Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Terra Anleitungen
  4. Netzwerkhardware
  5. UTM Security Gateway
  6. Handbuch

Terra UTM Security Gateway Handbuch

Vorschau ausblenden
Inhaltsverzeichnis

Werbung

Quicklinks

Handbuch
Terra black dwarf
UTM Security Gateway

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Terra UTM Security Gateway

Inhaltszusammenfassung für Terra UTM Security Gateway

  • Seite 1 Handbuch Terra black dwarf UTM Security Gateway...

  • Seite 2: Inhaltsverzeichnis

    Inhalt Inhalt Einleitung ........................7 Teil 1 Administration mit dem Web-Interface ..............8 Schnittstellen der Appliance ..................9 Aufstellen und Anschließen der Appliance ..............9 Die Appliance über das Web-Interface ansprechen ...........10 Verbinden mit der Appliance ................10 Systemanforderungen an den Client Rechner ............11 Der Startbildschirm ....................11 Navigationsleiste....................12 License .......................12...
  • Seite 3 Inhalt 7.2.1 DSL Interface anlegen ....................24 7.2.2 LAN 2 konfigurieren ....................25 7.2.3 LAN 3 konfigurieren ....................26 7.2.4 DynDNS ........................27 7.2.5 Routing ........................28 7.2.6 DHCP ......................... 29 Network Tools .....................30 7.3.1 Lookup ........................30 7.3.2 Ping ..........................31 7.3.3 Routing Table ......................
  • Seite 4 Inhalt VCN Repeater ....................56 Service Status ....................57 VPN ........................58 10.1 IPSec Wizard ......................59 10.1.1 Site-to-Site ......................... 59 10.1.2 Roadwarrior ....................... 61 10.2 IPSec ........................63 10.2.1 Bearbeiten der Verbindungen ..................63 10.2.2 Löschen, Laden, Initiieren und Stoppen der Verbindungen ........67 10.3 L2TP ........................68 10.4 PPTP ........................70 10.5 SSL VPN ......................72...
  • Seite 5 Inhalt 13.1.1 Übersicht des Interface ....................93 13.1.2 Spalten der Tabellen ....................95 13.1.3 Aktionen in der Registerkarte Ham................96 13.1.4 Aktionen in der Registerkarte Spam ................97 13.1.5 Aktionen im Deleted Bereich ..................98 13.1.6 Bereich Statistics ....................... 99 13.2 Change Password ....................
  • Seite 6 Inhalt 14.5.3 Netzwerkobjekt anlegen ..................131 14.5.4 Regel anlegen......................131 14.5.5 Benutzer anlegen..................... 132 14.5.6 Dienststatus überprüfen ..................134 14.5.7 Zertifikat exportieren ....................135 14.5.8 Private Key aus der CA löschen ................136 14.6 OpenVPN Client auf einem Windows-Rechner installieren ....... 138 14.6.1 Installieren von OpenVPN ..................

  • Seite 7: Einleitung

    Netzwerk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt und die Kommunikation mit dem Inter- net überwacht. Das Terra UTM Security Gateway bietet hier eine Komplettlösung mit umfassenden Schutzmaßnahmen. Die Firewall beinhaltet einen Viren- scanner, einen Spamfilter und eine Content-Filter. Sie stellt verschie- dene Authentisierungsmechanismen sowie verschlüsselte Zugänge...

  • Seite 8: Teil 1 Administration Mit Dem Web-Interface

    Teil 1 Administration mit dem Web-Interface Wortmann AG IT - Made in Germany...

  • Seite 9: Schnittstellen Der Appliance

    Die Appliance wird in der Netzwerkstruktur hinter dem Modem plat- Modem ziert. Wird hinter der Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischengeschaltet werden. Soll nur ein Compu- Terra UTM LAN 1 Security Gateway ter angeschlossen werden, kann dieser direkt an die Appliance ver- bunden werden.

  • Seite 10: Die Appliance Über Das Web-Interface Ansprechen

    4 Die Appliance über das Web-Interface ansprechen 4 Die Appliance über das Web-Interface ansprechen 4.1 Verbinden mit der Appliance Sie erreichen die Appliance in ihrem Browser über die IP-Adresse des internen Interfaces auf den Port 11115 mit dem https (SSL) Protokoll. Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese von Werk aus auf 192.168.175.1 eingestellt.

  • Seite 11: Systemanforderungen An Den Client Rechner

    5 Der Startbildschirm 4.2 Systemanforderungen an den Client Rechner Betriebssystem: ab MS Windows XP und Linux Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend Speicher: 512 MB oder mehr Browser: optimiert für MS Internet Explorer 7 und Mozilla Firefox 3 5 Der Startbildschirm Der erste Bildschirm nach Betreten des gesicherten Bereichs, zeigt einen Überblick über den Status der Hardware und der Dienste.

  • Seite 12: Navigationsleiste

    5 Der Startbildschirm 5.1 Navigationsleiste Über die Navigationsleiste gelangen Sie zu den einzelnen Konfigurationsbereichen, die in den Kategorien Configuration, Network Settings, Firewall Settings, Proxy Set- tings, Settings, Logging Settings zusammen gefasst sind. 5.2 License In diesem Bereich werden Angaben zu der Firewall Software, Updates und Lizenz gegeben. Bezeichnung Erklärung Firewall Type...

  • Seite 13: System

    5 Der Startbildschirm 5.3 System Dieser Bereich zeigt die gegenwärtige Systemauslastung und die aktuellen TCP / UDP Ver- bindungen an. Bezeichnung Erklärung Auslastung des Prozessors Type Angabe des Prozessortyps Auslastung des Arbeitsspeichers grafisch und als Prozentangabe SWAP Auslastung der Auslagerungsdatei grafisch und als Prozentangabe Uptime Zeigt, wie lange das System schon in Betrieb ist.

  • Seite 14: Dienste Status

    5 Der Startbildschirm 5.4 Dienste Status Hier werden alle verfügbaren Dienste aufgelistet und deren Status angezeigt. Bei man- chen Diensten werden noch weitere Informationen angezeigt. Ist ein Dienst aktiv, wird dies durch einen grünen Kreis angezeigt. Ein grauer Kreis zeigt, dass der Dienst inaktiv ist. Wird ein Dienst gestartet oder gestoppt, muss die Seite aktualisiert werden, damit der richtige Status angezeigt wird.

  • Seite 15: Appliance

    5 Der Startbildschirm IPSec Server Internet Protocol Security Server Ermöglicht eine VPN Verbindung zur Firewall über das IPSec Protokoll. SSL VPN Server Secure Socket Layer Virtual Private Network Server Ermöglicht eine SSL gesicherte VPN Verbindung zur Firewall. Virusscanner Virenscanner Dienst für POP3 und HTTP. Abb.

  • Seite 16: Interfaces

    5 Der Startbildschirm 5.6 Interfaces Hier werden die Interfaces mit den zugeordneten IP-Adressen und Zonen angezeigt. Bezeichnung Erklärung eth0 Netzwerkadapter für die Verbindung zum Internet. An der Appliance als LAN 1 gekennzeichnet. eth1 Netzwerkadapter für die Verbindung zum internen Netzwerk. An der Appliance als LAN 2 gekennzeichnet.

  • Seite 17: Bereich Downloads

    5 Der Startbildschirm 5.8 Bereich Downloads Hier können Sie sehen, welche Dateien in dem User-Interface zum Download zur Verfügung stehen. Abb. 11 Übersicht der Downloaddateien 5.9 Administrator IP Am oberen Rand des Web-Interfaces finden Sie den Benutzernamen und die IP-Adresse des Computers, mit dem Sie sich am Web-Interface angemeldet haben.

  • Seite 18: Menüpunkt Configuration

    6 Menüpunkt Configuration 6 Menüpunkt Configuration Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die direkt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Configuration zu finden. Abb. 14 Dropdownmenü des Icons Configuration Bezeichnung Erklärung Export Configuration Die Konfiguration der Appliance kann extern gespeichert werden.

  • Seite 19: Export

    Ggf. müssen Sie noch einen Speicherort auswählen. Abb. 16 Abfrage im Mozilla Firefox Abb. 17 Abfrage im MS Internet Explorer  Die exportierte Konfiguration hat den Namen terra.dat (wenn Sie den Namen beim Download nicht geändert haben). Wortmann AG IT - Made in Germany...

