folge, dass das Auswahlkriterium - das angebotene Konfigurationsprofil wird ignoriert, wenn es un- verändert geblieben ist - niemals in Kraft tritt. Dadurch könnte das 2. der nachfolgend auf- geführten Ziele nicht realisiert werden. Phoenix Contact 105 / 350 110191_de_07...
Seite 106 Wurzelzertifikat der CA (Certification Authority), wel- che das Zertifikat des Servers ausgestellt hat. Das gilt dann, wenn es sich beim Zertifikat des Konfigurations- Servers um ein von einer CA signiertes Zertifikat handelt (statt um ein selbst signiertes) 106 / 350 Phoenix Contact 110191_de_07...
Seite 107 Parameter funktionieren. Das Ergebnis des Tests wird in der rechten Spalte angezeigt. Stellen Sie sicher, dass das Profil auf dem Server keine unerwünschten mit „GAI_PULL_“ beginnen- den Variablen enthält, welche die hier vorgenom- mene Konfiguration überschreiben. Phoenix Contact 107 / 350 110191_de_07...
Seite 108: Verwaltung >> Service I/O
MGUARD 10.4 Verwaltung >> Service I/O Die Verwendung von Firewall-Regelsätzen ist auf Geräten der FL MGUARD 2000-Serie nicht möglich. An einige mGuard-Geräte können Servicekontakte (Service I/Os) angeschlossen werden. Der Anschluss der Servicekontakte wird im Anwenderhandbuch zu den Geräten beschrieben (siehe UM DE HW FL MGUARD 2000/4000 z. B. unter phoenixcontact.com/product/1357828).
Seite 109: Servicekontakte
1-3 (I1-3) Der Schalter muss beim Editieren der VPN-Verbindung unter „Schaltender Service Eingang/CMD“ auswählt werden (unter „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“ oder „OpenVPN-Client >> Verbindungen >> Editieren >> Allge- mein“). Phoenix Contact 109 / 350 110191_de_07...
Seite 110: Firewall-Regelsatz
„Netzwerksicherheit >> Paketfilter >> Regelsätze“ Ausgang/ACK 1-2 (O1-2) Zu überwachende Aus / VPN-Verbindung/Firewall-Regelsatz VPN-Verbindung bzw. Der Zustand der ausgewählten VPN-Verbindung oder des Firewall-Regelsatz ausgewählten Firewall-Regelsatzes wird über den zugehöri- gen Meldekontakt (ACK-Ausgang / O1-2) signalisiert. 110 / 350 Phoenix Contact 110191_de_07...
Seite 111: Alarmausgang
Benutzer root und admin geändert wurden. Bei Ignorieren haben die nicht geänderten Passwörter kei- nen Einfluss auf den Alarmausgang. Bei Überwachen wird der Alarmausgang geöffnet, wenn die voreingestellten Passwörter nicht geändert wurden. Phoenix Contact 111 / 350 110191_de_07...
Seite 112: Temperaturzustand
Kapitel 13). Bei Ignorieren hat die Konnektivitätsprüfung keinen Einfluss auf den Alarmausgang. Bei Überwachen wird der Alarmausgang geöffnet, wenn die Konnektivitätsprüfung fehlschlägt. Das ist unabhängig davon, ob der mGuard aktiv oder im Bereitschaftszustand ist. 112 / 350 Phoenix Contact 110191_de_07...
Seite 113: Verwaltung >> Neustart
Ein Neustart hat den selben Effekt wie die vorübergehende Unterbrechung der Stromzufuhr. Der mGuard wird aus- und wieder eingeschaltet. Ein Neustart ist erforderlich im Fehlerfall. Außerdem kann ein Neustart nach einem Software-Update erforderlich sein. Phoenix Contact 113 / 350 110191_de_07...
Seite 114 MGUARD 10.4 114 / 350 Phoenix Contact 110191_de_07...
Seite 115: Menü Netzwerk
LAN1 swp2 swp0 FL MGUARD 2105/4305 LAN2 swp0 swp1 LAN3 swp1 swp2 FL MGUARD 2105 LAN4 swp3 swp3 FL MGUARD 4305 swp4 dmz0 Nicht bei FL MGUARD 2105/FL MGUARD 4305 LAN5 (n/a) swp4 (n/a) Phoenix Contact 115 / 350 110191_de_07...
Seite 116 LAN-Interface: Die MAC-Adresse des WAN-Interface um 1 erhöht (WAN + 1). Geräte mit integriertem Switch: Alle Switch-Ports verwenden die gleiche MAC-Adresse. – DMZ-Interface: Die MAC-Adresse des WAN-Interface um 4 erhöht (WAN + 4). Beispiel: – WAN: 00:a0:45:eb:28:9d – LAN: 00:a0:45:eb:28:9e – DMZ: 00:a0:45:eb:28:a1 116 / 350 Phoenix Contact 110191_de_07...
Seite 117: Überblick: Netzwerk-Modus „Router
Internet. Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen ge- nutzt werden. Es gibt zwei Router-Modi: – Statisch – DHCP Router-Modus: Statisch Die externen IP-Einstellungen sind fest eingestellt. Router-Modus: DHCP Die externen IP-Einstellungen werden vom mGuard angefragt und von einem externen DHCP-Server vergeben. Phoenix Contact 117 / 350 110191_de_07...
Seite 118: Überblick: Netzwerk-Modus „Stealth
Im Stealth-Modus hat der mGuard die interne IP-Adresse 1.1.1.1, welche vom Rechner erreichbar ist, wenn das auf dem Rechner konfigurierte Standard-Gateway erreichbar ist. In den Stealth-Konfigurationen „Automatisch“ und „Statisch“ ist der Aufbau einer vom internen Client ausgehenden VPN-Verbindung durch den mGuard hindurch nicht mög- lich. 118 / 350 Phoenix Contact 110191_de_07...
Seite 119: Automatisch
Wie bei Automatisch, es können jedoch mehr als nur ein Rechner am LAN-Port (gesicher- ter Port) des mGuards angeschlossen sein und somit mehrere IP-Adressen am LAN-Port (gesicherter Port) des mGuards verwendet werden. Für die weitere Konfiguration des Netzwerk-Modus Stealth siehe „Stealth“ auf Seite 128. Phoenix Contact 119 / 350 110191_de_07...
Seite 120: Allgemein
Siehe auch: „Überblick: Netzwerk-Modus „Router““ auf Seite 117 „Überblick: Netzwerk-Modus „Stealth““ auf Seite 118. Abhängig von der Auswahl des Netzwerkmodus und je nach mGuard-Gerät stehen unter- schiedliche Einstellungsmöglichkeiten auf der Web-Oberfläche zur Verfügung: 120 / 350 Phoenix Contact 110191_de_07...
Seite 121: Router-Modus
Betrieb erheblich stören würde. Um das zu verhindern, aktivieren Sie die Funktion, so- fern Sie den mGuard an einem Rechner angeschlossen ha- ben, der diese Eigenarten aufweist. Phoenix Contact 121 / 350 110191_de_07...
Seite 122: Extern
Sie weitere externe Routen festlegen. Netzwerk Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34). Gateway Das Gateway, über welches dieses Netzwerk erreicht werden kann. Siehe auch „Netzwerk-Beispielskizze“ auf Seite 122 / 350 Phoenix Contact 110191_de_07...
Seite 123 Wenn das lokale Netz dem externen Router nicht bekannt ist, z. B. im Falle einer Konfiguration per DHCP, dann sollten Sie unter „Netzwerk >> NAT“ Ihr lokales Netz angeben (siehe Seite 137). Phoenix Contact 123 / 350 110191_de_07...
Seite 124: Intern
Dynamisches Routing“ auf Seite 158). Zusätzliche Interne Routen Wenn am lokal angeschlossen Netz weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren. Netzwerk Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34). 124 / 350 Phoenix Contact 110191_de_07...
Seite 125 Menü Netzwerk Netzwerk >> Interfaces >> Intern (Netzwerk-Modus = „Router“) [...] Das Gateway, über welches dieses Netzwerk erreicht werden Gateway kann. Siehe auch „Netzwerk-Beispielskizze“ auf Seite Phoenix Contact 125 / 350 110191_de_07...
Seite 126: Dmz
Verknüpft die statischen Adressen/Routen der DMZ-Netz- werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> (Nur wenn OSPF aktiviert ist) Dynamisches Routing“ auf Seite 158). Zusätzliche DMZ-Routen Wenn am DMZ weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren. 126 / 350 Phoenix Contact 110191_de_07...
Seite 127 Netzwerk >> Interfaces >> DMZ (Netzwerk-Modus = „Router“)[...] Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR Netzwerk (Classless Inter-Domain Routing)“ auf Seite 34). Default:192.168.3.0/24 Gateway Das Gateway, über welches dieses Netzwerk erreicht werden kann. Siehe auch „Netzwerk-Beispielskizze“ auf Seite Default: 192.168.3.254 Phoenix Contact 127 / 350 110191_de_07...
Seite 128: Stealth
Standard-Gateway des Netzes, in dem sich der mGuard befindet, angegeben werden. Die IP-Adresse „0.0.0.0“ deaktiviert die Management-IP-Ad- resse. Ändern Sie zuerst die Management-IP-Adresse, bevor Sie zu- sätzliche Adressen angeben. Netzmaske Die Netzmaske zu obiger IP-Adresse. 128 / 350 Phoenix Contact 110191_de_07...
Seite 129 Kommunikation mit einem NTP-Server (zur Zeit-Synchronisation) – das Versenden und Empfangen verschlüsselter Datenpakete von VPN-Verbindun- – Anfragen an DNS-Server – Log-Meldungen – das Herunterladen von Firmware-Updates – das Herunterladen von Konfigurationsprofilen von einem zentralen Server (sofern konfiguriert) – SNMP-Traps Phoenix Contact 129 / 350 110191_de_07...
Seite 130: Einstellungen Stealth-Modus (Statisch)
Ist im statischen Stealth-Modus weder eine Stealth Manage- ment IP-Adresse noch die MAC-Adresse des Clients konfigu- riert, werden DAD-ARP-Anfragen auf dem internen Interface versendet (siehe RFC 2131 „Dynamic Host Configuration Pro- tocol“, Abschnitt 4.4.1) 130 / 350 Phoenix Contact 110191_de_07...
Seite 131 Menü Netzwerk Phoenix Contact 131 / 350 110191_de_07...
Seite 132: Netzwerk >> Ethernet
Empfänger weiterzuleiten. Sie können den Empfänger-Port oder die Spiegelung der ein- und ausge- hende Frames von jedem Switch-Port auswählen. MAU-Konfiguration Konfiguration und Statusanzeige der Ethernet-Anschlüsse: Port Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht. 132 / 350 Phoenix Contact 110191_de_07...
Seite 133: Port-Mirroring
Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht. TX-Kollisionen Anzahl der Fehler beim Senden der Daten TX-Oktette Gesendetes Datenvolumen RX-FCS-Fehler Anzahl an empfangenen Frames mit ungültiger Prüfsumme RX-gültige Oktette Volumen der empfangene gültigen Daten Phoenix Contact 133 / 350 110191_de_07...
Seite 134: Multicast
Die Daten werden an die konfigurierten Ports (XF2 ... XF4) weitergeleitet. Durch IGMP-Snooping garantiert der Switch, dass Multicast- Allgemeine Multicast- IGMP-Snooping Konfiguration Daten nur über Ports weitergeleitet werden, die für diese An- (Nicht aktiv im Netzwerk-Modus „Stealth“) wendung vorgesehen sind. 134 / 350 Phoenix Contact 110191_de_07...
Seite 135 Bei einer Änderung des Intervalls, werden neue IGMP-Anfra- gen erst nach Ablauf des zuvor konfigurierten Intervalls er- zeugt. Multicast-Gruppen Anzeige der Multicast-Gruppen. Die Anzeige enthält alle statischen Einträge und die dy- namischen Einträge, die durch IGMP-Snooping entdeckt werden. Phoenix Contact 135 / 350 110191_de_07...
