Securepoint 11
Handbuch zur Securepoint UTM Software Version 11.1
Version des Handbuchs 0.9.2
Securepoint GmbH, Lüneburg
Security Solutions
Securepoint 11
Securepoint Security Solutions 2
Änderungsnachweise
Version Freigabedatum Kapitel Änderungen
0.9 03.11.2012 alle Neuerstellung
0.9.1 14.11.2012 6, 8.1, 9.2, 10.5,
12.1
Aktualisierung
0.9.2 06.12.2012 12.2, 12.3, 12.4
13, 14, 15
Aktualisierung
Securepoint 11
Securepoint Security Solutions 3
Inhaltsverzeichnis
1 Einleitung .......................................................................................................... 8
2 Zur Version 11 .................................................................................................. 9
3 Die Appliances .................................................................................................10
4 Anschluss der Appliance ..................................................................................11
4.1 Piranja und RC 100 .......................................................................................... 11
4.2 RC 200 ............................................................................................................ 12
4.3 RC 300 ............................................................................................................ 12
4.4 RC 400 ............................................................................................................ 13
5 Administrator-Interface .....................................................................................14
5.1 Mit der Appliance verbinden ............................................................................. 14
5.2 Systemanforderung an den Client-Rechner ..................................................... 15
6 Securepoint Cockpit .........................................................................................16
7 Menü Konfiguration ..........................................................................................17
7.1 Konfigurationen verwalten ................................................................................ 18
7.1.1 Konfiguration importieren ................................................................................. 19
7.1.2 Konfiguration hinzufügen ................................................................................. 20
7.1.3 Cloud Backup .................................................................................................. 20
7.2 Setup Wizard ................................................................................................... 21
7.3 Herunterfahren ................................................................................................. 24
7.4 Werkseinstellungen .......................................................................................... 24
7.5 Neu starten ...................................................................................................... 24
7.6 Abmelden ........................................................................................................ 24
8 Netzwerk ..........................................................................................................25
8.1 Servereinstellungen ......................................................................................... 26
8.1.1 Registerkarte Servereinstellungen ................................................................... 26
8.1.2 Registerkarte Administration ............................................................................ 27
8.1.3 Registerkarte Syslog ........................................................................................ 28
8.1.4 Registerkarte SNMP ........................................................................................ 29
Securepoint 11
Securepoint Security Solutions 4
8.2 Netzwerkkonfiguration ..................................................................................... 30
8.2.1 Netzwerkschnittstellen ..................................................................................... 30
8.2.2 WLAN .............................................................................................................. 35
8.2.3 Routing ............................................................................................................ 35
8.2.4 DHCP .............................................................................................................. 36
8.2.5 DHCP-Leases .................................................................................................. 37
8.2.6 DHCP-Relay .................................................................................................... 38
8.3 Zonen .............................................................................................................. 39
8.4 Netzwerk Werkzeuge ....................................................................................... 40
8.4.1 Registerkarte Route ......................................................................................... 40
8.4.2 Registerkarte Ping ........................................................................................... 40
8.4.3 Registerkarte Host ........................................................................................... 41
8.4.4 Registerkarte Traceroute ................................................................................. 43
9 Menü Firewall ..................................................................................................44
9.1 Portfilter ........................................................................................................... 45
9.1.1 Neue Regel anlegen ........................................................................................ 46
9.1.2 Regelgruppe anlegen ....................................................................................... 48
9.1.3 Registerkarte Netzwerkobjekte ........................................................................ 48
9.1.4 Registerkarte Dienste ...................................................................................... 51
9.1.5 Registerkarte Zeitprofile ................................................................................... 53
9.1.6 Registerkarte QOS ........................................................................................... 54
9.2 Implizite Regeln ............................................................................................... 55
9.2.1 Silent Services Drop ........................................................................................ 55
9.2.2 IPSec Traffic .................................................................................................... 56
9.2.3 IPSec HideNAT ................................................................................................ 56
9.2.4 VPN ................................................................................................................. 57
10 Menü Anwendungen ........................................................................................58
10.1 HTTP Proxy ..................................................................................................... 59
10.1.1 Allgemein ......................................................................................................... 59
10.1.2 Virusscan ......................................................................................................... 60
Securepoint 11
Securepoint Security Solutions 5
10.1.3 Bandbreite ....................................................................................................... 61
10.1.4 Application Blocking ......................................................................................... 62
10.1.5 SSL-Interception .............................................................................................. 63
10.1.6 Webfilter .......................................................................................................... 64
10.1.7 Transparent Mode............................................................................................ 69
10.2 Reverse Proxy ................................................................................................. 70
10.2.1 Servergruppen ................................................................................................. 70
10.2.2 ACL Sets ......................................................................................................... 71
10.2.3 Sites ................................................................................................................ 73
10.2.4 Einstellungen ................................................................................................... 74
10.3 POP3 Proxy ..................................................................................................... 75
10.4 Mailrelay .......................................................................................................... 76
10.4.1 Allgemein ......................................................................................................... 77
10.4.2 Smarthost ........................................................................................................ 77
10.4.3 Relaying ........................................................................................................... 78
10.4.4 SMTP Routen .................................................................................................. 79
10.4.5 Greylisting ........................................................................................................ 80
10.4.6 Domain Mapping .............................................................................................. 84
10.4.7 Erweitert .......................................................................................................... 85
10.5 Mailfilter ........................................................................................................... 87
10.5.1 Filterregeln ....................................................................................................... 87
10.5.2 Content-Filter ................................................................................................... 89
10.5.3 URL-Filter ........................................................................................................ 90
10.5.4 Mailfilter Einstellungen ..................................................................................... 91
10.6 VoIP Proxy ....................................................................................................... 92
10.6.1 Allgemein ......................................................................................................... 92
10.6.2 Provider ........................................................................................................... 92
10.7 IDS .................................................................................................................. 93
10.7.1 Ungültige TCP Flags ........................................................................................ 93
10.7.2 Trojaner ........................................................................................................... 93
Securepoint 11
Securepoint Security Solutions 6
10.8 Anwendungsstatus........................................................................................... 94
11 Menü VPN .......................................................................................................95
11.1 Globale VPN Einstellungen .............................................................................. 96
11.1.1 Allgemein ......................................................................................................... 96
11.1.2 Nameserver ..................................................................................................... 96
11.2 IPSec ............................................................................................................... 97
11.2.1 Site-to-Site ....................................................................................................... 97
11.2.2 Site-to-End (Roadwarrior) .............................................................................. 100
11.3 SSL VPN ....................................................................................................... 103
11.3.1 Roadwarrior-Server ........................................................................................ 104
11.3.2 Site-to-Site-Client ........................................................................................... 105
11.3.3 Site-to-Site Server.......................................................................................... 106
11.4 PPTP ............................................................................................................. 107
11.5 L2TP .............................................................................................................. 108
11.6 Clientless VPN ............................................................................................... 109
12 Menü Authentifizierung .................................................................................. 110
12.1 Benutzer ........................................................................................................ 111
12.1.1 Neuen Benutzer hinzufügen ........................................................................... 111
12.2 Externe Authentifizierung ............................................................................... 115
12.2.1 Radius ........................................................................................................... 115
12.2.2 LDAP ............................................................................................................. 115
12.2.3 Active Directory .............................................................................................. 116
12.3 Zertifikate ....................................................................................................... 117
12.3.1 CA erstellen ................................................................................................... 118
12.3.2 Zertifikat erstellen........................................................................................... 119
12.3.3 CA und Zertifikate importieren ....................................................................... 120
12.3.4 CA und Zertifikate exportieren ....................................................................... 120
12.3.5 CA und Zertifikate löschen ............................................................................. 121
12.4 RSA-Schlüssel ............................................................................................... 122
12.4.1 Liste der RSA Schlüssel................................................................................. 123
Securepoint 11
Securepoint Security Solutions 7
12.4.2 RSA Schlüssel anlegen ................................................................................. 123
12.4.3 RSA Schlüssel exportieren ............................................................................ 124
12.4.4 RSA Schlüssel importieren ............................................................................ 124
13 Menü Extras................................................................................................... 125
13.1 CLI ................................................................................................................. 125
13.2 Registrieren ................................................................................................... 126
13.3 Firmware Updates.......................................................................................... 127
13.4 Erweiterte Einstellungen ................................................................................ 128
13.4.1 Registerkarte Allgemein ................................................................................. 128
13.4.2 Registerkarte Templates ................................................................................ 129
14 Live Log ......................................................................................................... 130
15 Abbildungsverzeichnis ................................................................................... 131
1 Einleitung Piranja und RC 100 Securepoint 11
Securepoint Security Solutions 8
1 Einleitung
Das Internet als Informations- und Kommunikationsmedium ist aus dem heutigen Alltag
nicht mehr wegzudenken. Weil viele Dinge online getätigt werden, besteht oftmals eine
Dauerverbindung des Computers oder des Netzwerkes zum Internet.
Dass das Internet auch als Gefahrenquelle gesehen werden muss, wird dabei oftmals
außer Acht gelassen. Wenn auf diesen Systemen vertrauliche Daten gespeichert wer-
den, ist dies besonders kritisch, da die Sicherheit dieser Daten dann nicht gewährleistet
werden kann. Sei es, dass die Daten ausgespäht werden oder es zu einem Datenverlust
kommt; zum Beispiel hervorgerufen durch einen Computervirus.
Hier greifen Software Firewalls, die auf den Rechnern installiert sind oft zu kurz, weil die
Schadprogramme dann schon im lokalen Netz sind.
Es ist also ein System gefragt, welches zwischen dem Internet und dem lokalen Netz-
werk platziert wird und so das Netzwerk vor Angriffen und Schadprogrammen schützt
und die Kommunikation mit dem Internet überwacht.
Das Securepoint Unified Threat Management (UTM) bietet eine Komplettlösung mit vie-
len Sicherheits-Features hinsichtlich Netzwerk-, Web- und E-Mail-Sicherheit. So bietet
das System Firewall-, IDS- und VPN-Funktionalität, Proxies, automatischem Virenscan-
ning, Web-Content- und Spam-Filtering, Clustering, Hochverfügbarkeit- und Multipath –
Routing-Funktionalität. Außerdem wird WLAN mit virtuellen Netzen und UTMS Anbin-
dung unterstützt.
Die Verbindung in einem System verringert den administrativen und integrativen Auf-
wand im Gegensatz zu Einzellösungen. Zur Administration der reichhaltigen Funktionen
dient ein klar strukturiertes Administrator-Interface.
Die Securepoint UTM Lösung ist als reine Softwareversion oder in verschiedenen spezi-
ell abgestimmten Appliances erhältlich. So deckt Securepoint verschiedenste Anforde-
rungen vom kleinen Heim- oder Büronetzwerk bis hin zu großen Firmennetzwerken mit
mehreren hundert Rechnern ab.