  • Seite 20: Import

    6 Menüpunkt Configuration 6.2 Import  Zum Importieren einer externen Konfiguration klicken Sie auf den Punkt Import Con- figuration im Dropdownmenü. Es öffnet sich folgendes Fenster. Abb. 18 Import Dialog  Klicken Sie auf den Button Durchsuchen, um in Ihrem Dateisystem die gewünschte Konfiguration auszuwählen.

  • Seite 21: Menüpunkt Network

    7 Menüpunkt Network 7 Menüpunkt Network Hier werden die Netzwerkeinstellungen wie die IP-Adressen der Interfaces, DSL Zugangsdaten usw. der Appliance festgelegt. Außerdem können von hieraus Updates abgerufen und die Lizenz eingespielt werden. Abb. 20 Dropdownmenü unter dem Icon Network Settings Bezeichnung Erklärung Server Properties...

  • Seite 22: Server Properties

    7 Menüpunkt Network 7.1 Server Properties 7.1.1 External Administration Hier können Sie festlegen, aus welchem externen Netz oder von welchen externen IP- Adressen die Firewall administriert werden darf. Ein Zugriff aus dem internen Netz ist immer zulässig und muss nicht eingetragen werden. ...

  • Seite 23: Timezone

    7 Menüpunkt Network 7.1.2 Timezone Definieren Sie in welcher Zeitzone sich die Appliance befindet.  Klicken Sie auf den Pfeil oder auf das Feld in dem Bereich Timezone.  Wählen Sie aus der Liste die entsprechende Zeitzone.  Mit Save bestätigen Sie Ihre Angaben und schließen das Fenster. Abb.

  • Seite 24: Network Configuration

    7 Menüpunkt Network 7.2 Network Configuration In diesem Dialog richten Sie Ihre DSL Verbindung und Ihr internes Netzwerk ein. Weitere Optionen wie Routing und DHCP bieten Ihnen die Möglichkeit den Netzwerkverkehr zu re- geln. 7.2.1 DSL Interface anlegen Wenn Sie sich über ein DSL-Modem mit dem Internet verbinden, müssen sie das Protokoll PPPoE nutzen.

  • Seite 25: Lan 2 Konfigurieren

    7 Menüpunkt Network 7.2.2 LAN 2 konfigurieren Das Interface eth1, hier LAN 2 genannt, ist für Ihr internes Netzwerk gedacht. Hier legen Sie ein Subnetz für Ihr lokales Netzwerk an.  Tragen Sie im Feld IP Address die gewünschte IP-Adresse der Appliance ein. Sie können folgende Netze nutzen: 10.0.0.0/8 ;...

  • Seite 26: Lan 3 Konfigurieren

    Die Systeme in der DMZ stehen logisch also isoliert zu den anderen Netzen. FTP-Server E-Mail-Server Web-Server internes Netz Computer 1 Internet Terra Firewall Appliance Computer n Abb. 27 Aufbau einer DMZ  Wählen Sie eine IP-Adresse für die DMZ.  Da in der DMZ nur wenige Systeme stehen, können Sie...

  • Seite 27: Dyndns

    7 Menüpunkt Network 7.2.4 DynDNS Wenn Sie über keine feste externe IP-Adresse (LAN1) sondern über eine dynamische verfü- gen, die sich bei jeder Einwahl in das Internet ändert, können Sie einen DynDNS Dienst nut- zen, damit Sie von außen immer mit dem gleichen Hostnamen erreichbar sind. Dies ist nur notwendig, wenn Sie Dienste anbieten, die vom Internet aus erreichbar sein sollen (z.

  • Seite 28: Routing

    7 Menüpunkt Network 7.2.5 Routing Mit Routing-Einträgen können Sie festlegen, über welches Gateway ein Ziel erreicht werden soll. Der Standard Eintrag ist, dass alle Ziele über das interne Gateway erreicht werden. Sie können hier einstellen, dass weitere interne Netze für die Firewall erreichbar sind. ...

  • Seite 29: Dhcp

    7 Menüpunkt Network 7.2.6 DHCP Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei- nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des Standardgateways.

  • Seite 30: Network Tools

    7 Menüpunkt Network 7.3 Network Tools Unter dieser Rubrik finden sich nützliche Funktionen, die in der Netzwerktechnik öfter be- nutzt werden und deshalb auf der Appliance implementiert wurden. 7.3.1 Lookup Der Name leitet sich vom Befehl nslookup ab. Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat.

  • Seite 31: Ping

    7 Menüpunkt Network 7.3.2 Ping Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in diesem Zusammenhang auch als Pong bezeichnet).

  • Seite 32: Routing Table

    7 Menüpunkt Network 7.3.3 Routing Table Der Befehl Routing Tabel zeigt die Routing Tabelle der Appliance an. Hierbei brauchen Sie keine Daten angeben.  Klicken Sie auf den Button Routing Table. Es wird eine Liste der eingetragenen Routen ausgegeben. Abb. 34 Routing Tabelle der Appliance anzeigen lassen Wortmann AG IT - Made in Germany...

  • Seite 33: Updates

    7 Menüpunkt Network 7.4 Updates In diesem Bereich können Sie die Firewall-Version und den Virenscanner aktualisieren. 7.4.1 Firewall aktualisieren Die Version der Firewall ist als Build Nummer angegeben. Prüfen Sie erst, ob Updates vor- liegen, denn ein sofortiges Update überprüft nicht die Versionsnummer, sondern aktualisiert die Firewall auch bei gleicher Versionsnummer.

  • Seite 34: Registration

    7 Menüpunkt Network 7.5 Registration Sie können die Terra-Firewall auch ohne eine Registrierung betreiben, dann können Sie aber keine Updates für Virenscanner oder für die Firewall ausführen. In diesem Fall besteht keine Garantie. Eine nicht aktualisierte Firewall bietet keinen zuverlässigen Schutz! Der Link führt Sie auf die Registrationsseite.

  • Seite 35: Menüpunkt Firewall

    8 Menüpunkt Firewall 8 Menüpunkt Firewall In diesem Bereich ist das gesamte Regelwerk der Firewall zu erstellen. Im Port- filter werden die Rechte einzelner Rechner, Rechnergruppen, Netzwerke, Nut- zer, Nutzergruppen und Geräte erstellt und verwaltet. Abb. 38 Dropdownmenü unter dem Icon Firewall Bezeichnung Erklärung Portfilter...

  • Seite 36: Portfilter

    8 Menüpunkt Firewall 8.1 Portfilter Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut- zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der eine bestimmte Regel betrifft, protokolliert wird.

  • Seite 37: Regel Anlegen

    8 Menüpunkt Firewall 8.1.1 Regel anlegen Um eine Regel anzulegen, gehen Sie wie folgt vor.  Klicken Sie auf den Eintrag Portfilter im Dropdownmenü des Icons Firewall. Es öffnet sich das Fenster Portfilter. Hier wird eine Liste aller angelegten Regeln an- gezeigt.

  • Seite 38: Regel Löschen

    8 Menüpunkt Firewall Auf der Registerkarte Time können sie den Geltungszeitraum der Regel beschränken. Wenn Sie hier keine Angaben machen, dann gilt die Regel grundsätzlich.  Klicken Sie auf die Registerkarte Time.  Wählen Sie für jeden Tag, an dem die Regel beschränkt werden soll, einen Anfang- und einen Endzeitpunkt.

  • Seite 39: Hide Nat

    8 Menüpunkt Firewall 8.2 Hide NAT Private IP-Adressen werden im Internet nicht geroutet, daher müssen ausgehende Pakete die externe IP der Firewall bekommen. Dieses geschieht unter dem Punkt Hide NAT. Das NAT Objekt ist das Netzwerk oder der Rechner, dessen IP von ausgehenden Paketen durch das Hide NAT ersetzt wird.

  • Seite 40: Port Forwarding

    8 Menüpunkt Firewall 8.3 Port Forwarding 8.3.1 Port Forwarding Mittels Port Forwarding (Portweiterleitung) können Anfragen, die an einen bestimmten Port gerichtet sind, an einen bestimmten Rechner weitergeleitet werden. Zum Beispiel können HTTP Anfragen auf Port 80 direkt zum Webserver geleitet werden. Für diese Weiterleitung ist für den Webserver ein Netzwerkobjekt anzulegen.

