Verwandte Anleitungen für ZyXEL USG110
Inhaltszusammenfassung für ZyXEL USG110
- Seite 1 Remote-Management ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3517 Dezember 2015 Studerus AG...
-
Seite 2: Remote-Management
REMOTE-MANAGEMENT Die USG stellt verschiedene Zugangsarten für die Konfiguration und die Fernwartung bereit. Die Web-Oberfläche wird standardmässig über eine HTTPS-, die Kommandozeile über eine SSH- Verbindung verschlüsselt und gesichert. Für Wartungsaufgaben bietet die USG zudem eine serielle Schnittstelle an. Zugriff auf das WebGUI per HTTP/HTTPS Ein Zugriff über den Browser auf die WAN- oder LAN-IP-Adresse nimmt die USG über Port 80 (http://ip-adresse) oder Port 443 (https://ip-adresse) entgegen. - Seite 3 Die Komponenten der Konfigurationsoberfläche 2.) Die Konsole bietet einen simplen Ersatz für ein lokal instal- liertes SSH-Terminal. Voraussetzung: aktuelle Java-Version. 1.) Die kontextsensitive Hilfe liefert ausführliche Hilfestellungen zu sämtlichen Bereichen der Konfiguration. 3.) Das CLI-Fenster zeigt live die zum WebGUI äquivalenten CLI-Befehle an. 4.) Die Widget-Settings blenden einzelne Widgets aus- oder ein.
- Seite 4 Configuration > System > WWW Server Port für die HTTPS-Verbindung. Der Redirect leitet HTTP-Anfragen auf das HTTPS-Interface um. Der HTTP-Redirect benötigt den HTTP- Dienst, um Anfragen überhaupt anneh- men zu können. Server Port für die HTTP-Verbindung. Werden die Ports 80 oder 443 per NAT/Virtual-Server weitergeleitet, hat die Weiterleitung Priorität und die HTTP- und HTTPS-Dienste der USG sind über das WAN-Interface von extern nicht mehr erreichbar.
- Seite 5 Zertifikatsfehler, Erstellen eines neuen Zertifikats Den Zugriff per HTTP-Protokoll leitet die USG automatisch auf HTTPS um. So ist sichergestellt, dass die Verbindung zwischen Browser und USG nur verschlüsselt stattfindet und keine sensiblen Daten wie Benutzernamen und Passwörter im Klartext übertragen werden. Weder das für die HTTPS-Verbindung zugestellte Default-Zertifikat noch der darin enthaltene Aus- steller sind dem Browser bekannt.
- Seite 6 Configuration > Object > Certificate > My Certificates Setting > Add Name des neu erstellten Zertifikates. IP-Adresse des Interfaces, welches dem Browser das Zer- tifikat beim Verbindungsaufbau zustellt. Soll das Zertifikat für mehrere Interfaces Gültigkeit ha- ben, bietet sich der Einsatz eines Domänen-Namens an. Wichtiger Hinweis: Ab Firmware-Version 4.15 steht als Key Type der sichere- re Secure Hash Algorithm SHA-2 zur Verfügung.
- Seite 7 Der Weg zum Import des Zertifikates variiert je nach Betriebssystem. Auch Applikationen können in der Nutzung abweichen. Während der Internet Explorer auf betriebssystemebene importierte Zerti- fikate berücksichtigt, nutzen andere Browser wie beispielsweise der Firefox einen eigenen Zertifi- kats-Speicher. Verfügt das Zertifikat über die Dateiendung *.cer genügt unter Windows ein Doppelklick auf die Datei, um den Importassistenten zu starten.
- Seite 8 Remote-Management KB-3517 / SRU...
- Seite 9 Damit die USG beim Verbindungsaufbau auch tatsächlich unser neues Zertifikat liefert, muss dieses unter Server Certificate für die HTTPS-Verbindungen ausgewählt sein. Configuration > System > WWW Legt fest, welches Zertifikat beim Verbin- dungsaufbau auf das WebGUI dem Brow- ser zugestellt wird. Nach einem Logout und Aktualisieren der Ansicht attestiert der Browser eine beglaubigte, zertifikatsbasierend verschlüsselte HTTPS-Verbindung: Remote-Management...
- Seite 10 SSH-Konsole Die Konsole (CLI, Command Line Interface) bietet den vollständigen Zugriff auf sämtliche Konfigu- rations- und Informations-Optionen der USG. Standardmässig ist der SSH-Dienst aktiv. Die Verbin- dung erstellt ein geeignetes Programm, beispielsweise das einfach anzuwendende und für diverse Betriebssysteme frei verfügbare PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/). Configuration >...
- Seite 11 Der Login erfolgt mit gleichem Benutzername und Passwort wie im WebGUI. Telnet-Konsole Telnet stellt das unverschlüsselte Pendant zu SSH dar und ist aus Sicherheitsgründen auf der USG per Default deaktiviert. Da auf aktuellen Betriebssystemen der Telnet-Client zudem erst nachinstal- liert werden muss, macht der Einsatz heute kaum mehr Sinn. Configuration >...
- Seite 12 Die Verbindungsparameter lauten: 115200, n, 8, 1 (Baud, Parität, Datenbits, Stoppbits). Unter Seri- al line muss die eingesetzte serielle Schnittstelle des Rechners ausgewählt sein. Nach abgeschlossenem Startvorgang steht über die serielle Schnittstelle die gewohnte Konsole mit dem vollständigen Funktionsumfang des CLI bereit. Schliesst man sich beispielsweise unbedacht mit einer allzu restriktiven Firewall-Regel vom System aus, deaktivieren die Befehle configure terminal no Firewall active...