2 Zur Version 11 Piranja und RC 100 Securepoint 11
Securepoint Security Solutions 9
2 Zur Version 11
Die Version 11 der Securepoint UTM Software ist komplett neu entwickelt. Das Basissystem
ist neu und die gesamte Befehlsreferenz erneuert. Dies bemerken Sie nur, wenn Sie die
Konfiguration der Appliance auch über das Command Line Interface (CLI) vorgenommen
haben.
Auch die Konfigurationsoberfläche ist neu aufgesetzt. Ein erweiterter Funktionsumfang und
Neuerungen, die die Konfiguration weiter vereinfachen haben in der Oberfläche Einzug er-
halten. Bei einem Upgrade auf die neue Version werden Sie sich aber schnell zurechtfinden,
weil die Anordnung der Funktionen erhalten geblieben ist.
3 Die Appliances Piranja und RC 100 Securepoint 11
Securepoint Security Solutions 10
3 Die Appliances
Die Firewall Software wird auf Hardware installiert, welche extra für den Zweck des Netz-
werkschutzes konzipiert sind. Im Produktangebot von Securepoint sind 7 Appliances erhält-
lich. Sie sind an verschiedene Netzwerkgrößen angepasst und somit variieren die Verarbei-
tungsgeschwindigkeit, Speicherplatz, Durchsatzleistung und die verfügbaren Schnittstellen
der Geräte.
Gerät Bild Benutzer FW Durchsatz VPN-Durchsatz
Piranja
bis 5 100 Mbit/s 70 Mbit/s
RC 100
10 bis 25 100 Mbit/s 100 Mbit/s
RC 200
25 bis 50 400 Mbit/s 260 Mbit/s
RC 300
50 bis 100 1000 Mbit/s 700 Mbit/s
RC 310
50 bis 100 1000 Mbit/s 1000 Mbit/s
RC 400
100 bis 500 1000 Mbit/s 1000 Mbit/s
RC 410
100 bis 500 1000 Mbit/s 1000 Mbit/s
Gerät CPU RAM HDD Interfaces USB Ports
Piranja VIA C3 / Eden 533
MHz
1 GB Compact Flash
512 MB
3 x 10/100 Ether-
net Ports
1
RC 100 VIA C7 1 GHz 1 GB 80 GB 3 x 10/100 Ether-
net Ports
1
RC 200 Intel M 1,0 GHz 1 GB 80 GB 4 x 10/100/1000
Ethernet Ports
5
RC 300 Intel Core2 Duo E4500
2 x 2,2 GHz
1 GB 80 GB 6 x 10/1000
Ethernet Ports
4
RC 310 Pentium D
2 x 3,4 GHz
1 GB 2 x 80 GB 6 x 10/1000
Ethernet Ports
4
RC 400 Xeon 5335
1,8 GHz
2 GB 2 x 73 GB 10 x 10/1000
Ethernet Ports
4
RC 410 Xeon 1,8 GHz 2 GB 2 x 73 GB 10 x 10/1000
Ethernet Ports
4
4 Anschluss der Appliance Piranja und RC 100 Securepoint 11
Securepoint Security Solutions 11
4 Anschluss der Appliance
Die Appliance wird in der Netzwerkstruktur hinter dem Modem platziert. Wird hinter der
Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub zwischenge-
schaltet werden. Soll nur ein Computer angeschlossen werden, kann dieser direkt mit
der Appliance verbunden werden.
Modem Securepoint
Appliance
Switch
Computer n
Computer 1
Computer 2
Internet
Abb. 1 Position der Appliance im Netzwerk
4.1 Piranja und RC 100
Die Piranja und die RC 100 Appliances verfügen über 3 Ethernet Ports (LAN 1 bis LAN 3),
eine serielle Schnittstelle (D-Sub) und zwei USB Anschlüsse.
Die drei Netzwerkanschlüsse sind dabei für verschiedene Netze vorgesehen. Der Netzwerk-
adapter eth0 wird über LAN 1 erreicht und ist für das externe Netzwerk (Internet). LAN 2
spricht den zweiten Netzwerkadapter eth1 an und ist für das interne lokale Netz. Der Port
LAN 3 benutzt den Netzwerkadapter eth2 und ist für eine demilitarisierte Zone (DMZ) vorge-
sehen, kann aber auch für ein zweites internes Netz oder einen zweiten externen Anschluss
benutzt werden.
Abb. 2 Rückansicht der Piranja bzw. der RC 100
Anschluss Interface Netz
LAN 1 eth0 extern (Internet)
LAN 2 eth1 intern
LAN 3 eth2 DMZ
4 Anschluss der Appliance RC 200 Securepoint 11
Securepoint Security Solutions 12
4.2 RC 200
Die RC 200 besitzt 4 LAN Anschlüsse. Die Belegung der ersten drei Anschlüsse ist identisch
mit dem vorherigen beschriebenen. Der Anschluss LAN 4 ist an dem Netzwerkadapter eth3
gebunden und steht zur freien Verfügung. Es könnte an diesem Port noch ein weiteres inter-
nes Netz, eine weitere DMZ oder ein zweiter Internetanschluss angeschlossen werden.
Abb. 3 Rückansicht einer RC 200
Anschluss Interface Netz
LAN 1 eth0 extern (Internet)
LAN 2 eth1 intern
LAN 3 eth2 DMZ
LAN 4 eth3 freie Verfügung
4.3 RC 300
Die RC 300 verfügt über 6 LAN Anschlüsse. Diese sind, im Gegensatz zu den kleiner dimen-
sionierten Appliances, von rechts nach links durchnummeriert. An dem Gerät sind die Ports
nicht beschriftet. Die Abbildung soll die Zuordnung erleichtern.
Abb. 4 Frontansicht der RC 300 (schematisch)
Anschluss Interface Netz
LAN 1 eth0 extern (Internet)
LAN 2 eth1 intern
LAN 3 eth2 DMZ
LAN 4 eth3 freie Verfügung
LAN 5 eth4 freie Verfügung
LAN 6 eth5 freie Verfügung
4 Anschluss der Appliance RC 400 Securepoint 11
Securepoint Security Solutions 13
4.4 RC 400
Diese Appliance verfügt über 8 LAN Anschlüsse. Die Buchsen sind in zwei Viererblöcken
angeordnet. Die Nummerierung erfolgt von oben nach unten und dann von links nach rechts.
LAN 1 bis LAN 3 sind wieder für die vordefinierten Netze bestimmt. Auch hier sind die Ports
am Gerät nicht beschriftet. Entnehmen Sie die Zuordnung bitte der Abbildung.
Abb. 5 Frontansicht der RC 400 (schematisch)
Anschluss Interface Netz
LAN 1 eth0 extern (Internet)
LAN 2 eth1 intern
LAN 3 eth2 DMZ
LAN 4 eth3 freie Verfügung
LAN 5 eth4 freie Verfügung
LAN 6 eth5 freie Verfügung
LAN 7 eth6 freie Verfügung
LAN 8 eth7 freie Verfügung
LAN 1 LAN 3
LAN 2 LAN 4 LAN 6 LAN 8
LAN 5 LAN 7
5 Administrator-Interface Mit der Appliance verbinden Securepoint 11
Securepoint Security Solutions 14
5 Administrator-Interface
5.1 Mit der Appliance verbinden
Sie erreichen die Appliance in Ihrem Browser über die IP-Adresse des internen Interfaces
auf den Port 11115 mit dem https (SSL) Protokoll.
Wenn Sie die IP-Adresse noch nicht geändert haben, ist diese vom Werk aus auf
192.168.175.1 eingestellt. Der Port 11115 wird nicht geändert und ist für die Administration
reserviert.
Der Benutzername und das Kennwort sind ebenfalls mit Werkseinstellungen vorbelegt.
Benutzername: admin
Kennwort: insecure
Starten Sie Ihren Internetbrowser und geben Sie in der Adresszeile folgendes ein:
https://192.168.175.1:11115/
Wenn Sie die IP-Adresse bei der Installation schon geändert haben, ersetzen Sie die
IP-Adresse 192.168.175.1 durch die von Ihnen gesetzte IP-Adresse.
Es erscheint der Dialog LOGIN.
Abb. 6 Login Dialog
Geben Sie im Feld Benutzername admin ein.
Im Feld Kennwort geben Sie insecure ein oder wenn Sie das Kennwort für den
Benutzer admin schon geändert haben das neue Kennwort.
Klicken Sie anschließend auf Login.
Sie werden an der Firewall angemeldet und es erscheint der Startbildschirm.
Hinweis: Ändern Sie schnellstmöglich Ihr Kennwort unter dem Navigationspunkt Authenti-
fizierung, Menüpunkt Benutzer.
Verwenden Sie für Ihr neues Kennwort Groß- und Kleinbuchstaben, Ziffern und
Sonderzeichen. Ihr Kennwort sollte mindestens acht Zeichen lang sein.
5 Administrator-Interface Systemanforderung an den Client-Rechner Securepoint 11
Securepoint Security Solutions 15
5.2 Systemanforderung an den Client-Rechner
Betriebssystem: ab MS Windows XP und Linux
Prozessor: Pentium 4 ab 1.8 GHz oder entsprechend
Speicher: 512 MB oder mehr
Browser: optimiert für MS Internet Explorer 7/8 und Mozilla Firefox 3
6 Securepoint Cockpit Systemanforderung an den Client-Rechner Securepoint 11
Securepoint Security Solutions 16
6 Securepoint Cockpit
Über einen Webbrowser erreichen Sie das Administrationsinterface der Securepoint Appli-
ance. Dieses Interface ist die zentrale Oberfläche zur Verwaltung der Appliance. Die Ober-
fläche ist schon von der Securepoint 10 bekannt, wurde aber in vielfältiger Hinsicht verbes-
sert.
Abb. 7 Securepoint 11 Cockpit
Die Anzeige des Administrationsinterface ist fast uneingeschränkt anpassbar. Das Interface
umfasst fünf Arbeitsoberflächen, auf die die Fenster, die den Status und die Einstellungen
der Dienste und Hardware anzeigen, verteilt werden können. So können z.B. zusammenge-
hörige Fenster gruppiert werden.
Am unteren Bildschirmrand ist eine Auswahl an Statusanzeigen aufgelistet, die per Ziehen
und Ablegen (Drag-and-drop) auf der Arbeitsoberfläche positioniert werden können. Die An-
ordnung erfolgt dabei zeilenweise. In einer Zeile werden immer zwei Fenster nebeneinander
angeordnet.