Seite 136: Ethernet
Bei VLAN-Interface gilt: Da die VLAN-Pakete 4 Byte länger als Pakete ohne VLAN sind, haben bestimmte Treiber Probleme mit der Verarbeitung der größeren Pakete. Eine Redu- zierung der MTU auf 1496 kann dieses Problem beseitigen. 136 / 350 Phoenix Contact 110191_de_07...
Seite 137: Netzwerk >> Nat
Intern / Extern / DMZ / Alle Externen Ausgehend über Inter- face Gibt an, über welches Interface die Datenpakete ausgehen, damit sich die Regel auf sie bezieht. „Alle Externen“ bezieht sich bei FL MGUARD 2000/4000-Ge- räten auf „Extern“. Phoenix Contact 137 / 350 110191_de_07...
Seite 138 IP-Masquerading gegen eine für alle Datenpakete identische. So wird ermöglicht, dass der mGuard die Ad- ressen des realen Netzes in das virtuelle Netz spiegeln kann. 138 / 350 Phoenix Contact 110191_de_07...
Seite 139 Hosts, die sich im realen Netzwerk befinden, über ihre virtuelle Adresse erreicht werden. Bei deaktivierter Funktion bleiben ARP-Anfragen an das virtu- elle Netzwerk unbeantwortet. Hosts im realen Netzwerk sind dann nicht erreichbar. Kommentar Kann mit kommentierendem Text gefüllt werden. Phoenix Contact 139 / 350 110191_de_07...
Seite 140: Ip- Und Port-Weiterleitung
Antwortpakete nicht korrekt zurückleiten. Wir empfehlen, GRE-Pakete nur von bestimmten Sendern weiterzuleiten. Das können solche sein, für deren Quelladresse eine Weiterlei- tungsregel eingerichtet ist, indem im Feld „Von IP“ die Ad- resse des Senders eingetragen wird, zum Beispiel 193.194.195.196/32. 140 / 350 Phoenix Contact 110191_de_07...
Seite 141 Er kann entweder über die Port-Nummer oder über den ent- sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.Beim Protokoll „GRE“ ist diese Angabe irrelevant. Sie wird vom mGuard ignoriert. Phoenix Contact 141 / 350 110191_de_07...
Seite 142 Für jede einzelne Port-Weiterleitungs-Regel können Sie fest- legen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll - Funktion Log akti- vieren – oder nicht - Funktion Log deaktivieren (werkseitige Vor- einstellung). 142 / 350 Phoenix Contact 110191_de_07...
Seite 143: Netzwerk >> Dns
Adresse des mGuards verwendet werden (sofern diese konfiguriert ist), oder es muss die IP-Adresse 1.1.1.1 als lokale Adresse des mGuards angegeben werden. Zustand des DNS-Auf- Status der Auflösung des Hostnamens lösers Benutzte DNS-Server DNS-Server, bei denen die zugehörige IP-Adresse erfragt wurde. Phoenix Contact 143 / 350 110191_de_07...
Seite 144: Benutzerdefinierte Dns- Server
Sie haben die Möglichkeit, Zuordnungspaare von Hostnamen und IP-Adressen neu zu definieren, zu ändern (editieren) und zu löschen. Ferner können Sie für eine Domain die Auflösung von Hostnamen aktivieren oder deaktivieren. Und Sie können eine Domain mit all ihren Zuordnungspaaren löschen. 144 / 350 Phoenix Contact 110191_de_07...
Seite 145 Abkürzung für Time To Live. Standard: 3600 Sekunden TTL (hh:mm:ss) (1:00:00) Gibt an, wie lange abgerufene Zuordnungspaare im Cache des abrufenden Rechners gespeichert bleiben dürfen. Die IP-Adresse, die dem Hostnamen in dieser Tabellenzeile zugeordnet wird. Phoenix Contact 145 / 350 110191_de_07...
Seite 146 Steuerung B fill.cell-b.example.com Werksnetz 10.1.31.3/24 Steuerung C (Ethernet) pack.cell-b.example.com Switch 10.1.31.0/24 10.1.32.1/24 Steuerung A Maschine C fold.cell-c.example.com 10.1.32.2/24 Steuerung B fill.cell-c.example.com 10.1.32.3/24 Steuerung C pack.cell-c.example.com Switch 10.1.32.0/24 Hostname Domain-Name Bild 5-1 Lokale Auflösung von Hostnamen 146 / 350 Phoenix Contact 110191_de_07...
Seite 147: Dyndns
über die neue IP-Adresse. Zusätzlich kann diese Mel- dung in dem hier festgelegten Zeitintervall erfolgen. Bei einigen DynDNS-Anbietern wie z. B. DynDNS.org hat diese Einstellung keine Wirkung, da dort ein zu häufiges Melden zur Löschung des Accounts führen kann. Phoenix Contact 147 / 350 110191_de_07...
Seite 148 DynDNS-Hostname Der für diesen mGuard gewählte Hostname beim DynDNS- Service – sofern Sie einen DynDNS-Dienst benutzen und oben die entsprechenden Angaben gemacht haben. Unter diesem Hostnamen ist dann der mGuard erreichbar. 148 / 350 Phoenix Contact 110191_de_07...
Seite 149: Netzwerk >> Dhcp
IP-Konfiguration automatisch per DHCP vom mGuard zugeteilt bekommen. Siehe hierzu auch das Kapitel „IP-Einstellung per DHCP beziehen (Windows)“ im Benut- zerhandbuch UM DE HW FL MGUARD 2000/4000 „Installation und Inbetriebnahme“ im Phoenix Contact Web Shop z. B. unter phoenixcontact.com/product/1357828). Phoenix Contact 149 / 350...
Seite 150: Internes / Externes Dhcp
Der Menüpunkt Externes DHCP gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000. Netzwerk >> DHCP >> Internes DHCP Die Einstellungen für Internes DHCP und Externes DHCP sind prinzipiell identisch und werden im Folgenden nicht getrennt beschrieben. 150 / 350 Phoenix Contact 110191_de_07...
Seite 151 DHCP-Anfragen des Rechners und die entspre- chenden Antworten jedoch durchgeleitet. Wenn der Schalter auf Deaktiviert steht, beantwortet der mGuard keine DHCP-Anfragen. DHCP-Modus: Server Ist als DHCP-Modus Server ausgewählt, werden unten auf der Seite entsprechende Ein- stellmöglichkeiten wie folgt eingeblendet. Phoenix Contact 151 / 350 110191_de_07...
Seite 152 Die MAC-Adresse wird als „Physikalische Adresse“ ange- zeigt. Linux: • Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf. Bei den Angaben haben Sie folgende Möglichkeiten: – MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche). 152 / 350 Phoenix Contact 110191_de_07...
Seite 153 Eine Liste von einem oder mehreren DHCP-Servern, an wel- denen weitergeleitet che DHCP-Anfragen weitergeleitet werden sollen. werden soll Beim Weiterleiten können zusätzliche Informationen nach Füge Relay-Agent- Information (Option RFC 3046 für die DHCP-Server angefügt werden, an welche 82) an weitergeleitet wird. Phoenix Contact 153 / 350 110191_de_07...
Seite 154: Dmz Dhcp
Bei aktivierter Funktion wird der durch DHCP-Bereichsanfang DHCP-Server-Optionen Dynamischen IP- Adresspool aktivieren bzw. DHCP-Bereichsende angegebenen IP-Adresspool ver- wendet (siehe unten). Deaktivieren Sie die Funktion, wenn nur statische Zuweisun- gen anhand der MAC-Adressen vorgenommen werden sollen (siehe unten). 154 / 350 Phoenix Contact 110191_de_07...
Seite 155 Die MAC-Adresse wird als „Physikalische Adresse“ ange- zeigt. Linux: • Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf. Bei den Angaben haben Sie folgende Möglichkeiten: – MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche). – IP-Adresse des Clients Phoenix Contact 155 / 350 110191_de_07...
Seite 156 Zuweisungen verwendet werden, ansonsten wird diese IP-Adresse mehreren MAC-Adressen zuge- ordnet. Es sollte nur ein DHCP-Server pro Subnetz ver- wendet werden. Aktuelle Leases Die aktuell vom DHCP-Server vergebenen Leases werden mit MAC-Adresse, IP-Adresse und Ablaufdatum (Timeout) angezeigt. 156 / 350 Phoenix Contact 110191_de_07...
Seite 157: Netzwerk >> Proxy-Einstellungen
Verwenden Sie stattdessen „Basic“-Authentifizie- rung auf dem Proxy-Server. Hostname oder IP-Adresse des Proxy-Servers HTTP(S)-Proxy-Server Port Nummer des zu verwendenden Ports, z. B. 3128 Proxy-Authentifizierung Login Benutzerkennung (Login) zur Anmeldung beim Proxy-Server Passwort Passwort zur Anmeldung beim Proxy-Server Phoenix Contact 157 / 350 110191_de_07...
Seite 158: Netzwerk >> Dynamisches Routing
OSPF via IPsec und GRE ist aktuell nicht gegeben. Es können mehrere OSPF-Areas konfiguriert werden, um lokale Routen weiterzuverbreiten und externe Routen zu lernen. Der Status aller gelernten Routen wird in einer Tabelle angezeigt. 158 / 350 Phoenix Contact 110191_de_07...
Seite 159: Aktivierung
Standard-Einstellungen (d. h. OSPF ist für das In- terface aktiv und die Passwörter sind nicht vergeben). Passives Interface Standard: deaktiviert Bei deaktivierter Funktion werden OSPF-Routen durch das In- terface gelernt und weiterverbreitet. Bei aktivierter Funktion werden Routen weder gelernt noch weiterverbreitet. Phoenix Contact 159 / 350 110191_de_07...
Seite 160 Verbreitet die Routen entsprechend der ausgewählten Ac- cess-Liste weiter (siehe „Distributions-Einstellungen“ ). Ist Kein ausgewählt, werden alle Routen des ausgewählten Typs weiterverbreitet. Dynamische Routen (über Der Status aller über OSPF gelernten Routen wird angezeigt. OSPF gelernt) 160 / 350 Phoenix Contact 110191_de_07...
Seite 161 Menü Netzwerk Netzwerk >> Dynamisches Routing >> OSPF Dynamisch gelerntes Remote-Netz. Remote-Netz Gateway Gateway zum Erreichen des Remote-Netzes. Metrik Die Metrik der gelernten Route. Phoenix Contact 161 / 350 110191_de_07...
Seite 162: Distributions-Einstellungen
Zulassen (Standard) bedeutet, die Route zu dem eingetrage- nen Netzwerk wird über OSPF weiterverbreitet. Ablehnen bedeutet, die Route zum eingetragenen Netzwerk wird nicht über OSPF weiterverbreitet. Netzwerk Netzwerk, dessen Weiterverbreitung per Regel zugelassen oder abgelehnt wird. 162 / 350 Phoenix Contact 110191_de_07...
Seite 163: Menü Authentifizierung
Erstellen und verwenden Sie nur sichere und komplexe Passwörter, wie vom National Institute of Standards and Technology (NIST) beschrieben (pa- ges.nist.gov/800-63-3/sp800-63b.html) Wenn Sie Passwörter ändern, sollten Sie den mGuard anschließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Passwörtern si- cher zu beenden. Phoenix Contact 163 / 350 110191_de_07...
Seite 164: Benutzerpasswort
Zeigt an, ob der Benutzer an- oder abgemeldet ist. Benutzers Um den Benutzer anzumelden, klicken Sie auf die Schaltflä- Benutzer anmelden che Login. Benutzer abmelden Um den Benutzer anzumelden, klicken Sie auf die Schaltflä- che Abmelden. 164 / 350 Phoenix Contact 110191_de_07...
Seite 165: Radius-Filter
Folgende Aktionen des RADIUS-Benutzers werden in Form von Log-Einträgen (mit dem Namen und der Rolle RADIUS-Bentzers) protokolliert: – Anmeldung/Abmeldung des RADIUS-Benutzers – Konfigurationsänderungen durch den RADIUS-Benutzer – Alle weiteren Aktionen, die vom RADIUS-Benutzer durchgeführt werden Phoenix Contact 165 / 350 110191_de_07...