  • Seite 41: Port Translation

    8 Menüpunkt Firewall 8.3.2 Port Translation Durch Portübersetzung können Standardports auf selbstdefinierte Ports umgesetzt werden. Beispiel: Sie möchten zwei Webserver in der DMZ betreiben. Der Standardport 80 für Web- server kann aber nicht doppelt belegt werden.  Klicken Sie auf Port Forwarding im Dropdownmenü des Icons Firewall. Es öffnet sich das Fenster Port Forwarding, in dem alle Weiterleitungsregeln aufge- listet sind.

  • Seite 42: Services

    8 Menüpunkt Firewall 8.4 Services Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich diese Dienste benutzen. Die Auflistung ist schon sehr umfassend, Sie können aber auch eigene Dienste hinzufügen oder Dienste löschen.
  • Seite 43 8 Menüpunkt Firewall Abb. 48 ICMP Control Message wählen Abb. 47 Dienst mit einem Portbereich anlegen Wortmann AG IT - Made in Germany...

  • Seite 44: Network Objects

    8 Menüpunkt Firewall 8.5 Network Objects Sie können verschiedenste Netzwerkobjekte anlegen und für diese Regeln im Portfilter be- stimmen. Die Netzwerkobjekte sind nicht nur auf Netzwerke und Computer beschränkt, son- dern umfassen auch Nutzer, Interfaces und VPN Netzwerke und VPN Computer. 8.5.1 Add Host/Net Um ein Netzwerkobjekt für ein Netz oder einen einzelnen Computer festzulegen, gehen Sie wie folg vor.

  • Seite 45: Add Vpn Host/Net

    8 Menüpunkt Firewall 8.5.2 Add VPN Host/Net Das Anlegen von VPN Objekten unterscheidet sich kaum vom Hinzufügen von Netzwerken oder Rechnern. Sie haben hier nur andere Zonen zur Verfügung.  Ganz nachdem zu welchem VPN Verfahren die Objekte gehören, wählen Sie als Zo- ne IPSec, L2TP, PPTP oder SSL-VPN aus.

  • Seite 46: Add Interface

    8 Menüpunkt Firewall 8.5.4 Add Interface Außerdem können Sie Interfaces als Netzwerkobjekte hinzufügen. Als Interface werden die Schnittstellen der Firewall bezeichnet. Hier können Sie unterscheiden zwischen Interfacen mit festen oder dynamischen IP- Adressen.  Klicken Sie auf Add Interface. Es erscheint der Dialog New Interface Object. ...

  • Seite 47: Menüpunkt Proxies

    9 Menüpunkt Proxies 9 Menüpunkt Proxies In dieser Sektion können die Proxies für HTTP und POP3 konfiguriert werden. Weiterhin können auch Einstellungen für den Repeater von VNC (Virtual Net- work Computing) vorgenommen werden. Außerdem können Dienste aktiviert und deaktiviert werden. Abb.

  • Seite 48: Http Proxy

    9 Menüpunkt Proxies 9.1 HTTP Proxy Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei- en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus dem Internet, untersucht sie und leitet sie an den Client weiter.

  • Seite 49: Virusscanning

    9 Menüpunkt Proxies 9.1.2 Virusscanning Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos- sen werden sollen.  Sie können die Virensuche auch ganz deaktivieren, indem Sie beim Feld Virusscan- ning aus der Dropdownliste den Wert Off wählen. ...

  • Seite 50: Url Filter

    9 Menüpunkt Proxies 9.1.3 URL Filter Mit dem URL Filter können Sie festgelegte Webseiten direkt blockieren. Der Filter verfügt über zwei Listen. In die Blacklist werden Domains und URLs eingetragen, die geblockt wer- den sollen. Die Whitelist enthält Adressen, die angezeigt werden. ...

  • Seite 51: Content Filter

    9 Menüpunkt Proxies 9.1.4 Content Filter 9.1.4.1 Categories Mit dem Content Filter können Sie den Zugang zu Internetseiten mit definierten Inhalten sperren. Es stehen verschiedene Inhaltskategorien zur Auswahl. Die Kategorien enthalten Schlagwörter, die auf den jeweiligen Inhalt hinweisen. Diese Schlagwörter sind in ihrer Ein- deutigkeit gewichtet.

  • Seite 52: Whitelist

    9 Menüpunkt Proxies 9.1.4.2 Whitelist Über die Whitelist können Benutzer, IP-Adressen und Internetseiten von der Prüfung ausge- nommen werden. Users Wenn die eingetragenen Benutzer Internetseiten aufrufen, wird die Filterung über den Con- tent Filter nicht ausgeführt.  Wechsel Sie auf der Registerkarte Whitelist in die Registerkarte Users. ...
  • Seite 53 9 Menüpunkt Proxies IP Addresses Hier eingetragene IP-Adressen werden ebenfalls vom Content Filtering ausgenommen. Die- se Einstellung ist nur sinnvoll, wenn die IP-Adressen fest vergeben sind.  Wechseln Sie auf die Registerkarte IP-Addresses.  Klicken Sie in die Liste.  Geben Sie mit der Tastatur die gewünschten IP-Adressen ein, bei denen das Content Filtering nicht angewendet werden soll.
  • Seite 54 9 Menüpunkt Proxies Websites Hier können Internetseiten eingegeben werden, die beim Aufrufen nicht durch den Content Filter geprüft werden. Tragen Sie hier nur absolut vertrauenswürdige Seiten ein. Einige Ein- träge sind werksseitig eingetragen.  Wechseln Sie in die Registerkarte Websites. ...

  • Seite 55: Pop3 Proxy

    9 Menüpunkt Proxies 9.2 POP3 Proxy Der POP3 Proxy agiert dem Mailclient gegenüber als POP3-Server, ruft seinerseits aber die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam untersucht und an den Mailclient weitergegeben.  Wählen Sie im Dropdownfeld Virusscanning den Wert On, um die Virensuche zu ak- tivieren.

  • Seite 56: Vcn Repeater

    9 Menüpunkt Proxies 9.3 VCN Repeater Virtual Networking Computing (VNC) Software kann den Bildschirminhalt eines entfernten Computers auf einem lokalen Rechner anzeigen. Die Tastatureingaben und Mausbewegun- gen des lokalen Computers werden an den entfernten Computer gesendet. Man kann also auf dem entfernten Computer arbeiten, als säße man direkt an diesen. Die Software arbeitet als Client-Server-Anwendung, wobei der entfernte Rechner den Server darstellt und der lo- kale Rechner den Client.

  • Seite 57: Service Status

    9 Menüpunkt Proxies 9.4 Service Status Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von hieraus kann ein Dienst gestartet oder gestoppt werden.  Wählen Sie den Dienst aus, den Sie starten bzw. stoppen wollen.  Wählen Sie aus dem Dropdownfeld rechts neben dem jeweiligen Dienst die Option On bzw.

  • Seite 58: Vpn

    Zielrechner aus. Das VPN stellt dem Benutzer eine virtuelle IP- Verbindung zur Verfügung. Die über diese Verbindung übertragenen Datenpa- kete werden am Client verschlüsselt und von der Terra Firewall wieder ent- schlüsselt und umgekehrt. Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits- grad und Komplexität unterscheiden.

  • Seite 59: Ipsec Wizard

    10 VPN 10.1 IPSec Wizard Der Assistent zur Erstellung von IPSec VPN Verbindung führt Sie Schritt für Schritt durch die einzelnen Konfigurationspunkte. Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site- oder eine Roadwarrior-Verbindung. Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz- werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.
  • Seite 60 10 VPN  Geben Sie die IP-Adresse oder den Hostnamen des entfernten Netzwerkes an.  Wenn es sich um eine DynDNS Hostnamen handelt, aktivieren Sie die Checkbox Hostname is DynDNS.  Klicken Sie auf Next. Abb. 72 Adresse des entfernten Netzwerks eingeben ...

  • Seite 61: Roadwarrior

    10 VPN 10.1.2 Roadwarrior  Klicken Sie im VPN Dropdownmenü auf den Eintrag IPSec Wizard. Es öffnet sich der Dialog IPSEC WIZARD: CREATE A NEW IPSEC CONNECTION.  Wählen Sie den VPN Typ Roadwarrior  Ein oder mehrere entfernte Computer können sich mit dem lokalem Netzwerk verbinden.
  • Seite 62 10 VPN  Entscheiden Sie, welche Authentifizierungsmethode benutzt werden soll.  Ein Preshared Key (PSK) wird von beiden Verbindungspartnern genutzt. Wählen Sie dafür Preshared Key im Auswahlfeld unter Authentication und geben das Kennwort im Feld unter Local key ein.  Ein Zertifikat wird von der Firewall erstellt und an den Roadwarrior weitergegeben. Wählen Sie hierfür im Auswahlfeld unter Authentification den Eintrag Certificate und wählen unter Certificat das Serverzertifikat der Appliance aus.