Die Auswahl der Statusanzeigen ist standardmäßig verborgen und nur als schmaler Balken
dargestellt. Die Auswahl wird durch das Betätigen des Pfeilsymbols auf der linken Seite des
Balkens geöffnet.
Über die Hauptmenüleiste gelangt man zu Konfigurations- und Verwaltungsfenster, die als
Popupfenster geöffnet werden.
7 Menü Konfiguration Systemanforderung an den Client-Rechner Securepoint 11
Securepoint Security Solutions 17
7 Menü Konfiguration
Alle Einstellungen der Appliance werden in einer Konfiguration gespeichert. Befehle, die di-
rekt die Konfiguration betreffen und grundlegende Systembefehle sind in dem Menü Konfi-
guration zu finden. Außerdem kann hier das System aus den Auslieferungszustand zu-
rückgesetzt werden.
Abb. 8 Dropdownmenü des Menüpunktes Konfiguration
Bezeichnung Erklärung
Konfigurationsverwal-
ten
Die Konfigurationsverwaltung ruft eine Liste der vorhandenen Konfigurati-
onsdateien auf. Hier hat man die Möglichkeit die Dateien zu exportieren, zu
drucken und zu löschen. Außerdem kann man Konfigurationen laden, Start-
konfigurationen setzen und Konfigurationen importieren oder aktuelle Ein-
stellungen in einer neuen Datei speichern.
Installations-
assistent
Der Installationsassistent hilft Ihnen bei der Einrichtung der grundlegenden
Einstellungen.
Neu starten Fährt die Appliance runter und startet sie anschließend neu.
Herunterfahren Das System wird gestoppt und heruntergefahren.
Werkseinstellungen Setzt die Konfiguration auf Werkseinstellung zurück.
Abmelden Abmeldung vom Administrator-Interface.
7 Menü Konfiguration Konfigurationen verwalten Securepoint 11
Securepoint Security Solutions 18
7.1 Konfigurationen verwalten
Alle Einstellungen der Firewall werden in einer Konfigurationsdatei gespeichert. Unter dem
Punkt Konfigurationen verwalten des Menüs Konfiguration gelangen Sie zu einer
Liste aller gespeicherten Konfigurationsdateien.
Gehen Sie in der Navigationsleiste auf den Punkt Konfiguration und klicken Sie im
Dropdownmenü auf den Eintrag Konfigurationen verwalten.
Es öffnet sich der Dialog Konfigurationen.
Abb. 9 Konfigurationsverwaltung
Das Fenster Konfigurationsverwaltung verfügt über die zwei Registerkarten Lokale Konfi-
gurationen und Cloud Backup. Die Registerkarte Lokale Konfigurationen zeigt die
auf der Appliance gespeicherte Konfigurationen.
Die Konfigurationen werden in einer Tabelle aufgelistet. Die Konfigurationen sind nach dem
Namen sortiert aufgelistet. Direkt oberhalb der Tabelle wird angezeigt, wie viele Einträge ein
Tabellenblatt aufnimmt. Außerdem kann über die Suchoption auf der rechten Seite nach ei-
ner Konfiguration gesucht werden.
Unterhalb der Tabelle wird die Gesamtanzahl der Konfigurationen angezeigt, sowie Naviga-
tionsschaltfläche für die Tabellenblätter.
In der Spalte Status werden Eigenschaften der jeweiligen Konfiguration angezeigt.
Ein Stern Symbol vor der Konfigurationsdatei kennzeichnet die Startkonfiguration. Dies ist
die Konfiguration, die geladen wird, wenn die Appliance eingeschaltet wird (z. B bei einem
Reboot).
Ein Herz Symbol kennzeichnet die aktuell geladene Konfiguration.
7 Menü Konfiguration Konfigurationen verwalten Securepoint 11
Securepoint Security Solutions 19
Die Schaltflächen hinter den Konfigurationsnamen symbolisieren Aktionen, die man auf die
Konfigurationsdateien anwenden kann.
Schaltfläche Bedeutung Beschreibung
Speichern Speichert die aktuelle Konfiguration in diese Datei.
Export Exportiert die Konfiguration und speichert diese im DAT Format ab.
Startkonfig. Setzt die jeweilige Konfiguration als Startkonfiguration.
Laden Lädt die jeweilige Konfiguration.
Löschen Löscht die jeweilige Konfiguration.
Unter der Liste der gespeicherten Konfigurationen befinden sich die Schaltflächen
+ Konfiguration importieren und + Konfiguration hinzufügen.
7.1.1 Konfiguration importieren
Eine bestehende Konfiguration kann auf das System importieren werden. Einzige Bedingung
dafür ist, dass die externe Datei im DAT Format vorliegen muss.
Abb. 10 Konfiguration importieren
Klicken Sie auf den Schaltfläche + Konfiguration importieren.
Es öffnet sich der Dialog Import.
Klicken Sie auf Datei auswählen und wählen Sie die gewünschte Datei aus.
Geben Sie im Feld Name einen Namen ein, unter der die Konfiguration gespeichert
werden soll.
Klicken Sie danach auf Import.
Die Konfigurationsdatei wird auf der Appliance gespeichert.
7 Menü Konfiguration Konfigurationen verwalten Securepoint 11
Securepoint Security Solutions 20
7.1.2 Konfiguration hinzufügen
Durch das Hinzufügen einer Konfiguration wird eine „leere“ Konfiguration im System ange-
legt. Ändert man die Einstellungen der Appliance können diese unter der neuen Konfigurati-
on gespeichert werden, ohne die bestehende Konfiguration zu überschreiben.
Bevor Sie die Einstellungen ändern, sollten Sie die aktuelle Konfiguration unter der neu er-
stellten Datei speichern. Anschließend laden Sie die neue Konfiguration und nehmen die
gewünschten Änderungen vor. So wird sichergestellt, dass die vorherige Konfiguration nicht
verändert wird.
Abb. 11 neue Konfiguration anlegen
Klicken Sie auf den Schaltfläche + Konfiguration hinzufügen.
Es öffnet sich der Dialog Hinzufügen.
Geben Sie im Feld Name einen Namen für die neue Konfiguration ein.
Klicken Sie danach auf Speichern.
Die Konfigurationsdatei wird auf der Appliance gespeichert.
7.1.3 Cloud Backup
Unter der Registerkarte Cloud Backup im Fenster Konfigurationsverwaltung, können
Sie ein Backup der Konfiguration in der Securepoint Cloud ablegen. Die Backups werden
also auf einen Securepoint Server gespeichert und sind von überall verfügbar.
Einstellungen zum Server und Authentifizierung müssen nicht vorgenommen werden. Diese
Daten werden dem Lizenzzertifikat entnommen. Das Zertifikat wird auch zur Authentifizie-
rung benutzt.
7 Menü Konfiguration Setup Wizard Securepoint 11
Securepoint Security Solutions 21
Abb. 12 Registerkarte Cloud Backup
Zum Anlegen eines Backups klicken Sie auf die Schaltfläche Backup der aktuel-
len Konfiguration erstellen.
Als Name des Backups werden das Speicherdatum und die Uhrzeit benutzt.
Die Backups können mit einem Kennwort gesichert werden.
Klicken sie dazu auf die Schaltfläche Kennwort setzen. Geben Sie in den Dialog
das Kennwort ein und bestätigen Sie dieses durch nochmalige Eingabe. Schließen
Sie den Vorgang mit Speichern ab.
7.2 Setup Wizard
Die Administratoroberfläche bietet einen Setup Assistenten an, der Ihnen bei der Anpassung
der Appliance an Ihre Netzwerkumgebung behilflich ist.
Der Assistent legt in sechs Schritten die wichtigsten Netzwerkverbindungen an.
Abb. 13 intere Firewall IP-Adresse
Starten Sie den Setup Assistenten über den Eintrag Setup Assistent im Menü-
punkt Konfiguration.
Im ersten Schritt geben Sie die interne IP-Adresse der Firewall an.
7 Menü Konfiguration Setup Wizard Securepoint 11
Securepoint Security Solutions 22
Abb. 14 Auswahl der Internetverbindung
Im zweiten Schritt geben Sie an, wie die Firewall mit dem Internet verbunden ist.
Zur Auswahl stehen:
DSL-PPPoE Die Verbindung wird über ein DSL Modem
hergestellt. Die Firewall übernimmt die Anmeldung.
Ethernet mit statischer IP Die Firewall ist in ein Ethernet Netzwerk
eingebunden und verfügt über eine statische
IP-Adresse.
Kabel-Modem mit DHCP Die Verbindung wird über ein Kabel-Modem
hergestellt. Dieses weißt der Firewall eine
IP-Adresse per DHCP zu.
Abb. 15 Daten für die Internetverbindung angeben
Der dritte Schritt ist der Verbindungsart aus Schritt zwei angepasst.
Bei einer DSL PPPoE Verbindung wird nach dem Benutzernamen und dem
Kennwort gefragt, welches vom Internet Provider zugewiesen wurde.
Bei einer Ethernet Verbindung muss die statische externe IP-Adresse der
Firewall und die IP-Adresse des Default Gateways angegeben werden. Das
Default Gateway ist die IP-Adresse des Geräts, was die Verbindung zum Internet
herstellt.
Da der dritten Methode wird die IP-Adresse automatisch bezogen. Der Assistent
wechselt zu Schritt vier.
7 Menü Konfiguration Setup Wizard Securepoint 11
Securepoint Security Solutions 23
Abb. 16 Netzwerkbereich der DMZ
Im vierten Schritt können Sie einen Adressbereich für die demilitarisierte Zone (DMZ)
anlegen.
Geben Sie die IP-Adresse und den Bitcount für den Netzwerkbereich der DMZ an.
Abb. 17 Ändern des Adminstrotorkennworts
Der fünfte Schritt verlangt die Änderung des Administrator Kennworts. welches bei Ausliefe-
rungszustand insecure lautet.
Geben Sie im Feld Benutzer den Namen des Nutzernamen des Administrators an.
Vorgabe ist admin.
Geben Sie im Feld Kennwort ein Kennwort für den Administrator ein.
Bestätigen Sie das Kennwort durch eine wiederholte Eingabe im Feld Kennwortbe-
stätigung.
7 Menü Konfiguration Herunterfahren Securepoint 11
Securepoint Security Solutions 24
Abb. 18 Einspielen der Lizenz
Der sechste Schritt kann eine Lizenz eingespielt werden.
Suchen Sie über die Schaltfläche Datei auswählen die Lizenz von Ihrem System
aus.
Klicken Sie auf Fertigstellen, um die Angaben zu übernehmen.
Der Assistent übernimmt die Änderungen und startet die Appliance neu.
Melden Sie sich an der Appliance mit den neuen Daten an.
7.3 Herunterfahren
Dieser Punkt stoppt das System, schaltet es aber weder aus noch wird es neu gestartet.