Seite 166 Jeder Gruppe wird eine administrative Rolle zugewiesen. siert als admin: Administrator netadmin: Administrator für das Netzwerk audit: Auditor/Prüfer Die Berechtigungsstufen netadmin und audit beziehen sich auf Zugriffsrechte bei Zugriffen mit dem mGuard device manager (FL MGUARD DM UNLIMITED) 166 / 350 Phoenix Contact 110191_de_07...
Seite 167: Authentifizierung >> Firewall-Benutzer
„Netzwerksicherheit >> Benutzerfirewall“ auf Seite 220. 6.2.1 Firewall-Benutzer Dieses Menü steht nicht auf Geräten der FL MGUARD 2000-Serie zur Verfügung. Der Web-Browser „Safari“ kann nicht gleichzeitig einen administrativen Zugriff über eine X.509-Authentisierung und über ein Login zur mGuard-Benutzerfirewall ermögli- chen.
Seite 168 Authentifizierungsverfahren vornehmen, soll- ten Sie den mGuard anschließend neu starten, um bestehende Sitzungen mit nicht mehr gültigen Zertifikaten oder Passwörtern sicher zu beenden. Benutzerpasswort Zugeordnetes Benutzerpasswort. (Nur wenn als Authentifizie- rungsmethode Lokale DB aus- gewählt ist) 168 / 350 Phoenix Contact 110191_de_07...
Seite 169 (Dazu müssen 2 Zeilen in die Tabelle aufgenom- men werden.) Angemeldete Benutzer Bei aktivierter Benutzerfirewall wird der Status angemeldeter Firewall-Benutzer ange- zeigt. Ausgewählte Benutzer können mit einen Klick auf das Icon abgemeldet wer- den. Phoenix Contact 169 / 350 110191_de_07...
Seite 170: Authentifizierung >> Radius
Legt fest (in Sekunden), wie lange der mGuard auf die Antwort des RADIUS-Servers wartet. Standard: 3 Sekunden. RADIUS-Wiederholun- Legt fest, wie oft bei Überschreitung des RADIUS-Timeouts Anfragen an den RADIUS-Server wiederholt werden. Standard: 3. 170 / 350 Phoenix Contact 110191_de_07...
Seite 171 Dies kostet beim Einloggen Zeit. Außerdem kann unter Umständen keine Authenti- fizierung stattfinden, wenn eine Namens- auflösung fehl schlägt, weil z. B. der DNS nicht er- reichbar ist oder der Name im DNS gelöscht wurde. Phoenix Contact 171 / 350 110191_de_07...
Seite 172 VPN-Tunnels gehört. Dadurch wird die Authentifizierungsanfrage abhängig von der Verfügbarkeit eines VPN-Tunnels. Achten Sie beim Konfigurieren darauf, dass nicht der Ausfall eines einzigen VPN-Tunnels den administrativen Zugang zum mGuard unmöglich macht. Port Vom RADIUS-Server benutze Port-Nummer 172 / 350 Phoenix Contact 110191_de_07...
Seite 173 Richten Sie den RADIUS-Server beim mGuard ein zwei- tes Mal mit einem neuen Passwort ein. • Stellen Sie dieses neue Passwort ebenfalls beim RADIUS-Server ein. • Löschen Sie beim mGuard die Zeile mit dem alten Pass- wort. Phoenix Contact 173 / 350 110191_de_07...
Seite 174: Authentifizierung >> Zertifikate
Zertifikat oder Benutzerzertifikat, das dieser Mensch „vorzeigt“. Ein solches perso- nenbezogenes Zertifikat kann z. B. auch auf einer Chipkarte gespeichert sein und von des- sen Inhaber bei Bedarf in den Kartenleser seines Rechners gesteckt werden, wenn der Web-Browser bei der Verbindungsherstellung dazu auffordert. 174 / 350 Phoenix Contact 110191_de_07...
Seite 175: Gegenstellen-Zertifikat
Zertifikat der ihr übergeordneten CA usw. bis hin zum Root-Zertifikat (siehe im Glossar unter „CA-Zertifikat“ auf Seite 334). Die Authentifizierung anhand von CA-Zertifikaten macht es möglich, den Kreis möglicher Gegenstellen ohne Verwaltungsaufwand zu erweitern, weil nicht für jede mögliche Gegen- stelle deren Gegenstellen-Zertifikat installiert werden muss. Phoenix Contact 175 / 350 110191_de_07...
Seite 176 Zertifikaten oder Passwörtern sicher zu beenden. Einschränkung Web- Browser „Safari“ Beachten Sie bei einem administrativen Zugriff zum mGuard mit dem Web-Browser „Safari“ über ein X.509-Zertifikat, dass alle Sub-CA-Zertifikate im Truststore des Web- Browsers installiert seien müssen. 176 / 350 Phoenix Contact 110191_de_07...
Seite 177 CA-Zertifikaten und den bei ihm selber konfigurierten CA-Zertifikaten die Vereinigungsmenge bilden, um die Kette zu bilden. Auf jeden Fall muss aber das zugehörige Root-CA-Zertifikat auf dem mGu- ard zur Verfügung stehen. (Siehe „Verwaltung >> Web-Einstellungen“ auf Seite „Zugriff“ auf Seite Phoenix Contact 177 / 350 110191_de_07...
Seite 178 (VPN, SSH, HTTPS) referenziert werden, welche aus dem Pool der in den mGu- ard importierten Zertifikate jeweils verwendet werden sollen. Das Gegenstellen-Zertifikat für das Authentifizieren einer VPN-Verbindung (bzw. der Tunnel einer VPN-Verbindung) wird im Menü „IPsec VPN >> Verbindungen“ installiert. 178 / 350 Phoenix Contact 110191_de_07...
Seite 179: Zertifikatseinstellungen
Zeit (Datum und Uhrzeit) durch Synchronisierung der Systemzeit (siehe „Zeit und Datum“ auf Seite 39) bekannt ist. Bis zu diesem Zeitpunkt werden alle zu prüfenden Zertifikate sicherheitshalber als ungültig erachtet. Phoenix Contact 179 / 350 110191_de_07...
Seite 180 Sie an, von wo der mGuard die Sperrlisten bezieht. Ist die CRL-Prüfung eingeschaltet, der CRL-Download aber auf Nie gesetzt, muss die CRL manuell in den mGuard gela- den worden sein, damit die CRL-Prüfung gelingen kann. 180 / 350 Phoenix Contact 110191_de_07...
Seite 181: Maschinenzertifikate
Geben Sie in das Feld Passwort das Passwort ein, mit dem der private Schlüssel der • PKCS#12-Datei geschützt ist. • Klicken Sie auf das Icon Hochladen. Nach dem Import können Sie die Details des Zertifikats über einen Klick auf die Schalt- fläche Details anzeigen. Phoenix Contact 181 / 350 110191_de_07...
Seite 182 Kopie enthält nicht den privaten Schlüssel und ist deshalb unbedenklich. Gehen Sie dazu wie folgt vor: • Klicken Sie in der Zeile des betreffenden Maschinenzertifikats auf das Icon Herun- terladen. • Folgen Sie den Anweisungen in den folgenden Dialogfeldern. 182 / 350 Phoenix Contact 110191_de_07...
Seite 183: Ca-Zertifikate
Kurzname vorgeschlagen, sofern das Feld Kurzname bis jetzt leer ist. Dieser Name kann übernommen oder geändert werden. • Sie müssen einen Namen vergeben. Der Name muss eindeutig ist sein. Verwendung des Kurznamens Bei der Konfiguration Phoenix Contact 183 / 350 110191_de_07...
Seite 184: Zertifikats-Kopie Erstellen Und Herunterladen
Aus dem importierten CA-Zertifikat können Sie eine Kopie erzeugen und herunterladen. und herunterladen Gehen Sie dazu wie folgt vor: • Klicken Sie in der Zeile des betreffenden CA-Zertifikats auf das Icon Herunterla- den. • Folgen Sie den Anweisungen in den folgenden Dialogfeldern. 184 / 350 Phoenix Contact 110191_de_07...
Seite 185: Gegenstellen-Zertifikate
Zertifikats hier als Kurzname vorgeschlagen, sofern das Feld Kurzname bis jetzt leer ist. Dieser Name kann übernommen oder frei geändert werden. • Sie müssen einen Namen vergeben, den vorgeschlagenen oder einen anderen. Und Namen müssen eindeutig sein, dürfen also nicht doppelt vergeben werden. Phoenix Contact 185 / 350 110191_de_07...
Seite 186 Aus dem importierten Gegenstellen-Zertifikat können Sie eine Kopie erzeugen und herun- und herunterladen terladen. Gehen Sie dazu wie folgt vor: • Klicken Sie in der Zeile des betreffenden Gegenstellen-Zertifikats auf das Icon runterladen. • Folgen Sie den Anweisungen in den folgenden Dialogfeldern. 186 / 350 Phoenix Contact 110191_de_07...
Seite 187: Crl
„Zertifikatseinstellungen“ auf Seite 179) unter CRL-Down- load-Intervall festgelegt ist, dass die CRL regelmäßig neu heruntergeladen werden soll, dann geben Sie hier die URL der CA an, von der der Download von deren CRL stattfinden kann. Phoenix Contact 187 / 350 110191_de_07...
Seite 188: Crl-Aussteller
CRL veröffentlichen wird. Diese Angabe wird weder vom CRL-Download-Intervall be- einflusst noch berücksichtigt. Information, die der mGuard direkt aus der CRL liest: CRL-Aussteller Zeigt den Aussteller der betreffenden Zertifikats-Sperrliste (Certificate Revocation Liste - CRL). 188 / 350 Phoenix Contact 110191_de_07...
Seite 189 Während eines Firmware-Upgrades können vor- handene CRL-Dateien gelöscht werden. In die- sem Fall werden die CRL-Dateien vom mGuard von der angegebenen URL erneut heruntergela- den. Alternativ kann diese auch manuell hochge- laden werden. Phoenix Contact 189 / 350 110191_de_07...
Seite 190 MGUARD 10.4 190 / 350 Phoenix Contact 110191_de_07...
Seite 191: Menü Netzwerksicherheit
Menü Netzwerksicherheit Menü Netzwerksicherheit Auf Geräten der FL MGUARD 2000-Serie steht das Menü in reduzierter Form zur Verfü- gung. Netzwerksicherheit >> Paketfilter Der mGuard beinhaltet eine Stateful Packet Inspection Firewall. Die Verbindungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst (connection tracking). Dadurch sind Regeln nur für eine Richtung zu definieren.
Seite 192 Kann ein Hostname aus einer IP-Gruppe nicht aufgelöst werden, weil z. B. ein DNS-Ser- ver nicht konfiguriert wurde oder nicht erreichbar ist, wird dieser Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP-Gruppe sind davon nicht betroffen und werden berücksichtigt. 192 / 350 Phoenix Contact 110191_de_07...
Seite 193: Eingangsregeln
Eingehend Listet die eingerichteten Firewall-Regeln auf. Sie gelten für eingehende Datenverbindun- gen, die von extern initiiert werden (WAN --> LAN). Für die Geräte der FL MGUARD 2000-Serie gelten gesonderte Firewall-Einstellungen (siehe „Firewall-Einstellungen bei Geräten der FL MGUARD 2000-Serie“ auf Seite 191).
Seite 194 Extern / Alle Gibt an, über welches Interface die Datenpakete eingehen, damit sich die Regel auf sie bezieht. Auf Geräten der FL MGUARD 2000/4000-Serie steht nur das Interface Extern zur Verfügung. Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto-...
Seite 195 Regelsätze, die IP-Gruppen mit Hostnamen ent- halten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Regelsätzen nicht möglich. Kommentar Ein frei wählbarer Kommentar für diese Regel.