  • Seite 63: Ipsec

    10 VPN 10.2 IPSec Hier finden Sie eine Übersicht der bestehenden IPSec Verbindungen. Von hieraus können Sie die Einstellungen der Verbindungen bearbeiten, die Verbindungen löschen, laden, initiieren oder stoppen. Außerdem wird Ihnen der Status der Verbindung an- gezeigt. Abb. 82 Übersicht über die IPSec Verbindungen 10.2.1 Bearbeiten der Verbindungen Eine IPSec Verbindung ist in zwei Phasen aufgeteilt.
  • Seite 64 10 VPN Abb. 83 Bearbeitungsfenster der Phase 1 Bezeichnung Erklärung Abschnitt General Local gateway ID ID der Appliance. Bei ppp0/eth0 wird als Firewall ID die IP-Adresse des Interface gesendet. Sie können dort auch einen Hostnamen hinterlegen (z. B. den DynDNS Namen). Remote host/gateway entferntes VPN Gateway oder Host (Name oder IP- Adresse) Remote host/gateway...
  • Seite 65 10 VPN Phase 2). DH Group Angabe der Schlüssellänge des Diffie Hellmann Schlüssels. IKE life Dauer einer IKE Verbindung. Die Dauer ist zwischen 1 und 8 Stunden möglich. Danach ist ein neuer Aufbau aus Sicherheits- gründen nötig. Dies wird automatisch initiiert. Keyingtries Gibt an, wie oft versucht werden soll, eine Verbindung aufzubau- en (im Abstand von 20 Sekunden).
  • Seite 66 10 VPN Nur bei L2TP Verbindungen mit Windows Vista oder MacOSX, wenn der Client hinter einem Router steht. Abschnitt IKE Encryption Verschlüsselungsverfahren Authentication Authentifizierungsverfahren Perfect Forward Secrecy Neue Schlüssel müssen völlig unabhängig von den Vorgänger- schlüsseln generiert werden, damit von alten Schlüsseln nicht auf neue geschlossen werden kann.

  • Seite 67: Löschen, Laden, Initiieren Und Stoppen Der Verbindungen

    10 VPN 10.2.2 Löschen, Laden, Initiieren und Stoppen der Verbindungen Löschen einer Verbindung  Rufen Sie die IPSec Übersicht auf.  Klicken Sie auf die Schaltfläche Delete der jeweiligen Verbindung, um diese zu lö- schen.  Beantworten Sie die Sicherheitsabfrage mit Yes. Abb.

  • Seite 68: L2Tp

    10 VPN 10.3 L2TP Hier können Sie allgemeine Einstellungen für L2TP VPN Verbindungen einstellen.  Klicken Sie im VPN Dropdownmenü auf den Eintrag L2TP. Es öffnet sich der Dialog VPN L2TP.  Auf der Registerkarte General finden Sie allgemeine Einstellungen zum Interface. ...
  • Seite 69 10 VPN Unter der Registerkarte NS/WINS können sie die IP-Adresse des Nameservers und des WINS-Servers (Windows Internet Name Service) eingeben.  Wechsel Sie auf die Registerkarte NS/WINS.  Tragen Sie die IP-Adresse des Nameservers in die entsprechenden Felder ein.  Tragen Sie die IP-Adresse des WINS-Servers ein (sofern Sie einen benutzen). ...

  • Seite 70: Pptp

    10 VPN 10.4 PPTP Die allgemeinen Einstellungen für VPN per PPTP sind fast identisch zu L2TP. Die allgemeinen Einstellungen zum PPTP Interface und PPTP Adressbereich werden auf der Registerkarte General eingestellt. Auf der zweiten Registerkarte werden die IP-Adressen des Nameservers und des WINS-Servers eingetragen. ...
  • Seite 71 10 VPN Unter der Registerkarte NS/WINS können sie die IP-Adresse des Nameservers und des WINS-Servers (Windows Internet Name Service) eingeben.  Wechsel Sie auf die Registerkarte NS/WINS.  Tragen Sie die IP-Adresse des Nameservers in die entsprechenden Felder ein.  Tragen Sie die IP-Adresse des WINS-Servers ein (sofern Sie einen benutzen). ...

  • Seite 72: Ssl Vpn

    10 VPN 10.5 SSL VPN Hier werden die allgemeinen Einstellungen für das SSL verschlüsselte VPN eingestellt. Um diesen Zugang nutzen zu können, müssen die Nutzer OpenVPN auf ihren Rechner in- stallieren. Außerdem ist ein OpenVPN Client ratsam. Beides ist kostenlos auf der OpenVPN Internetseite erhältlich (http://openvpn.net/).

  • Seite 73: Menüpunkt Authentication

    11 Menüpunkt Authentication 11 Menüpunkt Authentication In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwal- tung. Außerdem finden Sie hier die Einstellungen für externe Authentifizierungs- mechanismen. Abb. 95 Dropdownmenü unter dem Icon Authentication Bezeichnung Erklärung Users Benutzerverwaltung zum Anlegen von neuen Benutzern und Be- arbeitung bestehender Benutzer inklusive Gruppenzugehörigkeit, Kennwort, usw.

  • Seite 74: Users

    11 Menüpunkt Authentication 11.1 Users Dieser Eintrag öffnet das Fenster Users, welches eine Liste aller eingetragenen Benutzer, ihrer Rechte und eventuelle VPN IP-Adressen anzeigt. Die Benutzer werden in der Reihenfolge Ihrer Erstellung angezeigt. Neue Benutzer können angelegt und bestehende bearbeitet oder gelöscht werden. Abb.

  • Seite 75: Neuen Benutzer Anlegen

    11 Menüpunkt Authentication 11.1.1 Neuen Benutzer anlegen 11.1.1.1 Registerkarte General  Um einen neuen Benutzer anzulegen, öffnen Sie das Fenster Users und klicken auf die Schaltfläche Add. Es öffnet sich der Dialog Add / Edit User.  In der Registerkarte General werden grundlegende Einstellungen vorgenommen. ...
  • Seite 76 11 Menüpunkt Authentication 11.1.1.2 Registerkarte VPN Ist der neue Benutzer L2TP oder PPTP VPN Nutzer können Sie noch Einstellungen auf der Registerkarte VPN vornehmen. Ist der SSL VPN Nutzer müssen Sie Einstellungen auf der Registerkarte VPN vornehmen.  Wechsel Sie auf die Registerkarte VPN. ...
  • Seite 77 11 Menüpunkt Authentication 11.1.1.3 Registerkarte SPAM Filter Ist der Benutzer in der Gruppe Spamfilter User, dann können Sie noch auf der Registerkar- SPAM Filter, die Zugriffsrechte beschränken. Sie können Beschränkungen für einzelne E- Mail-Adressen oder Domains anlegen. Es können bis zu drei Eintragungen vorgenommen werden.

  • Seite 78: Registerkarte „Extras

    11 Menüpunkt Authentication 11.1.1.4 Registerkarte Extras Auf dieser Registerkarte können Sie Angaben zum Kennwort machen. Ob der Benutzer sel- ber das Kennwort ändern darf, die minimale Länge des Kennworts, ob Ziffern, Sonderzei- chen und Groß- und Kleinbuchstaben verwendet werden müssen. Das Passwort kann nur im User-Interface geändert werden.

  • Seite 79: Bestehende Benutzer Bearbeiten Oder Löschen

    11 Menüpunkt Authentication 11.1.2 Bestehende Benutzer bearbeiten oder löschen Sie können auch Einstellungen zu bestehenden Nutzern bearbeiten.  Öffnen Sie die Benutzerverwaltung mit klicken auf den Eintrag Users im Dropdown- menü unter dem Icon Authenticate.  Klicken Sie auf das Stift Symbol rechts neben dem zu bearbeitenden Benutzer. Es öffnet sich der Dialog Add / Edit User.

  • Seite 80: External Authentication

    11 Menüpunkt Authentication 11.2 External Authentication Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch- führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die Anmeldung an einen Radius- oder einen LDAP-Server. 11.2.1 Radius Server  Öffnen Sie den Dialog External Authentication. Auf der Registerkarte Radius geben Sie die Daten des Radius Servers ein.