7.4 Werkseinstellungen
Setzt das System in den Auslieferungszustand zurück.
Beachten Sie: Bei dieser Zurücksetzung werden alle Konfigurationen gelöscht.
7.5 Neu starten
Dieser Punkt des Dropdownmenüs startet die Appliance neu. Beim Neustart wird die Start-
konfiguration geladen. Gegebenenfalls müssen Sie eine Startkonfiguration vor dem Reboot
festlegen.
7.6 Abmelden
Hier melden Sie sich vom System ab. Das Erscheinungsbild des Administrator-Interface und
die Spracheinstellungen werden bei jeder Abmeldung für den jeweiligen Benutzer gespei-
chert.
8 Netzwerk Abmelden Securepoint 11
Securepoint Security Solutions 25
8 Netzwerk
Der Bereich Netzwerk beinhaltet Server und Interface Einstellungen, sowie nützliche Netz-
werk Programme.
Abb. 19 Dropdownmenü des Menüpubktes Netzwerk
Bezeichnung Erklärung
Appliance Eigenschaften Hier werden grundlegende Einstellungen der Appliance vorgenommen:
Firewall-Name, DNS Server IP-Adressen, Syslog-Server IP-Adressen,
Zeitserver IP-Adresse und Zeitzone, Anzahl der gleichzeitigen Verbin-
dungen und Qualität der Regelprotokolleinträge
Netzwerkkonfiguration Einstellungen zum Netzwerk:
IP-Adressen und Subnetze der Interfaces, DSL Anbindung, Routing und
DHCP Server Einstellungen
Zoneneinstellungen Hier können Sie Interfaces Zonen zuordnen und neue Zonen anlegen.
Netzwerkwerkzeuge Eingabe für Lookup, Ping und Anzeigen der Routing Tabelle
8 Netzwerk Servereinstellungen Securepoint 11
Securepoint Security Solutions 26
8.1 Servereinstellungen
In diesem Bereich werden zum einen der Name der Appliance gesetzt und zum anderen IP-
Adressen zu DNS Servern, Time Server und Syslog Server angegeben.
8.1.1 Registerkarte Servereinstellungen
Abb. 20 Name, DNS Server und NTP Server angeben
Auf dieser Registerkarte müssen der Appliancename, die Domain Name Service Server und
der Network Time Protocol Server gesetzt werden.
Tragen Sie im Feld Firewallname den Domainnamen der Appliance ein.
Tragen Sie im Feld Primärer Nameserver die IP-Adresse des Domain Name Ser-
vice Servers ein.
Geben Sie ggf. die IP-Adresse eines zweiten Nameservers im Feld Sekundärer
Nameserver ein.
Wenn Sie keinen Nameserver oder die IP-Adresse 127.0.0.1 angeben, wird der Ap-
pliance DNS Dienst verwendet.
Im Feld Aktuelles Datum wird die verwendete Systemzeit angezeigt. Die Schaltfläche
rechts neben dem Feld aktualisiert den Eintrag.
Geben Sie im Feld NTP-Server die IP-Adresse oder den Hostnamen eines Zeitser-
vers ein und wählen Sie im Auswahlfeld Zeitzone Ihre Zeitzone aus.
Unter Maximale aktive Verbindungen können Sie die Anzahl der TCP/IP Verbin-
dungen beschränken. Die Zahl muss zwischen 16.000 und 2.000.000 liegen.
Wählen Sie bei Last-Rule-Logging die Protokollierungsgenauigkeit für verworfene
Pakete.
8 Netzwerk Servereinstellungen Securepoint 11
Securepoint Security Solutions 27
8.1.2 Registerkarte Administration
Abb. 21 Netze oder IP-Adressen zur Administration
Auf dieser Registerkarte tragen Sie Netze oder IP-Adressen ein, die auf das Administrations-
interface der Appliance zugreifen dürfen.
Klicken Sie auf die Schaltfläche +IP / Netzwerk hinzufügen, um weitere Einträge
einzufügen.
Geben Sie im öffnenden Dialog die IP-Adresse oder das Netzwerk ein. Achten Sie
darauf, dass Sie den richtigen Bitcount verwenden.
Klicken Sie auf die Schaltfläche Speichern.
Die neue Eintragung erscheint in der Liste.
8 Netzwerk Servereinstellungen Securepoint 11
Securepoint Security Solutions 28
8.1.3 Registerkarte Syslog
Im Regelwerk der Appliance kann der Nutzer festlegen, ob und mit welcher Genauigkeit das
Zutreffen einer Regel protokolliert wird. Diese Protokolldaten in Form von Syslog-Meldungen
können auf einem Server gespeichert werden. So können zu einem späteren Zeitpunkt Log-
meldungen analysiert werden.
Es kann grundsätzlich auf mehreren Syslog-Servern gleichzeitig protokolliert werden.
Abb. 22 Syslog-Server angeben
Um einen Server für die Protokolldaten hinzuzufügen, klicken Sie auf Syslog Ser-
ver hinzufügen.
Es öffnet sich der Dialog Syslog Server hinzufügen.
Tragen Sie im Eingabefeld die IP-Adresse oder den Hostnamen des Servers ein und
den zu verwendenden Port (standardmäßig 514). Klicken Sie dann auf Hinzufügen.
Sie können eingetragene Server durch das Abfalleimersymbol wieder löschen.
8 Netzwerk Servereinstellungen Securepoint 11
Securepoint Security Solutions 29
8.1.4 Registerkarte SNMP
Das Simple Network Management Protocol (SNMP) ist ein Netzwerkprotokoll zur zentralen
Überwachung von Netzwerkgeräten. Sie können von der Appliance mit Hilfe dieses Proto-
kolls die Werte Interface-Durchsatz, Prozessor- und Speicherauslastung auslesen.
Es werden die Protokollversion 1 und 2c unterstützt.
Zum Auslesen der Daten muss der entfernte Rechner als berechtigter Host eingetragen sein.
Außerdem muss auf dem Rechner ein SNMP Client sowie der SNMP Dienst installiert und
der Community String bekannt sein.
Abb. 23 SNMP Einstellungen setzen
Aktivieren Sie die SNMP Version, die Sie unterstützen möchten. Sie können beide
Versionen gleichzeitig verwenden.
Setzen Sie im Feld Community String einen Schlüssel ein. Dieser muss dem Be-
nutzer mitgeteilt werden.
Im Bereich Zugriff vom Netzwerk aktivieren, geben Sie unten eine IP-Adresse
oder ein Netzwerk an, von denen der Zugriff per SNMP erlaubt werden soll.
Wählen Sie dazu die passende Netzwerkmaske und klicken Sie auf Netzwerk hin-
zufügen.
Die IP-Adresse bzw. das Netzwerk wird in der Liste hinzugefügt.
Um den Zugriff zu ermöglichen, muss im Portfilter noch eine entsprechende Regel
angelegt werden.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 30
8.2 Netzwerkkonfiguration
Über diesen Punkt verwalten Sie die physikalischen und virtuellen Interface, die WLAN Ein-
stellungen, das Routing und den DHCP Dienst.
8.2.1 Netzwerkschnittstellen
Auf der Registerkarte Netzwerkschnittstellen werden die Netzwerkkarten der Appliance mit
deren IP-Adressen und Zonen angezeigt. Hier können Sie auch Schnittstellen für ver-
schiedenste Anbindungen erstellen. Die Konfiguration der Schnittstellen erfolgt dann über
den Bearbeitungsdialog der einzelnen Schnittstellen.
Neu ist die Unterstützung von IPv6. Sie haben die Möglichkeit Ihr internes Netzwerk auf IPv6
umzustellen. Die Verbindung zum globalen Netz benötigen Sie dann einen Tunnelbroker-
dienstleister, der die IPv6 Datenpakete über einen IPv4 Tunnel routet.
Abb. 24 Registerkarte Netzwerkschnittstellen
Schnittstellen Typ Beschreibung
6in4 Schnittstelle zur Verbindung mit externen IPv6 Tunnelbrokern.
VDSL Schnittstelle zur Verbindung zum VDSL.
GSM Schnittstelle zur Verbindung zum Mobilfunknetz.
PPPoE Schnittstelle zur Verbindung zum DSL Netz.
PPTP Schnittstelle zur Verbindung zum DSL Netz.
VLAN Schnittstelle zur Erstellung virtueller Netze.
Ethernet Weitere physikalische Netzwerkadapter.
Das Anlegen der Schnittstellen erfolgt jeweils durch einen kleinen Assistenten, der die benö-
tigten Daten Schritt für Schritt abfragt.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 31
8.2.1.1 Schnittstelle bearbeiten
Wenn Sie eine Schnittstelle erstellt haben, können Sie die erweiterten Einstellungen zu der
Schnittstelle bearbeiten. Klicken Sie dazu auf die Schaltfläche mit dem Werkzeugschlüssel-
symbol.
Allgemein
Abb. 25 Registerkarte Allgemein
Im Feld Name kann der Name der Schnittstelle geändert werden.
Aktivieren Sie die Checkbox DHCP, wenn die Schnittstelle die IP-Adresse vom
DHCP Dienst beziehen soll.
Mit der Checkbox Router Advertisement verschickt das Interface Advertisement
an die Clients. Diese konfigurieren anhand dieser automatisch die default Route.
Einstellungen
Abb. 26 Registerkarte Einstellungen
Stellen Sie Im Feld MTU die Maximum Transmission Unit der Schnittstelle ein.
Entscheiden Sie im Feld Autonegotiation, ob die Schnittstelle mit anderen Geräten
die maximale Übertragungsgeschwindigkeit automatisch aushandeln darf.
Stellen sie im nächsten Feld die Geschwindigkeit der Schnittstelle ein.
Stellen Sie bei Duplex ein, ob es sich bei der Schnittstelle eine Vollduplex oder eine
Halbduplex Datenübermittlung benutzt.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 32
IP-Adressen
Abb. 27 Registerkarte IP-Adressen
Tragen Sie weitere IP-Adressen für die Schnittstelle ein, indem Sie die gewünschte
IP-Adresse im unteren Feld eintragen.
Tragen Sie den passenden Bitcount dazu ein.
Klicken Sie dann auf Hinzufügen.
Zonen
Abb. 28 Registerkarte Zonen
Wählen Sie die Zonen für die Schnittstelle, indem Sie auf die entsprechende Zone
klicken.
Möchten Sie mehrere Zonen auswählen, drücken Sie bei der Auswahl die Strg Taste
bzw. die Ctrl-Taste.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 33
DynDNS
Abb. 29 Registerkarte DynDNS
Wenn die Schnittstelle DynDNS benutzt aktivieren Sie dies, indem Sie ein Häkchen in
die Checkbox setzen.