Seite 196: Ausgangsregeln
Datenverbindungen, die von einem VLAN-Netzwerk auf der LAN-Seite zu ei- nem anderen VLAN-Netzwerk auf der LAN-Seite initiiert werden. Für die Geräte der FL MGUARD 2000-Serie gelten gesonderte Firewall-Einstellungen (siehe „Firewall-Einstellungen bei Geräten der FL MGUARD 2000-Serie“ auf Seite 191).
Seite 197 Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP- Gruppe sind davon nicht betroffen und werden berücksichtigt. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Hostnamen in IP-Gruppen nicht möglich. any bezeichnet jeden beliebigen Port.
Seite 198 Regelsätze, die IP-Gruppen mit Hostnamen ent- halten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Regelsätzen nicht möglich. Kommentar Ein frei wählbarer Kommentar für diese Firewall-Regel.
Seite 199: Dmz
DMZ  LAN Wenn keine Regel gesetzt ist, werden die Datenpakete aller ausgehenden Verbindungen (außer VPN) verworfen (= Werkseinstellung). DMZ  WAN Per Werkseinstellung ist eine Regel gesetzt, die alle ausge- henden Verbindungen zulässt. Phoenix Contact 199 / 350 110191_de_07...
Seite 200 (z. B. 110 für pop3 oder pop3 für 110). Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“). 200 / 350 Phoenix Contact 110191_de_07...
Seite 201 – oder nicht - Aktion Log deaktivieren (werkseitige Vorein- stellung). Log-Einträge für unbe- Bei aktivierter Funktion werden alle Verbindungsversuche kannte Verbindungs- protokolliert, die nicht von den voranstehenden Regeln erfasst versuche werden. (Werkseitige Voreinstellung: deaktiviert) Phoenix Contact 201 / 350 110191_de_07...
Seite 202: Regelsätze
Verbindungen als Ziel haben. Wenn z B. der Regelsatz an Port 22 eingehenden Datenverkehr ermöglicht, dann kann man eine Ausgangs-Regel einrichten, die jeden Datenverkehr deaktiviert, der von Port 22 kommt. 202 / 350 Phoenix Contact 110191_de_07...
Seite 203: Editieren
Regelsatz aktivieren / Aktivieren / Inaktivieren inaktivieren Sie können den Regelsatz durch einen Klick auf die Icons Aktivieren und Inaktivieren aktivieren oder außer Kraft setzen. Editieren Nach Klicken auf das Icon Zeile bearbeiten erscheint folgende Registerkarte: Phoenix Contact 203 / 350 110191_de_07...
Seite 204: Firewall-Regeln
Zeit in hh:mm:ss (maximal 1 Tag) Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen. Firewall-Regeln Protokoll Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto- kolle. 204 / 350 Phoenix Contact 110191_de_07...
Seite 205 (z. B. 110 für pop3 oder pop3 für 110). Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe Registerkarte „IP- und Portgruppen“). Phoenix Contact 205 / 350 110191_de_07...
Seite 206 Ein frei wählbarer Kommentar für diese Regel. Für jede Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Funktion Log akti- vieren – oder nicht – Funktion Log deaktivieren (werkseitig vorein- gestellt). 206 / 350 Phoenix Contact 110191_de_07...
Seite 207: Mac-Filter
Menü Netzwerksicherheit 7.1.5 MAC-Filter Dieser Menüpunkt gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000. Die Regeln für eingehende und ausgehende Verbindungen gelten nur für den Netzwerk- modus Stealth. Der MAC-Filter „Eingehend“ wird auf Frames angewendet, die der mGuard an der WAN- Schnittstelle empfängt.
Seite 208: Ausgehend
MGUARD 10.4 Netzwerksicherheit >> Paketfilter >> MAC-Filter [...] Ein frei wählbarer Kommentar für diese Regel. Kommentar Ausgehend Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“. 208 / 350 Phoenix Contact 110191_de_07...
Seite 209: Ip- Und Portgruppen
IP-Adresse auflöst, wird eine bestehende Verbindung mit der ursprünglichen IP- Adresse nicht abgebrochen. mGuard-Geräte der FL MGUARD 2000-Serie Die Verwendung von Hostnamen in IP-Gruppen wird von Geräten der FL MGUARD 2000- Serie nicht unterstützt. Netzwerksicherheit >> Paketfilter >> IP- und Portgruppen...
Seite 210 Sie können die Portgruppe frei benennen bzw. umbenennen. Kommentar Ein frei wählbarer Kommentar für diese Gruppe/Regel. Editieren Nach Klicken auf das Icon Zeile bearbeiten erscheint folgende Registerkarte: Einstellung Portgruppen Name Sie können die Portgruppe frei benennen bzw. umbenennen. 210 / 350 Phoenix Contact 110191_de_07...
Seite 211 Netzwerksicherheit >> Paketfilter >> IP- und Portgruppen [...] Ein frei wählbarer Kommentar für diese Gruppe/Regel. Kommentar Port oder Portbereich Die Einträge können einen Port (z. B. pop3 oder 110) oder einen Portbereich angeben (z. B. 110:120 oder 110-120). Phoenix Contact 211 / 350 110191_de_07...
Seite 212: Erweitert
MGUARD 10.4 7.1.7 Erweitert Die Einstellungen betreffen das grundlegende Verhalten der Firewall. 212 / 350 Phoenix Contact 110191_de_07...
Seite 213: Konsistenzprüfungen
Verbindungsstörungen werden beobachtet, solange keine zu der Verbindung gehörenden Pakete mit Flags gesendet wer- den. Diese Einstellung wirkt auf alle TCP-Pakete ohne Flags. Eine Aktivierung ist also eine Abschwächung der Sicherheitsfunk- tion, die der mGuard bietet. Phoenix Contact 213 / 350 110191_de_07...
Seite 214 Bei aktivierter Funktion können STP-Pakete den mGuard im Stealth-Modus passieren. Erlaube Weiterleitung Bei aktivierter Funktion wird dem Client erlaubt, über DHCP von DHCP-Paketen eine IP-Adresse zu beziehen - unabhängig von den Firewall- Regeln für ausgehenden Datenverkehr. Werkseitig ist die Funktion aktiviert. 214 / 350 Phoenix Contact 110191_de_07...
Seite 215 Seite die Verbindung mit einem „FIN-Paket" beendet, die Gegenstelle dies jedoch noch nicht bestätigt hat. Voreinstellung: 1 Stunde (1:00:00) Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen. Phoenix Contact 215 / 350 110191_de_07...
Seite 216 GRE-Pakete von intern nach extern weiter geleitet werden müssen. H.323 Standard: deaktivert Protokoll, das zum Aufbau von Kommunikationssitzungen mit zwei oder mehr Teilnehmern dient. Wird für audio-visuelle Übertragungen verwendet. Dieses Protokoll ist älter als SIP. 216 / 350 Phoenix Contact 110191_de_07...
Seite 217 Firewall-Regeln einfügen, wenn weitere Kommunikationskanäle zu derselben Sitzung aufge- baut werden. Wenn zusätzlich NAT aktiviert ist, können einer oder mehrere lokal angeschlossene Rechner über den mGuard mit extern erreichbaren Rechnern per SIP kommunizieren. Phoenix Contact 217 / 350 110191_de_07...
Seite 218: Netzwerksicherheit >> Dos-Schutz
Netzwerksicherheit >> DoS-Schutz 7.2.1 Flood Protection Dieses Menü steht nicht auf Geräten der FL MGUARD 2000-Serie zur Verfügung. ACHTUNG: Firewall-Einstellung beeinflusst DoS-Schutz Der DoS-Schutz des Geräts steht nicht zur Verfügung, wenn unter Netzwerksicherheit >> Paketfilter >> Eingangsregeln als Allgemeine Firewall-Einstellung „Alle Verbin- dungen annehmen“...
Seite 219 Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zu- sätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte erhöhen. Phoenix Contact 219 / 350 110191_de_07...
Seite 220: Netzwerksicherheit >> Benutzerfirewall
MGUARD 10.4 Netzwerksicherheit >> Benutzerfirewall Dieses Menü steht nicht auf Geräten der FL MGUARD 2000-Serie zur Verfügung. Die Benutzerfirewall ist ausschließlich bei Firewall-Benutzern in Kraft, also bei Benutzern, die sich als Firewall-Benutzer angemeldet haben (siehe „Authentifizierung >> Firewall-Be- nutzer“ auf Seite 167).
Seite 221 Dauert die Sitzung des betreffenden Benutzers länger als die hier festgelegte Timeout-Zeit, muss er sich neu anmelden. Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen. Phoenix Contact 221 / 350 110191_de_07...
Seite 222 UDP: 30 s nach Datenverkehr in einer Richtung; 120 s nach Datenverkehr in beide Richtungen – ICMP: 30 s – Andere: 10 min VPN-Verbindung Gibt die VPN-Verbindung an, in der diese Benutzerfirewall- Regel gültig ist. Bedingung ist ein bestehender Remote-Zugang durch den VPN-Tunnel auf die Web-Oberfläche. 222 / 350 Phoenix Contact 110191_de_07...
Seite 223 (z. B. 110 für pop3 oder pop3 für 110). Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209). Phoenix Contact 223 / 350 110191_de_07...
Seite 224 Ein frei wählbarer Kommentar für diese Regel. Für jede Firewall-Regel können Sie festlegen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll – Funktion Log akti- vieren – oder nicht – Funktion Log deaktivieren (werkseitig vorein- gestellt). 224 / 350 Phoenix Contact 110191_de_07...
Seite 225: Menü Ipsec Vpn
Menü IPsec VPN Menü IPsec VPN IPsec VPN >> Global 8.1.1 Optionen Phoenix Contact 225 / 350 110191_de_07...
Seite 226 Daten austauschen. In diesem Fall ist zu empfehlen, dass der lokale mGuard für die Authentifizierung möglicher Gegenstellen CA-Zertifikate heranzieht (siehe „Authentifizie- rung“ auf Seite 257). Bei „Hub and Spoke“ wird 1:1-NAT der Gegenstelle nicht un- terstützt. 226 / 350 Phoenix Contact 110191_de_07...
Seite 227 VPN-Verbindungen vieler Maschinen, werden die Meldungen zu Aktivitäten der verschiedenen VPN-Ver- bindungen im selben Datenstrom protokolliert. Das da- durch entstehende Volumen des Logging macht es zeitaufwendig, die für einen Fehler relevanten Informatio- nen zu finden. Phoenix Contact 227 / 350 110191_de_07...
Seite 228 Sollen nach Einschalten der Archivierung nur solche Logein- meldungen nur bei träge archiviert werden, die bei fehlgeschlagenen Verbin- Fehlverhalten dungsaufbauversuchen erzeugt werden, aktivieren Sie die Funktion. (Nur wenn Archivierung akti- viert ist) Bei deaktivierter Funktion werden alle Logeinträge archiviert. 228 / 350 Phoenix Contact 110191_de_07...
Seite 229: Tcp-Kapselung
TCP-Kapselung funktioniert nicht in Verbindung mit einer Authentifizierung über Pre-Sha- red Key (PSK). TCP-Kapselung funktioniert nur, wenn eine der beiden Seiten auf Verbindungen wartet (Verbindungsinitiierung: Warte) und als Adresse des VPN-Gateways der Gegen- stelle „%any“ angegeben ist. Phoenix Contact 229 / 350 110191_de_07...
Seite 230 Verbindungsinitiierung: Warte – Verbindungsinitiierung: Initiiere oder Initiie- re bei Datenverkehr – Kapsele den VPN-Datenverkehr in TCP ein: TCP-Kapselung oder Path Finder Bild 8-1 TCP-Kapselung bei einem Anwendungsszenario mit Wartungszentrale und ferngewarteten Maschinen über VPN-Verbindungen 230 / 350 Phoenix Contact 110191_de_07...
Seite 231 VPN Client mGuard Secure VPN Client annehmen soll, der sich hinter einem Proxy-Server oder einer Firewall befindet, diese Funk- tion aktivieren. Die Funktion „Path Finder“ muss ebenfalls im mGuard Secure VPN Client aktiviert sein. Phoenix Contact 231 / 350 110191_de_07...