  • Seite 81: Ldap Server

    11 Menüpunkt Authentication 11.2.2 LDAP Server Um einen LDAP Server zur Authentifizierung zu nutzen, gehen Sie wie folgt vor.  Öffnen Sie den Dialog External Authentication. Auf der Registerkarte LDAP geben Sie die Daten des LDAP Servers ein.  Geben Sie den Hostnamen oder die IP-Adresse des Servers im Feld IP address or host name ein.

  • Seite 82: Certificates

    11 Menüpunkt Authentication 11.3 Certificates Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden- titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi- kate werden mit einer Certification Authority (CA) erstellt und signiert, um die Echtheit des Zertifikats zu garantieren.

  • Seite 83: Ca Erstellen

    11 Menüpunkt Authentication 11.3.1 CA erstellen  Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authenticati- Es erscheint das Fenster Certificates.  Auf der Registerkarte CA sind die erstellten CAs aufgelistet. Beim ersten Öffnen ist noch keine CA erstellt und die Liste somit leer. ...

  • Seite 84: Zertifikat Erstellen

    11 Menüpunkt Authentication 11.3.2 Zertifikat erstellen  Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authenticati- Es erscheint das Fenster Certificates.  Auf der Registerkarte Certs sind die erstellten Zertifikate aufgelistet. Beim ersten Öffnen ist noch kein Zertifikat erstellt und die Liste somit leer. ...

  • Seite 85: Ca Und Zertifikate Importieren

    11 Menüpunkt Authentication 11.3.3 CA und Zertifikate importieren Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie- gen.  Klicken Sie auf den Eintrag Certificates im Dropdownmenü des Icons Authenticati- Es erscheint das Fenster Certificates. ...

  • Seite 86: Ca Und Zertifikate Exportieren

    11 Menüpunkt Authentication 11.3.4 CA und Zertifikate exportieren Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die App- liance nur PEM Formate wieder importiert. ...

  • Seite 87: Live Log

    12 Live Log 12 Live Log Das Live Log zeigt aktuelle Protokolleinträge. Diese sind zur besseren Über- sicht farblich hinterlegt. Zusätzlich können die Einträge gefiltert werden. Spaltenbezeichnung Erklärung Zeigt den Tag des Auftretens an. Beim Live Logging meist das ak- tuelle Datum.

  • Seite 88: Live Log Starten

    12 Live Log 12.1 Live Log starten Wenn Sie das Live Log Fenster betreten, ist dass Logging noch ausgeschaltet. Sie können auch keine Suchmuster eingeben. Um das Logging zu starten, gehen Sie wie folgt vor.  Klicken Sie in der Navigationsleiste auf das Icon Live Log. Es öffnet sich ein neues Browserfenster.

  • Seite 89: Suchfunktion

    12 Live Log 12.2 Suchfunktion Wenn Sie das live logging gestartet haben, werden alle Ereignisse, die protokolliert werden, angezeigt. Wenn Sie etwas Bestimmtes suchen, ist die Filterfunktion hilfreich. Die Filterfunktion ist mittig über den Listenbereich zu finden. Die Funktion ist nur bei laufen- dem logging verfügbar.

  • Seite 90: Weitere Funktionen

    12 Live Log Mit einem Doppelklick auf einen Eintrag der Liste lassen sich genauere Informationen anzei- gen. Abb. 112 detaillierte Informationen anzeigen lassen 12.3 Weitere Funktionen 12.3.1 Seite neu laden Mit dem Reload Icon können Sie die Seite wieder in den Ausgangszustand setzen. Sie finden das Icon oben rechts über dem Listenfenster.

  • Seite 91: Teil 2 User-Interface

    12 Live Log Teil 2 User-Interface Wortmann AG IT - Made in Germany...

  • Seite 92: User-Interface

    13 User-Interface 13 User-Interface Das User-Interface kann von allen eingetragenen Benutzern benutzt werden, die zu den Gruppen Firewall Admin oder Spamfilter User oder Userinterface gehören. Abb. 115 Login Dialog für das User-Interface Das User-Interface unterteilt sich in drei Bereiche. In Abhängigkeit der Gruppenzugehörigkeit der Benutzer, haben diese nur Zugriff auf einzelne Bereiche.

  • Seite 93: Spamfilter Interface

    13 User-Interface 13.1 Spamfilter Interface Spamfilter User kann sich im Spamfilter Interface anzeigen lassen, welche E-Mails als Ham und welche Mails als Spam klassifiziert wurden. Es kann auch überprüft werden, ob E- Mails fälschlicherweise als Spam deklariert worden sind und diese können dann als Ham gekennzeichnet werden.
  • Seite 94 13 User-Interface Bereich Beschreibung 1 Filter Im Filterbereich, kann die Liste nach Absender, Empfänger, treff, Virus, gesendet, nicht gesendet gefiltert werden. Für einige Kriterien wird ein Muster benötigt, dafür steht ein Eingabe- feld zur Verfügung. Die Filterung wird nach dem Betätigen des Search Buttons ausge- führt.

  • Seite 95: Spalten Der Tabellen

    13 User-Interface 13.1.2 Spalten der Tabellen Bezeichnung Beschreibung ohne (erste Spalte) Durch Klicken auf den Kreis werden E-Mails markiert. Schon markierte E-Mails werden durch nochmaliges Anklicken ab- gewählt. Addressing Datum und Zeit der E-Mail. Größe der E-Mail. Absender der E-Mail. Empfänger der E-Mail.

  • Seite 96: Aktionen In Der Registerkarte Ham

    13 User-Interface 13.1.3 Aktionen in der Registerkarte Ham In den Spalten Action Delete können folgende Aktionen ausgeführt werden: Verschiebt die E-Mail in den Spam Ordner. Verschiebt die Mail in den Deleted Ordner. Abb. 118 Registerkarte Ham Mit markierten E-Mails können folgende Aktionen vorgenommen werden: Classify as spam and delete Kennzeichnet die E-Mail als Spam und verschiebt Sie in den...

  • Seite 97: Aktionen In Der Registerkarte Spam

    13 User-Interface 13.1.4 Aktionen in der Registerkarte Spam In den Spalten Action Delete können folgende Aktionen ausgeführt werden: Verschiebt die E-Mail in den Ordner. Verschiebt die Mail in den Deleted Ordner Abb. 120 Registerkarte Spam Mit markierten E-Mails können folgende Aktionen vorgenommen werden: Classify as ham Kennzeichnet die E-Mail als Ham und verschiebt sie in den...

  • Seite 98: Aktionen Im Deleted Bereich

    13 User-Interface 13.1.5 Aktionen im Deleted Bereich In den Spalten Action und Delete können folgende Aktionen ausgeführt werden: Stellt die E-Mails wieder her und verschiebt sie in den jeweiligen Ordner. Löscht die E-Mail unwiderruflich. Abb. 122 Registerkarte Deleted Mit markierten E-Mails können folgende Aktionen vorgenommen werden: Restore Stellt die E-Mails wieder her und verschiebt sie in den jeweiligen Ordner.

  • Seite 99: Bereich Statistics

    13 User-Interface 13.1.6 Bereich Statistics Auf dieser Registerkarte wird Ihnen grafisch der Anteil der Ham- und der Spam-E-Mails so- wie der mit einem Virus infizierten E-Mails angezeigt. Über den jeweiligen Säulen des Diag- ramms werden in die Werte in Prozent und in absoluten Zahlen angezeigt. Im Bereich Period können Sie die Statistik für gewählte Zeitintervalle generieren lassen.

  • Seite 100: Change Password

    13 User-Interface 13.2 Change Password Dieser Bereich ist nur für Benutzer sichtbar, für die in der Benutzerverwaltung festgelegt ist, dass sie ihr Kennwort ändern dürfen (siehe Abbildung). Abb. 125 Benutzerverwaltung - Optionen zum Kennwort  Klicken Sie im User-Interface auf die Registerkarte Change Password. Es erscheint der Dialog Change Password.

  • Seite 101: Download Software

    13 User-Interface 13.3 Download Software Der Downloadbereich stellt Software und Dokumentation zum Herunterladen zur Verfügung. Die Software umfasst VPN Clients, SSH Clients, SPUVA (Wortmann Security User Authenti- cation Agent) Client und weitere Tools. Als Textdateien ist diese Dokumentation im PDF Format, die Lizenz, sowie eine Beispielkonfiguration für einen SSL VPN Client hinterlegt.