Geben Sie den Hostnamen des Systems ein.
Geben Sie den Benutzer und das Kennwort ein, dass Sie vom DynDNS Anbieter
zugewiesen bekommen haben.
Geben Sie im Feld Server den Server des Anbieters an.
Geben Sie im Feld MX die Domäne für den E-Mail-Empfang an.
QoS
Abb. 30 Registerkarte QoS
Wählen Sie eine Datenraten Einstellung im Feld QoS, die Sie im Portfilter eingestellt
haben.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 34
Fallback
Auf dieser Registerkarte können Sie eine Hotstandby Abfrage konfigurieren.
Abb. 31 Registerkarte Fallback
Wählen Sie im Feld Fallback-Schnittstelle aus, über welche Schnittstelle die Aktivi-
tätsabfragen geschickt werden soll.
Im Feld Ping-check Host tragen Sie den Hostnamen oder die IP-Adresse des
Hauptsystems ein.
Wählen Sie im Feld Ping-check Intervall aus, wie groß der Abstand zwischen den
einzelnen Abfragen sein soll.
Wählen Sie im Feld Ping-check Threshold aus, wie viele Abfragen unbeantwortet
bleiben dürfen, bis die andere Maschine als ausgefallen gilt.
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 35
8.2.2 WLAN
In der Registerkarte kann die Appliance als WLAN Access Point konfiguriert werden.
Abb. 32 Registerkarte WLAN
Klicken Sie auf WLAN Hinzufügen und geben Sie die abgefragten Daten ein.
8.2.3 Routing
Auf dieser Registerkarte können Sie Routeneinträge setzen. Damit legen Sie fest über wel-
ches Gateway oder welche IP-Adresse ein Ziel erreicht wird. Der Standardeintrag (default
route) ist, dass alle Ziele über das interne Gateway erreicht werden.
Abb. 33 Registerkarte Routing
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 36
Abb. 34 Route anlegen / bearbeiten
Klicken Sie auf die Schaltfläche Route hinzufügen.
Geben Sie eventuelle ein Netzwerk im Feld Quellnetzwerk ein. Dies ist nur nötig,
wenn spezielle Routingeinträge für bestimmte Subnetze definiert werden sollen.
Entscheiden Sie sich, ob über eine Gateway-IP oder eine Gateway-Schnittstelle
geroutet werden soll. Geben Sie die Gateway-IP ein oder wählen Sie die Gateway-
Schnittstelle aus.
Geben Sie im Feld Zielnetzwerk das Netzwerk an, welches mit diesem Routingein-
trag erreicht werden soll.
8.2.4 DHCP
Das Dynamic Host Configuration Protocol ermöglicht es, den Clients im internen Netzwerk
automatisch IP-Adressen und weitere Einstellungen zuweisen zu können. Beim Starten ei-
nes Clients im internen Netzwerk fragt das Betriebssystem den DHCP Server ab. Dieser
übermittelt dem Client eine freie IP-Adresse, die IP-Adressen des DNS Servers und des
Standardgateways.
Wenn Sie diesen Dienst nicht nutzen wollen, nehmen Sie hier keine Eintragungen vor und
deaktivieren Sie den Dienst DHCP Server unter dem Punkt Anwendungen Anwen-
dungs.
Abb. 35 Registerkarte DHCP
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 37
Abb. 36 Netzwerkbereich festlegen
Abb. 37 zuständigen Router festlegen
Klicken Sie auf die Schaltfläche Pool Hinzufügen.
Geben Sie einen Namen für den Pool ein.
Bestimmen Sie nun, aus welchem Bereich der DHCP Server Adressen vergeben soll.
Der Bereich muss im lokalen Subnetz liegen. Bedenken Sie hierbei, dass die erste
Adresse (xxx.xxx.xxx.1) meistens an das Standardgateway vergeben ist und somit
nicht mit zum DHCP-Pool gehören darf. Desweiteren sollten Sie ein paar IP-Adressen
für besondere Rechner, die feste IP-Adressen benötigen, vorhalten.
Tragen Sie die untere Grenze des Bereichs unter DHCP Pool Start ein und die
obere Grenze des Bereichs unter DHCP Pool Ende.
Geben Sie im Feld Router die IP-Adresse des Standardgateway ein.
8.2.5 DHCP-Leases
Auf dieser Registerkarte können für Clients IP-Adressen reserviert werden. Der Client be-
kommt bei der Anmeldung im Netzwerk dann immer die gleiche IP-Adresse zugewiesen.
Abb. 38 Registerkarte DHCP Leases
8 Netzwerk Netzwerkkonfiguration Securepoint 11
Securepoint Security Solutions 38
Abb. 39 DHCP Lease hinzufügen
Klicken Sie auf die Schaltfläche Lease hinzufügen.
Geben Sie im Feld Host einen Namen für den Client ein.
Geben Sie im Feld Ethernet die Mac Adresse des Host ein.
Tragen Sie im Feld IP die IP-Adresse ein, die für den Client reserviert werden soll.
8.2.6 DHCP-Relay
Ein DHCP Relay muss konfiguriert werden wenn der DHCP Server mehrere Subnetze ver-
walten soll. Der Relay Dienst nimmt DHCP Anfragen von Clients entgegen und gibt diese an
den zuständigen DHCP Server weiter. Antworten des Servers werden dann in das Subnetz
des Clients zurückgereicht.
Dies kann getrennt für IPv4 und IPv6 definiert werden.
Abb. 40 Registerkarte DHCP Relay
8 Netzwerk Zonen Securepoint 11
Securepoint Security Solutions 39
8.3 Zonen
Dieser Dialog listet alle eingerichteten Zonen der Appliance auf und die zugeordneten Inter-
faces. Die Zonen dienen dazu, die Interfaces und damit daran angeschlossenen Netze von-
einander abzugrenzen oder zu verbinden.
Die wichtigsten Zonen sind schon ab Werk eingestellt. Sie können aber auch noch Zonen
nach Ihren Wünschen hinzufügen. Dies ist insbesondere dann nötig, wenn Sie Interfaces in
der gleichen Zone betreiben möchten, da jede Zone nur einmal vorhanden ist und eine Zone
immer nur einem Interface zugeordnet werden kann.
Abb. 42 neue Zone anlegen
Tragen Sie im Bereich Zone hinzufügen in das Feld Name den Namen für die
neue Zone ein.
Wählen Sie im Dropdownfeld Schnittstelle ein Interface aus, welches dieser Zone
zugeordnet werden soll.
Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
Um Zonen zu löschen, klicken Sie auf das Abfalleimersymbol in der Zeile der be-
treffenden Zone.
Bestätigen Sie die Sicherheitsabfrage mit Löschen.
Die Zone wird entfernt.
Hinweis: Ein zugeordnetes Interface kann nach dem Anlegen in dieser Ansicht nicht mehr
geändert werden. Möchten Sie der Zone ein anderes Interface zuordnen, benut-
zen Sie im Menü Netzwerk den Unterpunkt Netzwerkkonfiguration. In der
Registerkarte Schnittstellen können Sie die Zone für ein Interface bearbeiten.
Abb. 41 Zonen und Interfacebindung
8 Netzwerk Netzwerk Werkzeuge Securepoint 11
Securepoint Security Solutions 40
8.4 Netzwerk Werkzeuge
Der Punkt Netzwerk Werkzeuge öffnet einen Dialog mit drei nützlichen Funktionen, die in der
Netzwerktechnik öfter benutzt werden und deshalb in der Appliance implementiert wurden.
Registerkarte Funktion
Route Zeigt die Routing Einträge der Appliance an.
Ping Ermittlung, ob ein Rechner im Netzwerk erreichbar ist
Host Ermittlung der IP-Adresse(n) eines Host.
Traceroute Der Weg der Datenpakete bis zum Zielrechner.
8.4.1 Registerkarte Route
Abb. 43 Routing Einträge der Appliance
Klicken Sie auf Übertragen, damit die Routing Einträge angezeigt werden.
Wenn Sie IP Version 6 verwenden und sich die entsprechenden Routing Einträge an-
zeigen möchten, aktivieren Sie vorher die Checkbox IPv6.
8.4.2 Registerkarte Ping
Mit einem Ping überprüft man, ob ein bestimmter Rechner im IP-Netzwerk erreichbar ist. Die
Appliance schickt dem Rechner ein ICMP-Echo-Request-Paket den sogenannten Ping und
wartet auf die Antwort des entfernten Computers in Form eines ICMP-Echo-Reply-Pakets (in
diesem Zusammenhang auch als Pong bezeichnet).
8 Netzwerk Netzwerk Werkzeuge Securepoint 11
Securepoint Security Solutions 41
Ist der Rechner nicht erreichbar, zeigt das Programm die Meldung undefined. Es kann aber
auch sein, dass eine Antwort ausbleibt, weil der abgefragte Computer so konfiguriert ist,
dass er Pings nicht beantwortet.
Abb. 44 Ergebnis des Ping Befehls
Wählen Sie im Feld Quelle die IP-Adresse, von der das Ping Paket abgeschickt
werden soll.
Tragen Sie einen Rechnernamen oder eine IP-Adresse in das Feld Ziel ein.
Klicken Sie dann auf Übertragen.
Wenn der Rechner antwortet, wird die Antwortzeit der einzelnen Pakete und die
durchschnittliche Antwortzeit (Average round-time) in Millisekunden angegeben. Au-
ßerdem wird angegeben, wie viele Pakete gesendet (Transmitted) und empfangen
(Received) worden sind.
Antwortet der Rechner nicht, erscheint die Meldung undefined.
8.4.3 Registerkarte Host
Hier kann man den Nameserver abfragen, welche IP ein bestimmter Hostname hat. Es han-
delt sich nur um eine Hostnamenauflösung. Die Umkehrung, von der IP auf den Hostnamen
zu schließen, wird ebenfalls unterstützt. Benutzen Sie dazu den Abfrage Typ PTR.
8 Netzwerk Netzwerk Werkzeuge Securepoint 11
Securepoint Security Solutions 42
Abb. 45 DNS Abfrage
Wählen Sie im Dropdownfeld Abfrage Typ einen Typ aus oder belassen Sie den
Eintrag auf beliebig.
Geben Sie im Feld Hostname einen Rechnernamen ein.
Klicken Sie dann auf Ausführen.
Wenn der Host gefunden werden kann, werden alle zugehörigen IP-Adressen aufge-
listet.
Abfrage Typ
A Gibt die IPv4 Adresse zu dem Hostnamen aus.
AAAA Gibt die IPv6 Adresse zu dem Hostnamen aus.
PTR Gibt den Hostnamen zu einen abgefragten IP-Adresse aus.