Seite 232: Ip-Fragmentierung
Bei aktivierter Funktion ist diese Einstellung nur wirksam, wenn die Gegenstelle ein mGuard ist, auf dem die Firmware ab Version 5.1.0 installiert ist. In allen anderen Fällen bleibt die Einstellung unwirksam, schadet aber nicht. 232 / 350 Phoenix Contact 110191_de_07...
Seite 233 Bytes zu bleiben, wird ein Wert von 1414 (Bytes) empfohlen, so dass auch für zusätzliche Header genügend Platz bleibt. Wenn Sie diese Option nutzen wollen, legen Sie einen niedri- geren Wert als die Voreinstellung fest. Phoenix Contact 233 / 350 110191_de_07...
Seite 234: Dyndns-Überwachung
237) und dieser Hostname bei einem DynDNS-Service registriert ist, dann kann der mGuard regelmäßig überprüfen, ob beim betreffenden DynDNS eine Änderung erfolgt ist. Falls ja, wird die VPN-Verbindung zu der neuen IP-Adresse aufgebaut. Abfrageintervall Standard: 300 Sekunden 234 / 350 Phoenix Contact 110191_de_07...
Seite 235: Ipsec Vpn >> Verbindungen
Sie sind deshalb nicht zu empfehlen. Aus Gründen der Abwärtskompa- tibilität können sie jedoch weiterhin im mGuard ausgewählt und verwendet werden. ACHTUNG: Verwenden Sie sichere Verschlüsselungs- und Hash-Algorithmen (siehe „Verwendung sicherer Verschlüsselungs- und Hash-Algorithmen“ auf Seite 27). Phoenix Contact 235 / 350 110191_de_07...
Seite 236: Verbindungen
Zeigt an, ob die entsprechende ISAKMP-SA aufgebaut wurde oder nicht. IPsec-SA Zeigt an, wie viele der konfigurierten Tunnel aufgebaut sind. Die Anzahl der aufgebauten Tunnel kann höher als die Anzahl der konfigurierten Tunnel sein, wenn die Funktion „Tunnel- Gruppe“ genutzt wird. 236 / 350 Phoenix Contact 110191_de_07...
Seite 237 Wege keine Auswirkung auf die Einstellungen zu den einzelnen Tunneln (siehe „Transport- und Tunneleinstellungen“ auf Seite 248). Wenn durch Verwendung der oben angegeben URL der Status einer VPN-Verbindung ab- gefragt wird, können folgende Antworten erwartet werden: Phoenix Contact 237 / 350 110191_de_07...
Seite 238 Anfragen zum Tunnelaufbau zu erlauben. active Zu der Verbindung ist mindestens ein Tunnel auch wirklich aufgebaut. VPN-Verbindung / VPN-Verbindungstunnel definieren Nach Klicken auf das Icon Zeile bearbeiten erscheint je nach Netzwerk-Modus des mGuards folgende Seite. 238 / 350 Phoenix Contact 110191_de_07...
Seite 239: Allgemein
Name das gesamte Set der VPN-Ver- bindungstunnel, die unter diesem Namen zusammengefasst sind. Gemeinsamkeiten bei VPN-Verbindungstunneln: – gleiches Authentifizierungsverfahren, festgelegt auf der Registerkarte Authentifizierung (siehe „Authentifizierung“ auf Seite 257) – gleiche Firewall-Einstellungen – gleiche Einstellung der IKE-Optionen. Phoenix Contact 239 / 350 110191_de_07...
Seite 240 IP-Adresse hat. Nur wenn in diesem Szenario die entfernte „an- rufende“ Gegenstelle auch eine feste und bekannte IP-Adresse hat, können Sie diese IP-Adresse angeben. %any kann nur zusammen mit dem Authentisierungsverfahren über X.509-Zertifikate verwendet werden. 240 / 350 Phoenix Contact 110191_de_07...
Seite 241 VPN-Verkehr dieser VPN-Verbindung über das interne Interface geführt wird. IKE- und IPsec-Datenverkehr ist immer nur über die primäre IP-Adresse der jeweils zugeordneten Schnittstelle möglich. Dies gilt auch für VPN-Verbindungen mit konkreter Gegen- stelle. Phoenix Contact 241 / 350 110191_de_07...
Seite 242 In diesem Fall ist der mGuard bereit, die Verbindung anzuneh- men, die eine entfernte Gegenstelle aktiv zum mGuard initiiert und aufbaut. Wenn Sie unter Adresse des VPN-Gateways der Gegenstelle %any eingetragen haben, müssen Sie Warte auswählen. 242 / 350 Phoenix Contact 110191_de_07...
Seite 243 Zeit in Stunden, Minuten und/oder Sekunden (0:00:00 bis 720:00:00, etwa 1 Monate). Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen. Bei 0 ist diese Einstellung abgeschaltet. Phoenix Contact 243 / 350 110191_de_07...
Seite 244 Mode Configuration (XAuth) und die häufig erforderliche Protokollerweiterung „Mode Config“ inklusive „Split Tunneling“ als Server und als Client (u. a. iOS- und Android-Unterstützung). Netzwerkein- stellungen, DNS- und WINS-Konfigurationen werden dem IPsec-Client vom IPsec-Server mitgeteilt. 244 / 350 Phoenix Contact 110191_de_07...
Seite 245 Der Zertifikatsname (CN) und der „Subject Alternative Name“ des mGuard- Maschinenzertifikats müssen identisch sein mit der IP-Adresse (oder dem Hostnamen/DNS-Namen), die der iOS-Client zum Aufbau einer VPN-Verbin- dung mit dem mGuard-Gerät verwendet (siehe „Authentifizierung >> Zertifi- kate“ Phoenix Contact 245 / 350 110191_de_07...
Seite 246: Abschnittsgröße
Adresse eines DNS-Servers, die der Gegenstelle mitgeteilt für die Gegenstelle wird. Die Einstellung 0.0.0.0 bedeutet „keine Adresse“. 1. und 2. WINS-Server Adresse eines WINS-Servers, die der Gegenstelle mitgeteilt für die Gegenstelle wird. Die Einstellung 0.0.0.0 bedeutet „keine Adresse“. 246 / 350 Phoenix Contact 110191_de_07...
Seite 247: Maskieren
Verwendet der Remote-Server kein „Split Tunneling“, wird 0.0.0.0/0 verwendet. IP-Netzwerk der Das Netzwerk des Remote-Servers in CIDR-Schreibweise. Gegenstelle (Wenn „Fest“ ausgewählt wurde) XAuth-Login Manche Remote-Server benötigen zur Authentifizierung des Clients einen XAuth-Benutzernamen (Login) und ein XAuth- Passwort. XAuth-Passwort Zugehöriges XAuth-Passwort Phoenix Contact 247 / 350 110191_de_07...
Seite 248 Transport (Host ↔ Host) Bei diesem Verbindungstyp werden nur die Daten der IP-Pa- kete verschlüsselt. Die IP-Header-Informationen bleiben un- verschlüsselt. Bei Wechsel auf Transport werden die nachfolgenden Felder (bis auf Protokoll) ausgeblendet, weil diese Parameter entfal- len. 248 / 350 Phoenix Contact 110191_de_07...
Seite 249 Internet Lokales Netz VPN-Gateway Netz Gegenstelle Gegenstelle Um weitere Einstellungen vorzunehmen, klicken Sie auf das Icon Zeile bearbeiten. Es öffnet sich das Fenster „IPsec VPN >> Verbindungen >> Transport- und Tunneleinstel- lungen >> Allgemein“. Phoenix Contact 249 / 350 110191_de_07...
Seite 250 IPsec VPN >> Verbindungen >> Editieren >> Allgemein [...] Transport- und Tunneleinstellungen (Editieren) Legen Sie fest, ob der Verbindungstunnel aktiv sein soll oder Optionen Aktiv nicht. Kommentar Frei einzugebender kommentierender Text. Kann leer blei- ben. 250 / 350 Phoenix Contact 110191_de_07...
Seite 251 Lokal: Hier geben Sie die Adresse des Netzes oder Compu- ters an, das/der lokal am mGuard angeschlossen ist. Gegenstelle Gegenstelle: Hier geben Sie die Adresse des Netzes oder Computers an, das/der sich hinter dem Remote-VPN-Gate- (Bei Verbindungstyp „Tunnel“) way befindet. Phoenix Contact 251 / 350 110191_de_07...
Seite 252 Lokale 1:1-NAT-Netzwerke müssen in aufsteigender Reihenfolge, begin- nend mit dem kleinsten Netzwerk bis hin zum größten Netzwerk, angege- ben werden. Reales Netzwerk Konfiguriert die „von IP“-Adresse für 1:1-NAT. Virtuelles Netzwerk Konfiguriert die umgeschriebene IP-Adresse für 1:1-NAT. 252 / 350 Phoenix Contact 110191_de_07...
Seite 253 Lokal definiert wird. Die Datenpakete bekommen eine Zieladresse aus dem Netz- werk, das unter Gegenstelle eingestellt ist. Wenn nötig, wird auch die Quelladresse ersetzt (siehe Lokal). Danach werden die Datenpakete durch den VPN-Tunnel gesendet. Phoenix Contact 253 / 350 110191_de_07...
Seite 254 Festlegung einer Standard-Route über das VPN Die Adresse 0.0.0.0/0 gibt eine Standard-Route über das VPN an. Bei dieser Adresse wird sämtlicher Datenverkehr, für den keine anderen Tunnel oder Rou- ten existieren, durch diesen VPN-Tunnel geleitet. 254 / 350 Phoenix Contact 110191_de_07...
Seite 255: Netzwerkadresse Für Das Maskieren
Netzwerke in den unterschiedlichen Zweigstellen lokal jeweils die selben Netzwerkadresse benutzen. Nur die Zweigstelle kann VPN-Verbin- dungen zur Zentrale aufbauen. Netzwerkadresse für das Sie geben den IP-Adressenbereich an, für den das Maskieren angewendet wird. Maskieren Phoenix Contact 255 / 350 110191_de_07...
Seite 256 Angabe des Tunnelanfangs oder -endes angegeben werden, unabhängig von den mit der Gegenseite vereinbarten Tunnelparametern: Lokales Netz Remote-Netz IPsec-Tunnel Internet Netzwerkadresse für Re- Internet Netzwerkadresse für mote 1:1-NAT 1:1-NAT Bild 8-3 1:1-NAT 256 / 350 Phoenix Contact 110191_de_07...
Seite 257: Authentifizierung
Informationen über seinen Eigentümer und einer Be- glaubigungsstelle (Certification Autority, CA) enthält.) Es muss Folgendes festgelegt werden: – Wie sich der mGuard bei der Gegenstelle authentisiert. – Wie der mGuard die entfernte Gegenstelle authentifiziert Phoenix Contact 257 / 350 110191_de_07...
Seite 258 – Name eines CA-Zertifikats, wenn verfügbar Gegenstellen-Zertifi- Sie können das Gegenstellen-Zertifikat hochladen. Das Zerti- fikat wird ausgewählt und in der Liste der Gegenstellen-Zerti- fikate gespeichert (siehe „Gegenstellen-Zertifikate“ auf (Bei Authentifizierung mittels Gegenstellen-Zertifikat) Seite 185). 258 / 350 Phoenix Contact 110191_de_07...
Seite 259 Wenn sich die VPN-Gegenstelle mit einem von einer CA signierten Maschinenzertifikat zertifikat authentisiert: Es gibt die Möglichkeit, das von der Gegenstelle vorgezeigte Maschinenzertifikat wie folgt zu authentifizieren; – durch CA-Zertifikate – durch das entsprechende Gegenstellen-Zertifikat Authentifizierung durch CA-Zertifikate: Phoenix Contact 259 / 350 110191_de_07...