  • Seite 102: Teil 3 Schritt Für Schritt Anleitungen

    13 User-Interface Teil 3 Schritt für Schritt Anleitungen Wortmann AG IT - Made in Germany...

  • Seite 103: Vpn - Roadwarrior Verbindungen

    14 VPN - Roadwarrior Verbindungen 14 VPN - Roadwarrior Verbindungen Eine Roadwarrior VPN Verbindung verbindet einen einzelnen Computer mit dem internen Netzwerk z. B. den Laptop eines Außendienstmitarbeiters oder den PC eines Mitarbeiters im Home-Office. Die Firewall Appliance braucht nicht für jeden Roadwarrior eine einzelne Ver- bindung einzurichten.

  • Seite 104: Ipsec Wizard

    14 VPN - Roadwarrior Verbindungen  Um ein Zertifikat anzulegen, öffnen Sie den Dialog Certificates erneut und wechseln auf die Registerkarte Certs.  Klicken Sie auf Add und geben nacheinander die geforderten Werte ein. Als Zertifikatstyp wählen Sie User / Server aus. ...

  • Seite 105: Vpn L2Tp

    14 VPN - Roadwarrior Verbindungen  Geben Sie als Verbindungstyp L2TP an und bestätigen Sie mit Next. Abb. 132 Verbindungstyp wählen Sie können die Authentifizierung über einen gemeinsamen Schlüssel vornehmen oder über ein Zertifikat. In diesem Beispiel wird ein Zertifikat verwendet. ...

  • Seite 106: Netzwerkobjekt Erstellen

    14 VPN - Roadwarrior Verbindungen  Auf der Registerkarte NS/WINS können Sie die IP-Adresse des primären und sekun- dären Nameservers sowie die IP-Adressen des primären und sekundären WINS (Windows Internet Name Service) Servers (soweit verwendet) eintragen.  Bestätigen Sie Ihre Eingaben mit Save. Abb.

  • Seite 107: Regel Anlegen

    14 VPN - Roadwarrior Verbindungen 14.1.5 Regel anlegen Erweitern Sie jetzt den Regelsatz.  Klicken Sie im Navigationsmenü auf den Punkt Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenster Portfilter. Ab Werk ist schon eingestellt, dass das Internet per L2TP auf das External Interface zugrei- fen darf.

  • Seite 108: Nutzer Anlegen

    14 VPN - Roadwarrior Verbindungen 14.1.6 Nutzer anlegen Erstellen Sie nun einen L2TP Nutzer.  Klicken Sie in der Navigationsleiste auf den Punkt Authentication und hier auf den Punkt Users.  Es erscheint das Fenster Users.  Klicken Sie auf Add. Es erscheint der Dialog Add / Edit User. ...

  • Seite 109: Dienststatus Überprüfen

    14 VPN - Roadwarrior Verbindungen Abb. 142 Kennwort Optionen 14.1.7 Dienststatus überprüfen Überprüfen Sie abschließend den Status der benötigten Dienste. Für L2TP VPN werden die Dienste IPSec Server L2TP Server benötigt.  Überprüfen Sie auf der Startseite im Bereich Applications den Status der Dienste IPSec Server und L2TP Server.

  • Seite 110: Zertifikat Exportieren

    14 VPN - Roadwarrior Verbindungen Abb. 143 Dienste aktivieren  Führen Sie einen Reload der Startseite aus und überprüfen den Status der Dienste erneut. Abb. 144 Status der Dienste überprüfen 14.1.8 Zertifikat exportieren Die nötigen Einstellungen auf der Server Seite sind nun vorgenommen. Bevor die Einstellun- gen auf der Client Seite sprich dem Roadwarrior vorgestellt werden, muss noch das Zertifi- kat, welches der Roadwarrior zur Authentifizierung benötigt, exportiert werden.
  • Seite 111 14 VPN - Roadwarrior Verbindungen  In der Zeile des betreffenden Zertifikats können Sie mit folgenden Buttons das Zertifi- kat exportieren.  Je nach Zielsystem müssen Sie auswählen, ob die Zertifikate im PEM Format (.pem) oder in der Personal Information Exchange Syntax (.p12) gesichert werden sollen. ...

  • Seite 112: Konfiguration Des Windows-L2Tp-Vpn Roadwarriors

    14 VPN - Roadwarrior Verbindungen 14.2 Konfiguration des Windows-L2TP-VPN Roadwarriors 14.2.1 Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor:  Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPN- Verbindung.   (Unter Windows XP Start Systemsteuerung Netzwerk- und Internetverbin-  dungen Neue Verbindung erstellen) Abb.
  • Seite 113 14 VPN - Roadwarrior Verbindungen Abb. 149 Namen vergeben Abb. 150 Servernamen oder IP eingeben Abb. 151 Einrichtung abschließen Wortmann AG IT - Made in Germany...

  • Seite 114: Eigenschaften Der Vpn-Verbindung Einstellen

    14 VPN - Roadwarrior Verbindungen 14.2.2 Eigenschaften der VPN-Verbindung einstellen Gehen Sie folgendermaßen vor:  Nach dem Fertigstellen erscheint der Dialog Verbindung herstellen. Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen. Abb. 152 Eigenschaften bearbeiten  In der Registerkarte Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN . Abb.

  • Seite 115: Importieren Des Clientzertifikats Über Die Managementkonsole (Mmc)

    14 VPN - Roadwarrior Verbindungen   Stellen Sie in Eigenschaften Erweitert noch die Option Standardgateway für das Remotenetzwerk verwenden ein. Abb. 155 Verwendung des Standardgateways 14.2.3 Importieren des Clientzertifikats über die Managementkonsole (MMC) Gehen Sie folgendermaßen vor:   Klicken Sie bitte auf Start Ausführen und starten die MMC.
  • Seite 116 14 VPN - Roadwarrior Verbindungen   Gehen Sie über Datei Snap-In hinzufügen/entfernen. Abb. 157 Managementkonsole Abb. 159 Snap-In auswählen Abb. 158 Konsolenstammzertifikat Wortmann AG IT - Made in Germany...
  • Seite 117 14 VPN - Roadwarrior Verbindungen Abb. 160 Verwaltungskonto auswählen Abb. 161 Computer auswählen Abb. 162 Snap-In fertigstellen  Jetzt kann das Zertifikat, wie in der folgenden Abbildung dargestellt, importiert wer- den.  Starten Sie hierzu, wie im Bild angegeben, den Import-Manager. Abb.
  • Seite 118 14 VPN - Roadwarrior Verbindungen  Laden Sie das Zertifikat.  Sie müssen dann das von Ihnen gewählte Kennwort für das Zertifikat eingeben, den Speicherort des Zertifikats angeben und den Assistenten mit Fertig stellen beenden. Abb. 165 Import-Assistent Schritt 2 Abb.
  • Seite 119 14 VPN - Roadwarrior Verbindungen  Aktualisieren Sie mit der Taste F5 die Anzeige, um das importierte Zertifikat anzeigen zu lassen. Abb. 169 Ansicht des importierten Zertifikats  Mit einem Doppelklick auf das Zertifikatssymbol können noch weitere Informationen abgerufen werden, wie z. B. den Aussteller und die Gültigkeit. Abb.

  • Seite 120: Starten Der L2Tp-Verbindung

    14 VPN - Roadwarrior Verbindungen 14.2.4 Starten der L2TP-Verbindung Gehen Sie folgendermaßen vor:  Jetzt können Sie die L2TP-Verbindung starten.  Klicken Sie auf die Verknüpfung der L2TP-Verbindung.  Geben Sie den Benutzernamen und das Kennwort ein.  Anschließend klicken Sie auf Verbinden. Abb.

  • Seite 121: Roadwarrior Vpn Via Pptp

    14 VPN - Roadwarrior Verbindungen 14.3 Roadwarrior VPN via PPTP 14.3.1 VPN PPTP Zuerst nehmen Sie die allgemeinen PPTP Einstellungen vor.  Klicken Sie in der Navigationsleiste auf das Icon VPN und dort auf den Eintrag PPTP. Es öffnet sich der Dialog VPN PPTP. ...