MX Mail Exchange
Gibt den E-Mail-Server der Domain zurück.
TXT Dieser Eintrag gibt den Text wieder, der beim DNS frei definierbar ist. Oftmals wer-
den hier Daten von Anti-Spam-Techniken abgelegt (z.B. SPF).
SOA Start Of Authority
Gibt Zonen Details des DNS zurück (Zonenklasse, Seriennummer, Gültigkeitsdauer
usw.).
NS Gibt die Nameserver an, die für diese Zone zuständig sind.
8 Netzwerk Netzwerk Werkzeuge Securepoint 11
Securepoint Security Solutions 43
8.4.4 Registerkarte Traceroute
Mit Traceroute kann der Weg der Datenpakete durch das Netzwerk verfolgt werden. Dabei
werden die Vermittlungsstellen (Hops), die die Pakete passieren bis zum Zielhost angezeigt.
Abb. 46 Anzeige der Hops bis zum Zielhost
Geben Sie im Feld Ziel, eine IP-Adresse oder einen Hostnamen an.
Wenn Sie eine IPv6 Adresse benutzen, aktivieren Sie die Checkbox IPv6.
Klicken Sie auf Ausführen.
Im Anzeigebereich, werden die Vermittlungsstellen, die ein Paket bis zum Ziel pas-
siert aufgelistet.
9 Menü Firewall Netzwerk Werkzeuge Securepoint 11
Securepoint Security Solutions 44
9 Menü Firewall
In diesem Menüpunkt sind alle Funktionen zur Regelerstellung der Firewall enthalten. Der
Punkt Portfilter stellt das Regelwerk dar. Hier werden alle Rechte einzelner Rechner, Rech-
nergruppen, Netzwerke, Nutzer, Nutzergruppen und Geräte verwaltet.
Abb. 47 Dropdownmenü des Menüpunktes Firewall
Bezeichnung Erklärung
Portfilter Hier werden Regeln für den Zugriff von und ins Internet sowie von und zu Geräten
angelegt.
Implizite Regeln Dieser Punkt enthält Standardregeln, die Sie bei Bedarf aktivieren können oder
von der Protokollierung ausnehmen können.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 45
9.1 Portfilter
Das Regelwerk ist das Kernstück der Firewall. Hier werden die Regeln erstellt, nach denen
der gesamte Datenverkehr überwacht wird. Die Regeln sind definierbar in Netzen, Benut-
zern, Diensten und Uhrzeiten. Zusätzlich kann noch eingestellt werden, ob Datenverkehr, der
eine bestimmte Regel betrifft, protokolliert wird.
Standardmäßig wird jeglicher Datenverkehr verworfen, wenn keine Regel angelegt ist, die
den Datenverkehr erlaubt.
Auf weiteren Registerkarten finden Sie die Punkte Netzwerkobjekte, Dienste, Zeitprofile und
QOS (Quality Of Services).
Abb. 48 Portfilter
Die Regeln im Portfilter sind nach folgendem Schema aufgebaut:
Bezeichnung Erklärung
Quelle Von wo wird die Verbindung aufgebaut. Dies kann ein Host oder ein Netz sein.
Ziel Wohin wird die Verbindung aufgebaut. Auch dies kann ein Host oder ein Netz sein.
Dienst Definiert das Protokoll und/oder den Port oder die Ports, die die Verbindung benutzt.
Aktion Legt fest, ob diese Verbindung erlaubt, verweigert oder zurückgewiesen wird.
Zur besseren Übersicht können die Regeln in Gruppen zusammengefasst werden.
Mit dem Werkzeugschlüsselsymbol am Ende der Zeile kann die jeweilige Regel bear-
beitet werden.
Mit dem Abfalleimersymbol am Ende der Zeile kann die jeweilige Regel gelöscht werden.
Regeln und Regelgruppen können per „Drag and Drop“ verschoben werden. Dabei können
Regeln auch von einer Gruppe in eine andere abgelegt werden.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 46
Diese Funktion ist wichtig, da die Regeln nacheinander abgearbeitet werden und daher die
Reihenfolge der Regeln im Regelwerk relevant ist.
Beachten Sie: Damit neue Regeln wirksam werden, müssen Sie in der Portfilter Übersicht
noch auf den Button Aktualisiere Regeln klicken.
Dies gilt auch, wenn Sie die Reihenfolge von bestehenden Regeln verän-
dern.
9.1.1 Neue Regel anlegen
Falls Netzwerkobjekte für Quelle und/oder Ziele der Verbindung noch nicht vorhanden sind,
müssen diese vorher angelegt werden. Das gleiche gilt für Dienste, die von der Verbindung
benutzt werden.
Abb. 49 Dialog zum ANlegen einer neuen Regel
Klicken Sie im Portfilter auf die Schaltfläche Regel hinzufügen.
Es erscheint der Dialog Regel hinzufügen.
Wählen Sie im Bereich Allgemein die gewünschten Einstellungen aus. Folgende
Eigenschaften sind vordefiniert:
Die Regel ist aktiv. Soll die Regel nicht angewendet werden, deaktivieren Sie
die Checkbox.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 47
Die Aktion der Regel ist ACCEPT (erlauben). Wenn die neue Regel die Daten-
transfer verbieten soll, wählen Sie als Aktion DROP oder REJECT. Bei der Ak-
tion REJECT wird der Quelle die Fehlermeldung „Destination unreachable“ zu-
rückgegeben.
Logging-Typ ist NONE (keine Protokollierung). Sollten Sie eine Protokollierung
wünschen, wählen Sie die Einstellung SHORT (Die ersten drei Pakete einer
neuen Verbindung werden geloggt. Nach einer Minute werden die nächsten drei
Pakete der gleichen Verbindung geloggt.) oder LONG (Alle Pakete werden pro-
tokolliert.).
Es ist keine Regelgruppe ausgewählt. Soll die Regel einer Regelgruppe ange-
hören, wählen Sie eine bestehende Regelgruppe aus dem Dropdownfeld. Sollte
die gewünschte Gruppe noch nicht existieren, Können Sie diese auch später im
Portfilter anlegen und die Regel in die Gruppe verschieben.
Markieren Sie in der Liste Quelle die Paketquelle. Benutzen Sie ggf. die Suchzeile
über der Liste.
Markieren Sie in der Liste Ziel das Ziel der Pakete. Benutzen Sie ggf. die Suchzeile
über der Liste.
Wählen Sie einen NAT Typ (Network Address Translation) aus.
None: Diese Regel ist an keinem NAT Typ gebunden.
Hide-NAT: Datenpakete dieser Regel werden mit der IP-Adresse des gewählten
Interfaces versehen.
Hide-NAT exclude: Die Datenpakete dieser Regel verwenden kein NAT, be-
halten somit die originalen IP-Adressen. Diese Funktion ist z.B. wichtig bei IP-
SEC Verbindungen.
Dest NAT: Bei dieser Adressumsetzung wird die Zieladresse von eingehenden
Paketen ersetzt. Dies ist abhängig vom benutzten Dienst und Port. So können
Serverdienste, die auf verschiedenen Computern laufen, unter einer IP-Adresse
angesprochen werden.
Wählen Sie einen Dienst welcher von der Verbindung benutzt wird, aus der Liste
Dienst.
Wenn Sie schon QOS (Quality Of Service) Einstellungen vorgenommen haben, kön-
nen Sie eine Bandbreite auswählen.
Haben Sie schon Zeitprofile eingestellt, können Sie die Geltung der Regel auf be-
stimmte Uhrzeiten und Tage begrenzen.
Im Bereich Bemerkung können Sie eine Beschreibung der Regel oder Anmerkun-
gen zur Regel angeben.
Erstellen Sie die Regel mit der Schaltfläche Speichern.
Hinweis: Beachten Sie, dass eine neue Regel erst in Kraft tritt, wenn die Schaltfläche
Regeln aktualisieren gedrückt wurde.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 48
9.1.2 Regelgruppe anlegen
Sie können mehrere Regeln zu einer Gruppe zusammenfassen. Wenn Sie mehrere Regeln
eines Bereiches zu einer Gruppe zusammenschließen, hilft dies den Portfilter übersichtlicher
zu gestalten.
Abb. 50 Regelgruppe hinzufügen
Klicken Sie in dem Dialog Portfilter auf den Button Gruppe hinzufügen.
Es öffnet sich der Dialog Gruppe hinzufügen.
Tragen Sie im Feld Name einen Namen für die neue Gruppe ein.
Klicken Sie auf Hinzufügen.
Die neue Gruppe wird im Portfilter an unterster Position angefügt.
Sie können nun per „Drag & Drop“ Regeln in die Gruppe verschieben.
Bei der Erstellung einer neue Regel können Sie diese der Gruppe zuweisen.
Sie können die Gruppe selbst ebenfalls per „Drag & Drop“ im Portfilter verschieben.
9.1.3 Registerkarte Netzwerkobjekte
Netzwerkobjekte beschreiben bestimmte Rechner, Netzwerkgruppen, Nutzer, Interfaces,
VPN-Computer und –Netzwerke. Mit diesen Netzwerkobjekten können die Regeln im Portfil-
ter genau bestimmt werden.
Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 49
Wechsel Sie im Fenster Portfilter auf die Registerkarte Netzwerkobjekte.
Hier sind alle bestehenden Netzwerkgruppen und Netzwerkobjekte aufgelistet. Die
Tabellen können nach den Werten der verschiedenen Spalten geordnet werden.
Hinter den Objekten sind Buttons zum Bearbeiten und zum Löschen des jeweiligen
Objektes positioniert.
Über jeder Tabelle befindet sich ein Suchfeld, mit dem die jeweilige Liste durchsucht
werden kann.
Mit den Schaltflächen am unteren Rand des Fensters können neue Netzwerkgruppen
und neue Netzwerkobjekte angelegt werden.
9.1.3.1 Netzwerkgruppe hinzufügen
Eine Netzwerkgruppe dient dazu, thematisch zusammengehörige Netzwerkobjekte zusam-
menzufassen. Dies hilft die Menge der Netzwerkobjekte zu strukturieren.
Abb. 52 neue Netzwerkgruppe anlegen
Um eine Gruppe anzulegen, gehen Sie wie folgt vor.
Klicken Sie im linken Bereich Netzwerkgruppen auf die Schaltfläche Gruppe hin-
zufügen.
Geben Sie im öffnenden Dialog den Namen der neuen Gruppe ein.
Klicken Sie auf Speichern.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 50
9.1.3.2 Netzwerkobjekt hinzufügen
Es können verschiedene Netzwerkobjekttypen definiert werden. Durch die verschiedenen
Typen, können die Objekte genau definiert. Außerdem wird der Portfilter übersichtlicher, da
jeder Typ ein eindeutiges Symbol hat.