Seite 260: Gegenstellen-Zertifikat Installieren
Über VPN-Identifier erkennen die VPN-Gateways, welche Konfigurationen zu der glei- chen VPN-Verbindung gehören. Wenn der mGuard CA-Zertifikate heranzieht, um eine VPN-Gegenstellen zu authentifizieren, ist es möglich den VPN-Identifier als Filter zu benutzen. • Machen Sie dazu im Feld Gegenstelle den entsprechenden Eintrag. 260 / 350 Phoenix Contact 110191_de_07...
Seite 261 Beschränkung auf bestimmte Subjects (d. h. Maschinen) und/oder auf Subjects, die bestimmte Merkmale (Attribu- te) haben, oder – Freigabe für alle Subjects (Siehe „Subject, Zertifikat“ auf Seite 337.) Statt „Subject“ wurde früher die Bezeichnung „Distinguished Name“ verwendet. Phoenix Contact 261 / 350 110191_de_07...
Seite 262 Beachten Sie folgendes, wenn Sie einen Subject-Filter setzen. Bei den Attributen müssen Anzahl und Reihenfolge mit denen in den Zerti- fikaten übereinstimmen, auf die der Filter angewendet wird. Achten Sie auf Groß- und Kleinschreibung. 262 / 350 Phoenix Contact 110191_de_07...
Seite 263 Responder der Verbindung unter „IKE-Optionen“ alle Dif- fie-Hellmann-Algorithmen ausgewählt werden. Wenn ein fester Diffie-Hellmann-Algorithmus verwendet wird, dann muss er bei allen Verbindungen mit der Einstellung „Aggressive Mode (unsicher)“ gleich sein. Phoenix Contact 263 / 350 110191_de_07...
Seite 264 Bei PSK sind folgende Einträge gültig: – leer (die IP-Adresse wird verwendet, dies ist die Voreinstellung) – eine IP-Adresse – ein Hostname mit voran gestelltem ’@’ Zeichen (z. B. „@vpn1138.example.com“) – eine E-Mail Adresse (z. B. „piepiorra@example.com“) 264 / 350 Phoenix Contact 110191_de_07...
Seite 265: Firewall
Im Stealth-Modus ist in den Firewall-Regeln die vom Client wirklich verwendete IP-Adres- se zu verwenden oder aber auf 0.0.0.0/0 zu belassen, da nur ein Client durch den Tunnel angesprochen werden kann. Phoenix Contact 265 / 350 110191_de_07...
Seite 266: Eingehend
Nur Ping zulassen, die Datenpakete aller eingehenden Ver- bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP). Wende das unten angegebene Regelwerk an, blendet weitere Einstellmöglichkeiten ein. Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist. 266 / 350 Phoenix Contact 110191_de_07...
Seite 267: Ausgehend
Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP- Gruppe sind davon nicht betroffen und werden berücksichtigt. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Hostnamen in IP-Gruppen nicht möglich. Eingehend: –...
Seite 268 Regelsätze, die IP-Gruppen mit Hostnamen ent- halten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Regelsätzen nicht möglich. Kommentar Ein frei wählbarer Kommentar für diese Regel.
Seite 269: Ike-Optionen
Menü IPsec VPN 8.2.5 IKE-Optionen Phoenix Contact 269 / 350 110191_de_07...
Seite 270: Verschlüsselung
Sie sind deshalb nicht zu empfehlen. Aus Gründen der Abwärtskompatibilität können sie jedoch weiterhin im mGuard ausgewählt und verwendet werden. Siehe „Verwendung sicherer Verschlüsselungs- und Hash-Algorithmen“ auf Seite 270 / 350 Phoenix Contact 110191_de_07...
Seite 271 Der Wert 0 bedeutet, dass es keine Volumengrenze für die IPsec-SAs dieser VPN-Verbindung gibt. Alle anderen Werte geben die Anzahl an Bytes an, die maxi- mal von IPsec-SA für diese VPN-Verbindung verschlüsselt werden (Hard Limit). Phoenix Contact 271 / 350 110191_de_07...
Seite 272 Verzögerung bis zur Zeitspanne in Sekunden, nach welcher DPD Keep Alive An- nächsten Anfrage fragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. nach einem Lebens- zeichen Werkseinstellung: 30 Sekunden (0:00:30). 272 / 350 Phoenix Contact 110191_de_07...
Seite 273 Werkseinstellung: 120 Sekunden (0:02:00). stelle für tot befunden wird Wenn der mGuard eine Verbindung für tot befin- det, handelt er entsprechend der Einstellung, die unter Verbindungsinitiierung festgelegt ist (siehe Definition dieser VPN-Verbindung, Regis- terkarte Allgemein, Verbindungsinitiierung). Phoenix Contact 273 / 350 110191_de_07...
Seite 274: Ipsec Vpn >> L2Tp Über Ipsec
Wollen Sie IPsec/L2TP-Verbindungen ermöglichen, aktivie- Einstellungen Starte L2TP-Server für IPsec/L2TP ren Sie die Funktion. Über IPsec können dann zum mGuard L2TP-Verbindungen aufgebaut werden, über welche den Clients dynamisch IP-Ad- ressen innerhalb des VPNs zugeteilt werden. 274 / 350 Phoenix Contact 110191_de_07...
Seite 275 Beginn / Ende des Nach dem obigen Screenshot teilt der mGuard der Gegen- Remote-IP-Adressbe- stelle eine IP-Adresse zwischen 10.106.106.2 und reichs 10.106.106.254 mit. Status Informiert über den L2TP-Status, wenn dieser als Verbin- dungstyp gewählt ist. Phoenix Contact 275 / 350 110191_de_07...
Seite 276: Ipsec Vpn >> Ipsec Status
Um die angezeigten Daten auf den aktuellen Stand zu bringen, klicken Sie auf das Icon Aktualisieren. Neustart Wollen Sie eine Verbindung trennen und dann neu starten, auf die entsprechende Neu- start-Schaltfläche klicken. Editieren Wollen Sie eine Verbindung neu konfigurieren, klicken Sie auf das entsprechende Icon Zeile bearbeiten. 276 / 350 Phoenix Contact 110191_de_07...
Seite 277 Netze...Remo- tiv) te-Netze Bei Problemen empfiehlt es sich, in die VPN-Logs der Gegenstelle zu schauen, zu der die Verbindung aufgebaut wurde. Denn der initiierende Rechner bekommt aus Sicherheits- gründen keine ausführlichen Fehlermeldungen zugesandt. Phoenix Contact 277 / 350 110191_de_07...
Seite 278 MGUARD 10.4 278 / 350 Phoenix Contact 110191_de_07...
Seite 279: Menü Openvpn-Client
/ deaktivieren, die Eigenschaften einer VPN-Verbindung zu ändern (editieren) und Verbindungen zu löschen. OpenVPN-Client >> Verbindungen Lizenzstatus Lizenzierte Gegenstel- Anzahl der Gegenstellen, die aktuell eine VPN-Verbindung len (IPsec) über das IPsec-Protokoll aufgebaut haben. Phoenix Contact 279 / 350 110191_de_07...
Seite 280 In der Tabelle der Verbindungen auf das Icon Neue Zeile einfügen klicken, um eine neue Tabellenzeile hinzuzufügen. • Auf das Icon Zeile bearbeiten klicken. VPN-Verbindung bearbeiten In der gewünschten Zeile auf das Icon Zeile bearbeiten klicken. 280 / 350 Phoenix Contact 110191_de_07...
Seite 281: Allgemein
Der Taster/Schalter muss an einen der Servicekontakte (CMD 1-3 / I 1-3) angeschlossen sein. Wenn das Starten und Stoppen der VPN-Verbin- dung über den CMD-Kontakt eingeschaltet ist, hat ausschließlich der CMD-Kontakt das Recht dazu. Phoenix Contact 281 / 350 110191_de_07...
Seite 282: Verbindung
OpenVPN-Server initiiert wird. Werte: 1 – 65535; Default: %any (Auswahl wird der Gegen- stelle überlassen Remote-Port Port des Remote-OpenVPN-Servers, der auf Anfragen des OpenVPN-Clients antworten soll. Werte: 1 – 65535; Default: 1194 282 / 350 Phoenix Contact 110191_de_07...
Seite 283: Tunneleinstellungen
Menü OpenVPN-Client 9.1.3 Tunneleinstellungen OpenVPN-Client >> Verbindungen >> Editieren >> Tunneleinstellungen Remote-Netze Netzwerk Adressen der Netze, die sich hinter dem OpenVPN-Server (VPN-Gateway der Gegenstelle) befinden (CIDR-Schreib- weise). Kommentar Optional: kommentierender Text. Phoenix Contact 283 / 350 110191_de_07...
Seite 284 Die Option Deaktiviert deaktiviert die Komprimierung voll- ständig, indem die Benutzung von liblzo bzw. comp-lzo deak- tiviert wird. Beachten Sie, dass Server und Client die gleichen Komprimierungs-Einstellungen verwenden müs- sen. Dies betrifft insbesondere die Benutzung von liblzo bzw. comp-lzo. 284 / 350 Phoenix Contact 110191_de_07...
Seite 285: Datenverschlüsselung
Verzögerung bis zur Zeitspanne, nach welcher DPD Keep Alive-Anfragen gesen- nächsten Anfrage det werden sollen. Diese Anfragen testen, ob die Gegenstelle nach einem Lebens- noch verfügbar ist. zeichen Zeit in hh:mm:ss Default: 0:00:00 (DPD ist ausgeschaltet) Phoenix Contact 285 / 350 110191_de_07...
Seite 286 Keep Alive-Anfragen keine Lebenszeichens, nach Antwort erfolgte. welcher die Gegen- Zeit in hh:mm:ss stelle für tot befunden Wenn keine Antwort erfolgt, wird die Verbindung wird vom mGuard neu initiiert. Default: 0:00:00 (DPD ist ausgeschaltet) 286 / 350 Phoenix Contact 110191_de_07...
Seite 287: Authentifizierung
X.509-Zertifikats, welches weitere Informationen über seinen Eigentümer und einer Beglaubigungsstelle (Certification Au- tority, CA) enthält.) Es muss Folgendes festgelegt werden: – Wie sich der mGuard bei der Gegenstelle authentisiert. – Wie der mGuard die entfernte Gegenstelle authentifiziert Phoenix Contact 287 / 350 110191_de_07...
Seite 288 Bekannt dadurch, weil in den mGuard das jeweils entsprechende CA-Zertifikat und außerdem alle weite- ren CA-Zertifikate geladen worden sind, so dass sie zusam- men mit den vorgezeigten Zertifikaten jeweils die Kette bilden bis zum Root-Zertifikat. 288 / 350 Phoenix Contact 110191_de_07...
Seite 289 Die Auswahl auf Client- und Serverseite muss dabei komple- mentär (0 <–>1 oder 1 <–> 0) oder identisch (Kein <–> Kein) erfolgen. Fehlerhafte Einstellungen führen dazu, dass die Verbindung nicht aufgebaut wird und ein Log-Eintrag erstellt wird. Phoenix Contact 289 / 350 110191_de_07...
Seite 290: Firewall
Im Single-Stealth-Modus ist in den Firewall-Regeln die vom Client wirklich verwendete IP- Adresse zu verwenden oder aber auf 0.0.0.0/0 zu belassen, da nur ein Client durch den Tunnel angesprochen werden kann. 290 / 350 Phoenix Contact 110191_de_07...
Seite 291: Eingehend
Nur Ping zulassen, die Datenpakete aller eingehenden Ver- bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP). Wende das unten angegebene Regelwerk an, blendet weitere Einstellmöglichkeiten ein. Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist. Phoenix Contact 291 / 350 110191_de_07...
Seite 292: Ausgehend
Host bei der Regel nicht berücksichtigt. Weitere Einträge in der IP- Gruppe sind davon nicht betroffen und werden berücksichtigt. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Hostnamen in IP-Gruppen nicht möglich. Eingehend: –...
Seite 293 Regelsätze, die IP-Gruppen mit Hostnamen ent- halten, sollten aus Sicherheitsgründen nicht in Firewall-Regeln verwendet werden, die als Aktion „Verwerfen“ oder „Abweisen“ ausführen. Auf Geräten der FL MGUARD 2000-Serie ist die Verwendung von Regelsätzen nicht möglich. Kommentar Ein frei wählbarer Kommentar für diese Regel.