  • Seite 122: Netzwerkobjekt Anlegen

    14 VPN - Roadwarrior Verbindungen 14.3.2 Netzwerkobjekt anlegen Jetzt müssen Sie für das PPTP Netz noch ein Netzwerkobjekt erstellen.  Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Punkt Network Objects. Es öffnet sich das Fenster Network Objects. ...

  • Seite 123: Regel Anlegen

    14 VPN - Roadwarrior Verbindungen 14.3.3 Regel anlegen Erweitern Sie jetzt den Regelsatz.  Klicken Sie im Navigationsmenü auf den Punkt Firewall und hier auf den Eintrag Portfilter. Es öffnet sich das Fenster Portfilter. Ab Werk ist schon eingestellt, dass das Internet per PPTP auf das External Interface zugrei- fen darf.

  • Seite 124: Benutzer Anlegen

    14 VPN - Roadwarrior Verbindungen 14.3.4 Benutzer anlegen Erstellen Sie nun einen PPTP Nutzer.  Klicken Sie in der Navigationsleiste auf den Punkt Authentication und hier auf den Punkt Users.  Es erscheint das Fenster Users.  Klicken Sie auf Add. Es erscheint der Dialog Add / Edit User. ...

  • Seite 125: Dienststatus Überprüfen

    14 VPN - Roadwarrior Verbindungen Abb. 179 Kennwort Optionen 14.3.5 Dienststatus überprüfen Überprüfen Sie abschließend den Status des benötigten Dienstes. Für PPTP VPN wird der Dienst PPTP Server benötigt.  Überprüfen Sie dann auf der Startseite im Bereich Applications den Status des Dienstes PPTP Server.

  • Seite 126: Konfiguration Des Pptp-Vpn-Roadwarriors Unter Windows

    14 VPN - Roadwarrior Verbindungen  Klicken Sie in der Navigationsleiste auf das Icon Proxies und hier auf den Eintrag Service Status. Es erscheint die Liste Service Status.  Ändern Sie den Status der Dienste PPTP Server von Off zu On. ...
  • Seite 127 14 VPN - Roadwarrior Verbindungen Abb. 182 Verbindungsassistent Schritt 1 Abb. 183 Verbindungsassistent Schritt 2 Abb. 184 Verbindungsassistent Schritt 3 Abb. 185 Verbindungsassistent Schritt 4 Abb. 186 Verbindungsassistent Schritt 5 Abb. 187 Verbindungsassistent abschließen Wortmann AG IT - Made in Germany...

  • Seite 128: Eigenschaften Der Vpn-Verbindung Einrichten

    14 VPN - Roadwarrior Verbindungen 14.4.2 Eigenschaften der VPN-Verbindung einrichten Gehen Sie folgendermaßen vor:  Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzu- passen.    Wählen Sie anschließend in den Eigenschaften Sicherheit Netzwerk. Abb. 189 Eigenschaften der Verbindung Abb.

  • Seite 129: Roadwarrior Vpn Via Ssl Vpn

    14 VPN - Roadwarrior Verbindungen 14.5 Roadwarrior VPN via SSL VPN Das SSL VPN benutzt zur Verschlüsselung das Secure Socket Layer Protokoll (SSL) und beruht auf OpenVPN. 14.5.1 OpenVPN Zertifikate erstellen Um eine Verbindung anzulegen, müssen Sie zunächst ein OpenVPN Serverzertifikat und für jeden Roadwarrior ein OpenVPN Clientzertifikat erzeugen.

  • Seite 130: Vpn Ssl

    14 VPN - Roadwarrior Verbindungen Abb. 194 Client Zertifikat für SSL VPN Abb. 193 Server Zertifikat für SSL VPN 14.5.2 VPN SSL Nehmen Sie die allgemeinen Einstellungen für das SSL VPN vor.  Klicken Sie in der Navigationsleiste auf das Icon VPN und hier auf den Eintrag SSL VPN.

  • Seite 131: Netzwerkobjekt Anlegen

    14 VPN - Roadwarrior Verbindungen 14.5.3 Netzwerkobjekt anlegen Jetzt müssen Sie für das SSL VPN Netz noch ein Netzwerkobjekt erstellen.  Klicken Sie in der Navigationsleiste auf den Punkt Firewall und dort auf den Punkt Network Objects. Es öffnet sich das Fenster Network Objects. ...

  • Seite 132: Benutzer Anlegen

    14 VPN - Roadwarrior Verbindungen  Auf der Registerkarte General wählen Sie aus der Liste Source das eben angelegte SSL VPN Netzwerkobjekt aus.  In der Liste Service klicken Sie auf any für jeglichen Verkehr.  In der Liste Destination wählen Sie das Netzwerkobjekt Internal Network. ...
  • Seite 133 14 VPN - Roadwarrior Verbindungen Die Zahl ist ein Vielfaches von 4 minus 2. x = (y * 4) – 2 Bsp.: (10 * 4 ) – 2 = 38 Werte aus folgender Menge sind also möglich: { 2; 6; 10; 14; … ; 246; 250; 254} ...

  • Seite 134: Dienststatus Überprüfen

    14 VPN - Roadwarrior Verbindungen 14.5.6 Dienststatus überprüfen Überprüfen Sie abschließend den Status des benötigten Dienstes. Für SSL VPN wird der Dienst SSL VPN Server benötigt.  Überprüfen Sie dann auf der Startseite im Bereich Applications den Status des Dienstes SSL VPN Server. Erscheint hinter dem Dienst ein grüner Kreis, so ist der Dienst aktiviert.

  • Seite 135: Zertifikat Exportieren

    14 VPN - Roadwarrior Verbindungen 14.5.7 Zertifikat exportieren Die nötigen Einstellungen auf der Server Seite sind nun vorgenommen. Bevor die Einstellun- gen auf der Client Seite sprich dem Roadwarrior vorgestellt werden, müssen noch die CA und das Roadwarrior-Zertifikat im PEM Format exportiert werden. ...

  • Seite 136: Private Key Aus Der Ca Löschen

    14 VPN - Roadwarrior Verbindungen 14.5.8 Private Key aus der CA löschen Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weiterge- ben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen von Ihnen erstellten Zertifikaten unterschei- den.
  • Seite 137 14 VPN - Roadwarrior Verbindungen  Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum En- de der Datei.  Entfernen Sie den markierten Bereich (z.B. mit Drücken der Taste Entf bzw. del).  Speichern Sie dann die Datei. Die so modifizierte Datei können Sie weitergeben.

  • Seite 138: Openvpn Client Auf Einem Windows-Rechner Installieren

    14 VPN - Roadwarrior Verbindungen 14.6 OpenVPN Client auf einem Windows-Rechner installieren Um sich von einem externen Rechner mit der Firewall über OpenVPN zu verbinden, müssen Sie OpenVPN auf Ihr System installieren. Auf der Internetadresse http://openvpn.net/download.html#stable können Sie die aktuelle Version von OpenVPN herunterladen.
  • Seite 139 14 VPN - Roadwarrior Verbindungen  Folgen Sie den Anweisungen der Installationsroutine.  Bestätigen Sie die Frage, ob der TAP-Win32 Adapter V8 installiert werden soll, ob- wohl er den Windows-Logo-Test nicht bestanden hat, mit einem Klick auf den Button Installation fortsetzen. Abb.

  • Seite 140: Einbinden Der Openvpn Gui (Graphical User-Interface)

    14 VPN - Roadwarrior Verbindungen 14.6.2 Einbinden der OpenVPN GUI (Graphical User-Interface)  Kopieren Sie die Datei openvpn-gui-versionsnummer-de.exe in das bin Verzeich- nis des OpenVPN Programms (z.B. C:\Programme\OpenVPN\bin).  Anschließend können Sie noch eine Verknüpfung der GUI auf dem Desktop bzw. im Startmenü...
  • Seite 141 14 VPN - Roadwarrior Verbindungen ############### Client Konfiguration ############### # OpenVPN Standard Client Konfiguration # Kommentare werden mit vorangestellter # Raute(#) oder Semikolon(;) gekennzeichnet. client dev tun tun-mtu 1500 # fragment 1300 mssfix proto udp float # Verbindungsdaten des Servers # Geben Sie nach „remote“...