Beim Anlegen eines neuen Objektes variieren die Eingabemaske und/oder die Auswahlmög-
lichkeiten in Abhängigkeit zum gewählten Typ.
Typ Beschreibung
Host Netzwerkobjekt für einen Rechner
Netzwerk Netzwerkobjekt für ein Netzwerk oder Subnetz
VPN Host Netzwerkobjekt für einen Rechner in der Zone IPSec
VPN Netzwerk Netzwerkobjekt für ein Netzwerk in der Zone IPSec
Statische Schnittstelle Netzwerkobjekt für ein Interface mit fester IP-Adresse
Dynamische Schnittstelle Netzwerkobjekt für ein Interface mit dynamischer IP-Adresse
Benutzer Netzwerkobjekt für einen Benutzer
Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner.
Klicken Sie im Portfilter auf der Registerkarte Netzwerkobjekte auf die Schaltflä-
che Objekt hinzufügen. Diese befindet sich unterhalb der Liste aller Netzwerkob-
jekte.
Es öffnet sich der Dialog Netzwerkobjekt hinzufügen.
Geben Sie im Feld Name einen Namen für das neue Objekt an.
Wahlen Sie aus dem Dropdownfeld Gruppe eine bestehende Gruppe, zu der das
Objekt zugefügt werden soll. Die Auswahl ist optional.
Wählen Sie aus dem Dropdownfeld Typ die Art des Objekts.
Wählen Sie aus dem Dropdownfeld Zone die Zone, in der sich das neue Objekt be-
findet.
Geben Sie in dem Feld IP-Adresse die IP-Adresse und den Bitcount des Objekts
an. Dies ist für Rechner, Netzwerke und statische Schnittstellen nötig.
Wählen Sie aus dem Dropdownfeld Benutzer den Benutzer aus, für den das Objekt
angelegt wird. Nur nötig beim Anlegen eines Netzwerkobjektes für einen Benutzer.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 51
9.1.4 Registerkarte Dienste
Um im Portfilter die Regeln genauer zu beschreiben, gibt es eine Liste mit Diensten. In der
Liste ist genau bestimmt, welches Protokoll und welchen Port oder Portbereich die Dienste
benutzen.
Die Liste der vordefinierten Dienste ist schon sehr umfassend, Sie können aber auch eigene
Dienste hinzufügen, Dienste löschen oder bearbeiten.
Abb. 54 Ansicht der Registerkarte Dienste
Dienstgruppen werden im linken Fensterbereich angezeigt. Wenn Sie eine Dienstgruppe
markieren, werden die Dienste, die in der Gruppe beinhaltet sind, in der oberen Liste auf der
rechten Seite angezeigt. Hier können Sie Dienste aus der Gruppe entfernen oder Dienste zu
der Gruppe hinzufügen.
Zum Entfernen eines Dienstes suchen Sie den betreffenden Dienst aus der oberen Liste auf
der rechten Seite. Klicken Sie in der betreffenden Zeile auf die Schaltfläche mit dem Minus-
symbol. Der Dienst wird lediglich aus der Gruppe entfernt. Der Dienst ist für weitere Verwen-
dungen noch im System gespeichert.
Zum Hinzufügen suchen Sie in der unteren Liste auf der rechten Seite den gewünschten
Dienst heraus. Klicken Sie in der Zeile des Dienstes auf die Schalfläche mit dem Plussymbol.
Der Dienst wird der markierten Gruppe hinzugefügt.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 52
9.1.4.1 Hinzufügen einer Dienstgruppe
In dem Bereich Dienstgruppen können sie mehrere Dienste zu einer Gruppe zusammenfas-
sen, Dienste aus bestehenden Gruppen löschen oder Dienste zu bestehenden Gruppen hin-
zufügen. Diese Gruppen können dann im Portfilter zu Erstellung einer Regel genutzt werden.
Abb. 55 neue Dienstgruppe anlegen
Klicken Sie unterhalb der linken Liste auf die Schaltfläche Gruppe hinzufügen.
Im öffnenden Dialog geben Sie einen Namen für die Gruppe ein und klicken Sie auf
Speichern.
9.1.4.2 Neuen Dienst anlegen
Sie können auch einen neuen Dienst nach Ihren Anforderungen anlegen.
Abb. 56 Eingabemaske zum Anlegen eine Dienstes. Diese Abbildung zeigt alle möglichen Paramter an.
Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll.
Um eine neuen Dienst anzulegen, klicken Sie auf die Schalfläche Dienst hinzufü-
gen unterhalb der unteren Liste im rechten Fensterbereich.
Geben Sie im öffnenden Dialog einen Namen für den neuen Dienst an.
Wählen Sie dann das gewünschte Protokoll aus dem Dropdownfeld. Es werden ei-
ne Vielzahl Protokolle angeboten. Je nach gewähltem Protokoll ändert sich die Ein-
gabemaske.
Die gebräuchlichsten Protokolle (tcp, udp und icmp) führen die Dropdownliste an. Alle
weiteren sind alphabetisch geordnet.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 53
Tragen Sie die abgefragten Parameter ein und klicken Sie auf die Schaltfläche Spei-
chern.
Sie können den neu angelegten Dienst einer Gruppe hinzufügen.
9.1.5 Registerkarte Zeitprofile
Auf dieser Registerkarte können Sie Zeitprofile anlegen. Wenn Sie die Profile an eine Regel
binden, wird der Geltungszeitraum der Regel beschränken.
Abb. 57 Zeitprofil für Arbeitstage anlegen
Erstellen Sie zuerst ein Zeitprofil.
Klicken Sie unterhalb der linken Liste auf die Schaltfläche Zeitprofil hinzufügen.
Geben Sie im erscheinenden Dialog einen Namen für das Profil ein und klicken Sie
auf Speichern.
Wählen Sie jetzt die Zeiten für die Gültigkeit des Profils aus.
Markieren Sie in der linken Liste das Profil, für welches Sie Zeiten auswählen möch-
ten.
Markieren Sie jetzt im rechten Fenster an welchen Wochentagen und Zeiten das Pro-
fil eine Regel freigibt.
Neben- und untereinander liegende Tabellenzellen können Sie mit markieren, indem
Sie die linke Maustaste gedrückt halten und die Maus zur gewünschten Tabellenzelle
ziehen.
Möchten Sie Zellen markieren, die nicht zusammenhängen, halten Sie bei der Mar-
kierung die Strg Taste (ctrl auf englischen Tastaturen) gedrückt.
9 Menü Firewall Portfilter Securepoint 11
Securepoint Security Solutions 54
9.1.6 Registerkarte QOS
Mittels QoS (Quality of Service) wird eine Parametrisierung des Datenverkehrs zur Datenra-
tenreservierung und Datenratenlimitierung realisiert. Die Einstellungen sind für ausgehenden
und eingehenden Datenverkehr möglich.
Abb. 58 QoS grafisch dargestellt
Abb. 59 QoS anlegen
Klicken Sie auf die Schaltfläche QoS hinzufügen, um eine neue Limitierung oder
Zusicherung anzulegen.
Geben Sie im Feld Name eine Bezeichnung für den neuen Eintrag an.
Wählen Sie im Dropdownfeld Parent in welcher Ebene der Baumstruktur der neue
Eintrag eingefügt werden soll. Wenn kein Parent gewählt wird, wird der Eintrag auf
der höchsten Ebene eingetragen.
Tragen Sie in der Feldern Min und Max die minimale und maximale Datenrate in
kbit/s an (Werte können auch gleich sein).
Fügen Sie durch Speichern den neuen Eintrag hinzu.
9 Menü Firewall Implizite Regeln Securepoint 11
Securepoint Security Solutions 55
9.2 Implizite Regeln
Für verschiedene Systemdienste und VPN-Verbindungen sind ab Werk Regeln vordefiniert.
In diesem Bereich können diese bei Bedarf aktiviert werden. Diese werden dann auch von
der Protokollierung ausgenommen.
Silent Service Accept
BOOTP steht für Bootstrap Protocol. Mit diesem Protokoll können im TCP/IP Netzwerk ein-
fache Netzwerkparameter übermittelt werden.
Abb. 60 Bootstrap Protocol zulassen
Über die Checkboxes hinter dem Systemdienst kann die der Dienst zugelassen und
die Protokollierung deaktiviert werden.
Setzen Sie dazu das Häkchen in die Checkbox.
9.2.1 Silent Services Drop
Die NetBIOS Funktionen zur paket- und verbindungsorientierter Kommunikation sowie zur
Namensauflösung können hier geblockt werden. Die Meldungen dazu werden dann von der
Protokollierung ausgeschlossen.
Abb. 61 NetBIOS Dienste blockieren
Aktivieren Sie die Checkbox des Dienstes, den Sie blocken möchten.
Wenn Sie die Checkbox in der Titelleiste aktivieren, werden alle Einträge geblockt.
9 Menü Firewall Implizite Regeln Securepoint 11
Securepoint Security Solutions 56
9.2.2 IPSec Traffic
Diese Registerkarte betrifft den Datenverkehr von IPSec VPN Verbindungen. Sie können
hier jeglichen Nutzdatenverkehr zulassen und von der Protokollierung ausnehmen.
Abb. 62 Datenverkehr im IPSec Tunnel
Aktivieren Sie die Checkbox um den Nutzdatenverkehr zuzulassen.
Gleichzeitig wird die Protokollierung zu diesem Datenverkehr ausgeschaltet.
9.2.3 IPSec HideNAT
Hier können Sie alle IPSec Verbindungen von der Adressumsetzung ausnehmen.
Abb. 63 NAT für IPSec Verbindungen ausschalten
Aktivieren Sie die Checkbox, um NAT-Einstellungen für IPSec-Verbindungen nicht
anzuwenden.
9 Menü Firewall Implizite Regeln Securepoint 11
Securepoint Security Solutions 57
9.2.4 VPN
Hier sind vordefinierte Regeln aufgelistet, für Protokolle und Dienste, die zum Aufbau und
Betrieb von VPN Verbindungen benötigt werden.
Abb. 64 vordefinierte VPN Regeln
Über die Checkboxes hinter den Regeln können diese aktiviert oder deaktiviert wer-
den.
Wenn ein Häkchen in der Checkbox der Überschriftzeile gesetzt wird, dann sind alle
aufgelisteten Regeln aktiviert.
Zugelassene Protokolle und Dienste werden von der Protokollierung ausgenommen.
10 Menü Anwendungen Implizite Regeln Securepoint 11
Securepoint Security Solutions 58
10 Menü Anwendungen
Unter diesem Menüpunkt sind die Proxys für HTTP, POP3 und Reverse Proxy sowie die
Einstellungen für das IDS und den Nameserver, für das Mail Relay und den SPAM-Filter
zusammengefasst. Außerdem kann der Status der Dienste gewechselt werden.