Seite 294: Nat
Ende des Tunnels so ausgetauscht, dass jede einzelne gegen eine bestimmte andere umgeschrieben wird. Beim Maskieren werden die IP-Adressen von Geräten am lo- kalen Ende des Tunnels gegen eine für alle Geräte identische IP-Adresse ausgetauscht. 294 / 350 Phoenix Contact 110191_de_07...
Seite 295 Port dieses Rechners weitergeleitet werden. D. h., die IP-Adresse und die Port- Nummer im Header eingehender Datenpakete werden geändert. Wird Port-Weiterleitung angewendet, passieren die Pakete die mGuard- Firewall ohne Berücksichtigung der unter „Netzwerksicherheit >> Paketfil- ter >> Eingangsregeln“ konfigurierten Regeln. Phoenix Contact 295 / 350 110191_de_07...
Seite 296 Port 110 oder http für Port 80. Namen von Portgruppen, sofern definiert. Bei Angabe eines Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209). 296 / 350 Phoenix Contact 110191_de_07...
Seite 297 Für jede einzelne Port-Weiterleitungs-Regel können Sie fest- legen, ob bei Greifen der Regel – das Ereignis protokolliert werden soll - Funktion Log akti- vieren. – oder nicht - Funktion Log deaktivieren setzen (werkseitige Voreinstellung). Phoenix Contact 297 / 350 110191_de_07...
Seite 298 MGUARD 10.4 298 / 350 Phoenix Contact 110191_de_07...
Seite 299: 10 Menü Redundanz
10 Menü Redundanz Die Firewall-Redundanz kann aktuell nur aktiviert werden, wenn keine VPN-Verbindun- gen auf dem Gerät konfiguriert sind. Die Firewall-Redundanz steht nicht auf den Geräten der FL MGUARD 2000-Serie zur Verfügung. Eine ausführliche Darstellung zum Thema Redundanz finden Sie in Kapitel 13, „Redun-...
Seite 300: Redundanz >> Firewall-Redundanz
Das Gerät in Bereitschaft bekommt die Priorität niedrig. Beide Geräte eines Redundanzpaares dürfen entweder eine unterschiedliche Priorität oder die Priorität hoch haben. Setzen Sie niemals beide mGuard-Geräte eines Redundanzpaares auf die Priorität niedrig. 300 / 350 Phoenix Contact 110191_de_07...
Seite 301 Die Passwort-Erneuerung wurde gestartet, aber nicht an allen Geräten, weil diese ausgefallen sind. Sobald ein fehlerhaftes Gerät wieder online ist, muss die Passwort- Erneuerung gestartet werden. Bei einem ausgetauschten Gerät muss dieses zu- nächst mit dem alten Passwort konfiguriert werden, bevor es angeschlossen wird. Phoenix Contact 301 / 350 110191_de_07...
Seite 302 Beachten Sie dabei, dass CARP dasselbe Protokoll und den- selben Port wie VRRP (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRP oder CARP nutzen und sich im selben Ethernet-Segment befinden. 302 / 350 Phoenix Contact 110191_de_07...
Seite 303 Beachten Sie dabei, dass CARP dasselbe Protokoll und den- selben Port wie VRRR (Virtuell Router Redundancy Protokoll) nutzt. Die hier eingestellte ID muss sich unterscheiden von den IDs der Geräte, die VRRR oder CARP nutzen und sich im selben Ethernet-Segment befinden. Phoenix Contact 303 / 350 110191_de_07...
Seite 304 Zu jeder virtuellen IP-Adresse muss eine reale IP-Adresse konfiguriert sein, in deren IP-Netz die virtuelle Adresse passt. Die Reaktion auf ICMP-Anfragen bei internen virtuellen IP-Ad- ressen ist unabhängig von den Einstellungen unter „Netz- werksicherheit >> Paketfilter >> Erweitert“. 304 / 350 Phoenix Contact 110191_de_07...
Seite 305: Konnektivitätsprüfung
Ergebnis der Konnek- Zeigt an, ob die Konnektivitätsprüfung erfolgreich war (grüner Haken). tivitätsprüfung des externen Interface Status der Konnektivi- Zeigt den Status der Konnektivitätsprüfung an. tätsprüfung des exter- nen Interface Phoenix Contact 305 / 350 110191_de_07...
Seite 306 Status der Konnektivi- Zeigt den Status der Konnektivitätsprüfung an. tätsprüfung des inter- nen Interface Primäre interne Ziele (für (Siehe oben) ICMP Echo-Anfragen) Voreingestellt: 192.168.1.30, (Nicht bei Auswahl Nur Prüfung des für neue Adressen 192.168.1.31 Ethernet-Links.) 306 / 350 Phoenix Contact 110191_de_07...
Seite 307 Menü Redundanz Redundanz >> Firewall-Redundanz >> Konnektivitätsprüfung (Siehe oben) Sekundäre interne Ziele (für ICMP Echo-Anfragen) Voreingestellt: 192.168.1.30, (Nicht bei Auswahl Nur Prüfung des für neue Adressen 192.168.1.31 Ethernet-Links.) Phoenix Contact 307 / 350 110191_de_07...
Seite 308: Ring-/Netzkopplung
Unterbrechungen im Netzwerk leicht zurückver- folgen lassen. Redundanzport Intern / Extern Intern: Wenn die Verbindung am LAN-Port wegfällt/kommt, wird auch der WAN-Port ausgeschaltet/eingeschaltet. Extern: Wenn die Verbindung am WAN-Port wegfällt/kommt, wird auch der LAN-Port ausgeschaltet/eingeschaltet. 308 / 350 Phoenix Contact 110191_de_07...
Seite 309: 11 Menü Logging
Hier wird eine Namensauflösung nicht unterstützt, weil sonst bei Ausfall eines DNS-Servers unter Umständen nicht proto- kolliert werden könnte. Log-Server-Port Geben Sie den Port des Log-Servers an, zu dem die Log-Ein- träge per UDP übertragen werden sollen. Standard: 514 Phoenix Contact 309 / 350 110191_de_07...
Seite 310 „IPsec VPN >> Verbindungen >> Editieren >> Allgemein“, Gegenstelle auf 1:1-NAT gestellt (siehe Seite 253), gilt Folgendes: Die IP-Adresse des Remote-Log-Servers muss sich in dem Netzwerk befinden, das in der Definition der VPN-Verbindung als Gegenstelle angegeben ist. 310 / 350 Phoenix Contact 110191_de_07...
Seite 311: Logging >> Logs Ansehen
Damit eine oder mehrerer Kategorien angezeigt werden, aktivieren Sie das/die Kontroll- kästchen der gewünschten Kategorie(n). Die Logeinträge werden entsprechend der Aus- wahl fortlaufend aktualisiert. Um die fortlaufende Aktualisierung der Log-Einträge zu unterbrechen bzw. fortzusetzen, kli- cken Sie auf die Schaltfläche Pause bzw. Weiter. Phoenix Contact 311 / 350 110191_de_07...
Seite 312 Allgemein /var/log/maitrigger Nein Nein /var/log/openvpn socklog OpenVPN Client /var/log/pluto svlogd IPsec VPN /var/log/psm-sanitize Nein Allgemein /var/log/psm-update Nein Allgemein /var/log/pullconfig socklog Allgemein /var/log/redundancy socklog Allgemein /var/log/snmp Nein SNMP/LLDP /var/log/tinydns Nein Allgemein /var/log/userfwd socklog Netzwerksicherheit 312 / 350 Phoenix Contact 110191_de_07...
Seite 313: Kategorien Der Log-Einträge
Verwaltung >> Systemeinstellung >> „Zeit und Datum“ Log-ID: fw-ntp-access – Firewall-Regeln der Benutzerfirewall: Menü „Netzwerksicherheit >> Benutzerfirewall“, Firewall-Regeln Log-ID: ufw- – Regeln für NAT, Port-Weiterleitung Menü „Netzwerk >> NAT >> IP- und Port-Weiterleitung“ Log-ID: fw-portforwarding Phoenix Contact 313 / 350 110191_de_07...
Seite 314 Listet alle OpenVPN-Ereignisse auf. DHCP-Server/Relay Meldungen der unter „Netzwerk >> DHCP“ konfigurierbaren Dienste. SNMP/LLDP Meldungen der unter „Verwaltung >> SNMP“ konfigurierbaren Dienste. Dynamisches Routing Listet alle Ereignisse auf, die durch dynamisches Routing erzeugt werden. 314 / 350 Phoenix Contact 110191_de_07...
Seite 315: 12 Menü Support
IP-Adresse zu einem bestimmten Hostnamen gehört. Vorgehen: • In das Feld Hostname die IP-Adresse bzw. den Hostnamen eingeben. • Auf die Schaltfläche Suchen klicken. Sie erhalten daraufhin die Antwort, wie sie der mGuard aufgrund seiner DNS-Konfi- guration ermittelt. Phoenix Contact 315 / 350 110191_de_07...
Seite 316 VPN-Verbindung aufzubauen, oder ob z. B. eine Firewall das verhindert. Vorgehen: • In das Feld Hostname/IP-Adresse den Namen bzw. die IP-Adresse des VPN-Gate- ways eingeben. • Auf die Schaltfläche IKE-Ping klicken. • Sie erhalten eine entsprechende Meldung. 316 / 350 Phoenix Contact 110191_de_07...
Seite 317: Hardware
LAN-Interface: Die MAC-Adresse des WAN-Interface um 1 erhöht (WAN + 1). Geräte mit integriertem Switch: Alle Switch-Ports verwenden die gleiche MAC-Adresse. – DMZ-Interface: Die MAC-Adresse des WAN-Interface um 4 erhöht (WAN + 4). Beispiel: – WAN: 00:a0:45:eb:28:9d – LAN: 00:a0:45:eb:28:9e – DMZ: 00:a0:45:eb:28:a1 Phoenix Contact 317 / 350 110191_de_07...
Seite 318: Snapshot
Logs zu erstellen, gehen Sie wie folgt vor: • Die Schaltfläche Herunterladen klicken. • Die Datei speichern (unter dem Namen snapshot- YYYY.MM.DD-hh.mm.ss.tar.gz bzw. snapshot-all- YYYY.MM.DD-hh.mm.ss.tar.gz) Stellen Sie die Datei dem Support Ihres Anbieters zur Verfü- gung, wenn dies erforderlich ist. 318 / 350 Phoenix Contact 110191_de_07...
Seite 319: 13 Redundanz
„Statisch“ unterstützt. – Im Netzwerk-Modus „Stealth“ wird die Firewall Redundanz nur in der Stealth-Konfigu- ration „Mehrere Clients“, unterstützt. – Weitere Einschränkungen siehe „Voraussetzungen für die Firewall-Redundanz“ auf Seite 322 „Grenzen der Firewall-Redundanz“ auf Seite 331. Phoenix Contact 319 / 350 110191_de_07...
Seite 320: Komponenten Der Firewall-Redundanz
Zeit keine Anwesenheitsnachricht erhält. Außerdem wird die Prüfung nicht bestanden, wenn ein Gerät Anwesenheitsnachrichten von niedrigerer Priorität erhält als die eigene. Die Daten werden immer über das physikalische Netzwerk-Interface übertragen und nie- mals über das virtuelle Netzwerk-Interface. 320 / 350 Phoenix Contact 110191_de_07...
Seite 321: Zustandsabgleich
Die Statusanzeige enthält detaillierte Informationen über den Status der Firewall-Redun- danz. Eine Zusammenfassung des Status kann über das Menü „Redundanz >> Firewall- Redundanz >> Redundanz“ oder „Redundanz >> Firewall-Redundanz >> Konnektivitäts- prüfung“ abgerufen werden. Phoenix Contact 321 / 350 110191_de_07...