  • Seite 142: Verbindung Mit Der Firewall Herstellen

    14 VPN - Roadwarrior Verbindungen  Speichern Sie diese Datei in den config Ordner von OpenVPN. Die Datei muss die Endung ovpn haben. Bsp: C:\Programme\OpenVPN\config\client.ovpn  Legen Sie in dem config Ordner einen weiteren Ordner keys an, soweit dieser noch nicht existiert und kopieren Sie in diesen Ordner die CA und das Zertifikat des Road- warriors.
  • Seite 143 14 VPN - Roadwarrior Verbindungen Abb. 215 Logging Fenster sowie Login Dialog  Tragen Sie in der Login-Maske den Benutzernamen und das Kennwort des OpenVPN Benutzers ein. Eine erfolgreiche Anmeldung am System wird Ihnen mit folgender Meldung bestätigt. Abb. 216 Verbindung wird bestätigt Solange das Icon zwei grüne Monitore anzeigt, ist die Verbindung aktiv.

  • Seite 144: Punkte Des Kontextmenüs

    14 VPN - Roadwarrior Verbindungen 14.6.4 Punkte des Kontextmenüs Bezeichnung Erklärung Verbinden Startet den Verbindungsaufbau Connect Trennen Beendet die Verbindung. Disconnect Status Zeigt die Logging Meldungen der aktuellen Verbindung. Show Status Log Information Zeigt das gesamte Logging Protokoll der letzten Verbindung bzw. View Log der aktuellen Verbindung, wenn eine Verbindung aktiv ist.

  • Seite 145: Portabler Openvpn Client Auf Einem Usb Stick Nutzen

    14 VPN - Roadwarrior Verbindungen 14.7 Portabler OpenVPN Client auf einem USB Stick nutzen Die gleiche GUI, wie im vorangegangenen Abschnitt vorgestellt, ist auch als portable Version erhältlich. Der Vorteil dabei ist, dass das Programm direkt vom USB Stick ausgeführt wird. Es wird nur das virtuelle Interface installiert, welches nach der Benutzung auch automatisch deinstalliert werden kann.
  • Seite 146 14 VPN - Roadwarrior Verbindungen  Nun können Sie das Programm starten.  Doppelklicken Sie im Verzeichnis OpenVPNPortable auf die Datei openvpnportab- le.exe.  Lassen Sie von dem Programm den Treiber für das virtuelle Interface installieren.  OpenVPN wird gestartet und wird als Icon in der Taskleiste angezeigt. ...

  • Seite 147: Vpn Site-To-Site Verbindung

    15 VPN Site-to-Site Verbindung 15 VPN Site-to-Site Verbindung Per VPN können Sie auch zwei entfernte Netzwerke miteinander verbinden. In diesem Beispiel wird die Anbindung per IPSec vollzogen. 15.1 IPSec Wizard  Starten Sie den VPN Wizard über die Navigationsleiste VPN und den Eintrag IPSec Wizard.

  • Seite 148: Netzwerkobjekt Und Regel Anlegen

    15 VPN Site-to-Site Verbindung  Zuletzt geben Sie an, welche Subnetze Sie über die VPN Verbindung miteinander kommunizieren lassen wollen.  Klicken Sie auf Finish, um den Wizard zu beenden. Abb. 226 Subnetze eintragen  Damit die neue Verbindung auf der Startseite angezeigt wird, müssen sie die Seite evtl.
  • Seite 149 15 VPN Site-to-Site Verbindung  Geben Sie im Feld Namen einen Namen für das neue Netzwerkobjekt an.  Wählen Sie als Typ Network aus.  Geben Sie unter IP Address die IP-Adresse des entfernten internen Netzwerkes an und wählen Sie die passende Netzwerkmaske. ...

  • Seite 150: Dienststatus Überprüfen

    15 VPN Site-to-Site Verbindung  Klicken Sie auf Add um eine weitere Regel anzulegen.  Wählen Sie in der Liste Source das entfernte Netzwerk.  Als Service wählen Sie any.  Bestimmen Sie in der Liste Destination als Ziel das lokale Netzwerk. ...
  • Seite 151 15 VPN Site-to-Site Verbindung Beachten Sie: Auf dieser Seite ist die Konfiguration abgeschlossen. Auch das entfernte Netzwerk muss die Site-to-Site Verbindung einrichten, damit sich die beiden Netzwerke miteinander verbinden können.  Sie können die Verbindung starten, indem Sie unter VPN Eintrag IPSec die Site-to- Site Verbindung wählen und den Button Load und danach Initiate klicken.

  • Seite 152: Port Forwarding

    16 Port Forwarding 16 Port Forwarding Hier werden Ihnen zwei Möglichkeiten geboten. Port Forwarding: Diese Option ermöglicht es eine Anfrage auf einen bestimmten Port von Netzen oder einzelnen Rechner an einen bestimmten Rechner weiterzu- leiten. So kann zum Beispiel eine http Anfrage aus dem Internet gleich zum Webserver weitergeleitet werden.

  • Seite 153: Port Forwarding Regel Erstellen

    16 Port Forwarding Abb. 233 Netzwerkobjekt für den Webserver anlegen 16.1.2 Port Forwarding Regel erstellen  Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Port Forwarding.  Es öffnet sich das Fenster Port Forwarding. ...

  • Seite 154: Portfilter Regeln Anlegen

    16 Port Forwarding 16.1.3 Portfilter Regeln anlegen Die Portweiterleitung muss auch im Regelwerk eingetragen werden. Die Regel muss den Zugriff aus dem Internet über den Port 80 bzw. Port 443 auf den Webserver erlauben.  Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Portfilter.

  • Seite 155: Port Translation

    16 Port Forwarding 16.2 Port Translation In diesem Beispiel wird demonstriert, wie eine http Anfrage von Port 20 an den Port 80 des Webservers weitergeleitet wird. Wenn Sie einen Standardport auf einen benutzerdefinierten Port umlegen, muss dieser Port auch in der Konfiguration des jeweiligen Rechners festgelegt sein. 16.2.1 Netzwerkobjekt anlegen Zuerst muss für den Webserver ein Netzwerkobjekt angelegt werden.

  • Seite 156: Dienst Für Die Port Translation Definieren

    16 Port Forwarding 16.2.2 Dienst für die Port Translation definieren Da der externe Port nur über einen Dienst definiert wird, muss zuerst ein Dienst für den Port 20 erstellt werden.  Klicken Sie in der Navigationsleiste auf das Icon Firewall und hier auf den Eintrag Services.

  • Seite 157: Port Translation Regel Anlegen

    16 Port Forwarding 16.2.3 Port Translation Regel anlegen  Klicken Sie in der Navigationsleiste auf das Icon Firewall und dort auf den Eintrag Port Forwarding.  Es öffnet sich das Fenster Port Forwarding.  Klicken Sie auf den Button Add. Es öffnet sich der Dialog New Port Forwarding Rule.

  • Seite 158: Portfilter Regeln Für Die Port Translation Anlegen

    16 Port Forwarding 16.2.4 Portfilter Regeln für die Port Translation anlegen Es muss noch eine Regel für die Port Translation angelegt werden. In diesem Beispiel muss die Regel den Zugriff aus dem Internet auf den Webserver über den Port 20 zulassen. ...

  • Seite 159: Hide-Nat

    17 Hide-Nat 17 Hide-Nat Unter NAT (Network Address Translation) versteht man, dass IP-Adressen des internen Net- zes durch die IP-Adresse des externen Interfaces ersetzt werden. Dies ist notwendig, weil private interne IP-Adressen im Internet nicht geroutet werden. Die Appliance speichert dabei die Umsetzung, damit Antwortpakete wieder den richtigen Client im internen Netz erreichen.

  • Seite 160: Neuaufspielen Der Firewall Software

    18.1 Vorbereitungen Das Imaging Tool und das Image der Firewall Software sind auf folgender Adresse zum Download bereitgestellt. http://www.terra-firewall.com Installieren Sie das Imaging Tool auf einen lokalen Rechner. Folgende Sie bei der Installati- on den Anweisungen der Installationsroutine. 18.2 Bespielen des USB Speichersticks Mit Hilfe des Imaging Tools kann der USB Speicherstick mit dem Firewall Software Image bespielt werden.

  • Seite 161: Installation Der Firewall Software

    18 Neuaufspielen der Firewall Software Abb. 243 Image af USB Speicherstick übertragen 18.3 Installation der Firewall Software  Schalten Sie die Appliance aus (soweit noch nicht geschehen).  Stecken Sie den mit dem Firewall Software Image bespielten USB Speicherstick in des USB Port der Appliance.

Inhaltsverzeichnis