Seite 322: Zusammenarbeit Der Firewall-Redundanz-Komponenten
„Primäre externe Ziele (für ICMP Echo-Anfragen)“ nicht leer sein. Das Gleiche gilt für das Interne Interface. – Im Netzwerk-Modus Router müssen mindestens eine externe und eine interne virtu- elle IP-Adresse eingestellt werden. Keine virtuelle IP-Adresse darf doppelt aufgelistet werden. 322 / 350 Phoenix Contact 110191_de_07...
Seite 323: Umschaltzeit Im Fehlerfall
Die Größe der Anwesenheitsnachrichten (CARP) beträgt bis zu 76 Bytes am Layer 3 des Internet-Protokolls. Mit dem Ethernet auf Layer 2 kommen 18 Bytes für den MAC-Header und die Prüfsumme dazu, wenn kein VLAN verwendet wird. Der ICMP-Echo-Reply hat die gleiche Größe. Phoenix Contact 323 / 350 110191_de_07...
Seite 324: Niedrige Priorität
Niedrige Priorität 50 pro Sekunde 25 pro Sekunde 20 ms 37600 Bit/s 16,6 pro Se- 8,3 pro Sekunde 60 ms 12533 Bit/s kunde 10 s 5 pro Sekunde 2,5 pro Sekunde 200 ms 3760 Bit/s 324 / 350 Phoenix Contact 110191_de_07...
Seite 325: Fehlerkompensation Durch Die Firewall-Redundanz
Datenpaketen oder einer zu hohen Latenzzeit entsteht. Ohne die Konnektivitätsprüfung kann der mGuard nicht entscheiden, welcher Bereich die Fehler verursacht hat. Ein Ausfall der Verbindung zwischen den Switchen einer Netzwerk-Seite (intern/extern) wird nicht ausgeglichen (7 und 8 in Bild 13-2). Phoenix Contact 325 / 350 110191_de_07...
Seite 326: Umgang Der Firewall-Redundanz Mit Extremen Situationen
Failover beim Aufbau von semi-unidirektionalen Verbindungen Eine semi-unidirektionale Verbindung bezieht sich auf eine einzelne IP-Verbindung (wie UDP-Verbindungen), bei denen die Daten nur in eine Richtung fließen, nachdem die Ver- bindung mit einem bidirektionalen Handshake zustande gekommen ist. 326 / 350 Phoenix Contact 110191_de_07...
Seite 327 Definieren Sie zusätzlich dort eine sekundäre Menge von Zielen. Sie können die Tole- ranz für den Verlust von ICMP-Echo-Requests noch erhöhen, wenn die Ziele von un- zuverlässigen Verbindungen unter beiden Mengen (primär und sekundär) eingetragen werden oder innerhalb einer Menge mehrfach aufgelistet werden. Phoenix Contact 327 / 350 110191_de_07...
Seite 328: Zusammenwirken Mit Anderen Geräten
Gateway für ihre Routen nutzen. Wenn diese Geräte dafür die reale IP-Adresse eines der beiden mGuards nutzen würden, würde es funktionieren, bis dieser mGuard aus- fällt. Dann aber kann der andere mGuard nicht übernehmen. 328 / 350 Phoenix Contact 110191_de_07...
Seite 329 Updates verloren gehen, kommt es aber nicht dazu. Denn der mGuard in Bereitschaft for- dert automatisch eine Wiederholung des Updates ein. Die Anforderungen an die Latenzzeit sind dieselben, wie unter „Umschaltzeit im Fehlerfall“ auf Seite 323 beschrieben. Phoenix Contact 329 / 350 110191_de_07...
Seite 330: Ausreichende Bandbreite
IP-Adresse des anderen mGuards beziehen. – dann muss der Datenverkehr durch die Verfügbarkeitsprüfung und den Zustandsab- gleich in ein separates VLAN verschoben werden. – dann müssen Switche genutzt werden, die es erlauben, VLANs zu splitten. 330 / 350 Phoenix Contact 110191_de_07...
Seite 331: Grenzen Der Firewall-Redundanz
IP-Adresse bzw. der ersten internen IP-Adresse verborgen wird. Das unterscheidet sich von dem Masquerading des mGuards ohne Firewall-Redundanz. Ohne aktivierte Firewall-Redundanz wird in einer Routing-Tabelle festgelegt, hinter welcher externen bzw. internen IP-Adresse der Sender verborgen wird. Phoenix Contact 331 / 350 110191_de_07...
Seite 332 MGUARD 10.4 332 / 350 Phoenix Contact 110191_de_07...
Seite 333: 14 Glossar
Von den vorgeschlagenen Verschlüsselungsalgorithmen hat die NIST fünf Algorithmen in die engere Wahl gezogen; und zwar die Algorithmen MARS, RC6, Rijndael, Serpent und Twofish. Im Oktober 2000 hat man sich für Rijndael als Verschlüsse- lungsalgorithmus entschieden. Phoenix Contact 333 / 350 110191_de_07...
Seite 334: Ca-Zertifikat
Der TCP-/UDP-Header enthält folgende Informationen: – Port des Absenders (source port) – Port des Empfängers (destination port) – eine Prüfsumme über den TCP-Header und ein paar Informationen aus dem IP-Header (u. a. Quell- und Ziel-IP-Adresse) 334 / 350 Phoenix Contact 110191_de_07...
Seite 335 Protocol). Die IP-Adresse ist 32 Bit (= 4 Byte) lang und wird geschrieben als 4 Zahlen (je- weils im Bereich 0 bis 255), die durch einen Punkt voneinander getrennt sind. Eine IP-Adresse besteht aus 2 Teilen: die Netzwerk-Adresse und die Host-Adresse. Netzwerk-Adresse Host-Adresse Phoenix Contact 335 / 350 110191_de_07...
Seite 336 Verfahren und dessen Implikationen wie z. B. Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP-Datagramm zwischen IP-Header und TCP- bzw. UDP- Header ein IPsec-Header eingesetzt. Da dadurch der IP-Header unverändert bleibt, ist die- ser Modus nur für eine Host- zu-Host-Verbindung geeignet. 336 / 350 Phoenix Contact 110191_de_07...
Seite 337 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: email:xyz@anywhere.com Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption 12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b: 3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7: 82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9: cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1: 4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d: d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21: 44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf: ff:8e Phoenix Contact 337 / 350 110191_de_07...
Seite 338: Abkürzung
Router den UDP- bzw. TCP-Header des Datagramms. Er tauscht die Quell-IP-Adresse und den Quell-Port aus gegen die eigene offizielle IP-Adresse und einen eigenen, bisher unbe- nutzen Port. Dazu führt er eine Tabelle, die die Zuordnung der ursprünglichen mit den neuen Werten herstellt. 338 / 350 Phoenix Contact 110191_de_07...
Seite 339 Möglichkeit der Zertifizierung. Diese Beglaubigung der Echtheit des öffentlichen Schlüssels und die damit verbundene Verknüpfung der Identität des Ausstellers mit seinem Schlüssel übernimmt eine zertifizierende Stelle (Certification Authority - CA). Dies ge- Phoenix Contact 339 / 350 110191_de_07...
Seite 340: Protokoll, Übertragungsprotokoll
TCP dient zur Sicherung der Verbindung und sorgt beispielsweise dafür, dass die Datenpa- kete in der richtigen Reihenfolge an die Anwendung weitergegeben werden. UDP und TCP bringen zusätzlich zu den IP-Adressen Port-Nummern zwischen 1 und 65535 mit, über die die unterschiedlichen Dienste unterschieden werden. 340 / 350 Phoenix Contact 110191_de_07...
Seite 341 Netzwerke (Teilnetze) über ein öffentliches Netz, z. B. das Internet, zu einem gemeinsamen Netzwerk zusammen. Durch Verwendung kryptographischer Protokolle wird dabei die Ver- traulichkeit und Authentizität gewahrt. Ein VPN bietet somit eine kostengünstige Alternative gegenüber Standleitungen, wenn es darum geht, ein überregionales Firmennetz aufzu- bauen. Phoenix Contact 341 / 350 110191_de_07...
Seite 342 MGUARD 10.4 342 / 350 Phoenix Contact 110191_de_07...
Seite 343: 15 Anhang
Die Option -- insecure (curl) sorgt dafür, dass das HTTPS-Zertifikat des mGuards nicht weiter geprüft wird. Tabelle 15-1 Codierung von Sonderzeichen (URL encoding) (Space) " & %21 %22 %23 %24 %25 %26 %27 %28 %29 %2A %2B %2F %3A %3B %3F %40 %5B Phoenix Contact 343 / 350 110191_de_07...
Seite 344: Kommandozeilen-Tool „Mg
Die Adressen, unter denen der mGu- ard von Geräten des externen Netzes aus erreichbar ist. Im Stealth-Modus übernimmt der mGuard die Adresse des lokal ange- schlossenen Rechners als seine ex- terne IP. /network/if-state/ext1/netmask Netzmaske der externen IP-Adresse. 344 / 350 Phoenix Contact 110191_de_07...
Seite 345: Led-Statusanzeige Und Blinkverhalten
O1 geschaltete VPN-Verbindung wurde erfolgreich aufgebaut. ODER Servicekontakt O1: Der über den Servicekontakt O1 geschaltete Firewall-Regelsatz wurde erfolg- reich aktiviert . Heart- Blink Servicekontakt O2: Die über den Servicekontakt beat O2 geschaltete VPN-Verbindung wird aufgebaut. Phoenix Contact 345 / 350 110191_de_07...
Seite 346 (5 sec) Wenn das Blinken aufhört, ist der Austausch des Rettungssystems beendet. FLASH-PROZEDUR: Die DHCP/BOOTP- Anforderungen sind fehlgeschlagen. FLASH-PROZEDUR: Das Einbinden (Mounten) des Datenspeichers (data storage device) ist fehlgeschlagen. FLASH-PROZEDUR: Die Flash-Prozedur ist fehlgeschlagen. 346 / 350 Phoenix Contact 110191_de_07...
Seite 347 FLASH-PROZEDUR: Das Laden des Firmware- Images ist fehlgeschlagen. FLASH-PROZEDUR: Die Signatur des Firmware- Images ist ungültig. FLASH-PROZEDUR: Das Installationsskript konnte nicht geladen werden. FLASH-PROZEDUR: Die Signatur des Installationsskripts ist ungültig. FLASH-PROZEDUR: Das Rollout-Skript ist fehlgeschlagen. Phoenix Contact 347 / 350 110191_de_07...
Seite 348 MGUARD 10.4 348 / 350 Phoenix Contact 110191_de_07...
Seite 349 Bitte beachten Sie folgende Hinweise Allgemeine Nutzungsbedingungen für Technische Dokumentation Phoenix Contact behält sich das Recht vor, die technische Dokumentation und die in den technischen Dokumentationen beschriebenen Produkte jederzeit ohne Vorankündigung zu ändern, zu korrigieren und/oder zu verbessern, soweit dies dem Anwender zumutbar ist.
Seite 350: So Erreichen Sie Uns
DEUTSCHLAND Wenn Sie Anregungen und Verbesserungsvorschläge zu Inhalt und Gestaltung unseres Handbuchs haben, würden wir uns freuen, wenn Sie uns Ihre Vorschläge zusenden an: tecdoc@phoenixcontact.com PHOENIX CONTACT GmbH & Co. KG • Flachsmarktstraße 8 • 32825 Blomberg • Germany phoenixcontact.com...
Seite 352 PHOENIX CONTACT GmbH & Co. KG Flachsmarktstraße 8 32825 Blomberg, Germany Phone: +49 5235 3-00 Fax: +49 5235 3-41200 E-mail: info@phoenixcontact.com phoenixcontact.com...

Diese Anleitung auch für:

Fl mguard 4000 Fl mguard 2102 Fl mguard 4302 Fl mguard 2105 Fl mguard 4305 Fl mguard 4102 pci ... Alle anzeigen

Phoenix Contact FL MGUARD 2000 Anwenderhandbuch

Quicklinks

Verwandte Anleitungen für Phoenix Contact FL MGUARD 2000

Inhaltszusammenfassung für Phoenix Contact FL MGUARD 2000