Abb. 65 Dropdownmenü Dienste
Bezeichnung Erklärung
HTTP-Proxy Allgemeine Einstellungen zum Proxy sowie Virenscanning und Filterung von
Internetadressen und Webseiteninhalten.
Reverse-Proxy Lastverteilung und Bandbreitenmanagement für interne Server.
POP3-Proxy Allgemeine Einstellungen für den POP3 E-Mail Proxy.
Mailrelay Einstellungen für den Mail Server.
Mailfilter Einstellungen des Spamfilters.
VoIP-Proxy Einstellungen für den Voice over IP Proxy.
IDS Auswahl der Signaturregeln des Intrusion Detection Systems.
Nameserver Einstellungen zu DNS Funktionen.
Anwendungsstatus Aktivieren, Deaktivieren und Neustart von Diensten.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 59
10.1 HTTP Proxy
Der HTTP-Proxy wird dem internen Netz vor dem Besuch von Webseiten vorgeschaltet. Er
filtert dabei Inhalte aus dem Internet, blockiert verdächtige Webseiten und untersucht Datei-
en auf Viren. Der Client stellt dabei seine Anfrage an den Proxy. Dieser holt die Daten aus
dem Internet, untersucht sie und leitet sie an den Client weiter. Der Proxy fungiert damit als
eine Vermittlungsstelle. Er tritt dem Client gegenüber als Server auf und dem Server gegen-
über als Client.
10.1.1 Allgemein
Auf der Registerkarte Allgemein werden allgemeine Angaben zum Proxy gemacht.
Abb. 66 Registerkarte Allgemein des HTTP-Proxys
Stellen Sie den Proxy Port ein. Standardmäßig ist dies der Port 8080.
Wenn Sie eine Ausgangsadresse bestimmen möchten, tragen die gewünschte IP-
Adresse ein im Feld Ausgangsadresse ein.
Wenn Sie die DNS Namensauflösung für das Internet Protokoll Version 4 bevorzu-
gen, Aktivieren Sie die Checkbox IPv4 DNS lookups preferred.
Wählen Sie eine Authentifizierungsart.
Keine keine Authentifizierung erforderlich
Basic Authentifizierung gegen die lokale Nutzerdatenbank
NTLM Authentifizierung gegen den NT LAN Manager
(Active Directory)
LDAP Authentifizierung über das AD des Netzwerkes
Radius Authentifizierung gegen einen Radius Server
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 60
Wenn Sie einen weiteren Proxy verwenden, aktivieren Sie das Häkchen bei enable
Forwarding.
Tragen Sie in dem Fall die IP-Adresse des Proxys unter Übergeordneter Proxy
ein und dessen Port unter Übergeordneter Proxy Port.
Tragen Sie zur Authentifizierung am übergeordneten Proxy den Nutzernamen und
das Kennwort in den Feldern Parent Proxy User und Parent Proxy Password
ein.
10.1.2 Virusscan
Hier können Sie angeben, welche Dateien und Webseiten von der Virussuche ausgeschlos-
sen werden sollen. Außerdem können Sie entscheiden, welchen Virenscanner Dienst sie
benutzen möchten.
Abb. 67 Registerkarte Virusscan des HTTP-Proxy
Sie können die Virensuche ganz deaktivieren, indem Sie beim Feld Virusscan akti-
vieren das Häkchen aus der Checkbox entfernen.
Entscheiden Sie in der Dropdownbox Virusscan engine, ob Sie den Commtouch
Scan Deamon oder den Clam AV Dienst benutzen möchten.
Legen Sie im Feld Maximum scan size limit die maximale Größe des Scanobjekts
an. Die Angabe erfolgt in Megabytes.
Geben Sie im Feld Tickle time die Zeit an, die der Scan andauern darf. Die Angabe
erfolgt in Sekunden.
Die linke Liste zeigt Dateiendungen, die von der Virensuche ausgeschlossen werden.
Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag lö-
schen.
Sie können Einträge hinzufügen, indem Sie die Schaltfläche Add MIME Type unter
der Liste betätigen.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 61
Wählen Sie im erscheinenden Dialog einen MIME Type aus dem Dropdownfeld
aus. Ein Eintrag besteht aus der Art der Datei und der Dateiendung getrennt durch
einen Slash. Ein Stern an der Stelle der Endung schließt alle eingetragenen En-
dungen ein.
Sie können auch selbst einen MIME Type definieren. Klicken Sie auf die Schaltfläche
Add MIME Type und im neuen Dialog auf die Schaltfläche mit dem Stiftsymbol.
Definieren Sie die Kategorien gefolgt von einem Slash und der Dateiendung. Bestäti-
gen Sie die Eintragung mit der Schaltfläche Speichern.
Die rechte Liste zeigt Webseiten, die von der Virensuche ausgeschlossen werden.
Sie können durch die Schaltfläche mit dem Abfalleimer den jeweiligen Eintrag lö-
schen.
Sie können Einträge hinzufügen, indem Sie im Feld unter der Liste die Webseite ein-
geben und dann auf die Schaltfläche Add Regex betätigen.
Es wird ein Regulärer Ausdruck erwartet. Für die Erstellung Regulärer Ausdrücke le-
sen Sie bitte weiterführende Literatur.
10.1.3 Bandbreite
Auf dieser Registerkarte können Sie die Bandbreite entweder allgemein oder pro Benutzer
beschränken.
Abb. 68 Registerkarte Bandbreite im HTTP-Proxy
Entscheiden sie im Dropdownfeld Bandwidth limiting policy, ob Sie die Bandbrei-
ten Kontrolle deaktivieren (None), Die Bandbreite global Beschränk werden soll (Li-
mit total bandwidth) oder ob Sie die Bandbreite pro Rechner beschränken (Limit
bandwidth per host).
Setzen Sie einen globalen Wert in Kilobit pro Sekunde im Feld Global bandwidth.
Setzen Sie einen Benutzer Wert in Kilobit pro Sekunde im Feld Per host band-
width.
Jeder Benutzer bekommt nicht mehr Bandbreite als diesen Wert, auch wenn der glo-
bale Wert noch nicht ausgeschöpft ist.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 62
10.1.4 Application Blocking
Auf der Registerkarte Anwendung blocken, können Remote Support (Fernwartung) Pro-
gramme und Messaging (Nachrichtenversand, Chat) Programme blockiert werden.
Beachten Sie, dass diese Einstellung nur für Kommunikation über den HTTP Proxy gilt. Die
Anwendungen können möglicherweise auch ohne Proxy über das Regelwerk mit dem Inter-
net kommunizieren. Evtl. müssen Sie das Regelwerk modifizieren, um auch dort die Kom-
munikation zu unterbinden.
Als Chat Anwendungen können mehrere bekannte Messaging Clients blockiert werden. Mit
dem letzten Eintrag Andere IMs werden andere Messaging Programme, die nicht in der
Liste aufgeführt sind, gesperrt.
Abb. 69 Messaging Anwendungen blocken
Wählen Sie die Programme, die Sie sperren wollen aus und aktivieren Sie dafür die
jeweilige Checkbox.
Klicken Sie dann auf Speichern.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 63
10.1.5 SSL-Interception
Die SSL-Interception fängt SSL verschlüsselte Datenströme ab und macht den Inhalt z.B. für
den Virenscanner sichtbar. Dies verhindert, dass Schadcode und Viren in SSL-
verschlüsselten Paketen ins interne Netzwerk gelangen. Die SSL-Interception macht sich
das Proxy System zunutze. Es steht zwischen den beiden Endpunkten der SSL Datenströme
und handelt einerseits mit dem Client eine Verschlüsselung aus und andererseits eine Ver-
schlüsselung mit dem Server. Der Client verschlüsselt die Daten die Appliance entschlüsselt
und überprüft diese. Danach werden diese wieder verschlüsselt und an den Server ge-
schickt. Das Gleiche geschieht auf dem Weg vom Server zum Client. Wird Schadcode oder
nicht akzeptierter Content festgestellt, wird die Verbindung unterbrochen.
Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy
Sie aktivieren die SSL-Interception, indem Sie ein Häkchen in die Checkbox Enable
SSL-Interception setzen.
Wählen Sie im Dropdownfeld Certificate ein Zertifikat für die Schlüsselaushandlung
aus.
Die Checkbox Enable no verification list aktiviert die Liste der nicht geprüften
Zertifikate. Diese Liste enthält Zertifikate, denen nicht vertraut wird. Diese Einträge
werden durch reguläre Ausdrücke definiert.
Die Checkbox Enable exception list aktiviert die Ausnahme Liste. Diese beinhaltet
Ausnahmen für nicht vertrauenswürdig eingestufte Zertifikate. Die Ausnahmen wer-
den mit regulären Ausdrücken definiert.
Die Checkbox Enable peer verification aktiviert die Prüfung, ob das Zertifikat der
Gegenstelle gültig ist.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 64
10.1.6 Webfilter
Der Webfilter gibt Ihnen die Möglichkeit Benutzergruppen oder Netzwerke den Zugang zu
bestimmten Internetinhalten zu verwehren oder zu gewähren.
Sie haben die Möglichkeit verschiedenen Nutzergruppen anzulegen und diesen definierten
Zugangsregeln zuzuweisen.
10.1.6.1 Options
Abb. 71 Webfilter deaktiviert
Zuerst müssen Sie den Webfilter aktivieren.
Im HTTP-Proxy Fenster, auf der Registerkarte Webfilter finden Sie die Register-
karte Options.
Aktivieren Sie die Checkbox Enable Webfilter.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 65
10.1.6.2 Profile
Auf der Registerkarte Profile werden die verschieden Filterregeln verwaltet. Es werden die
verwendeten Netzwerke und Benutzergruppen angezeigt und deren zugefügten Filteroptio-
nen. Der Rang der Profile entscheidet über die Abarbeitung der Filter.
Abb. 72 Registerkarte Profiles des Webfilters
Profil hinzufügen
Abb. 73 Profil erstellen
Klicken Sie in der Registerkarte Profile auf die Schaltfläche Add Profile.
In dem öffnenden Dialog wählen Sie im Bereich Allgemein eine Gruppe aus dem
Dropdownfeld Netzwerk oder Benutzergruppe. Die aufgelisteten Gruppen sind
die Gruppen aus der Benutzerverwaltung. Jede Gruppe kann nur einmal ausgewählt
werden.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 66
Vergeben Sie dann Filteroptionen.
Wählen Sie in der Dropdownbox Ruleset einen definierten Filter, der auf diese
Gruppe angewendet werden soll.
Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.
Sie können mehrere Filter auswählen.
In der Tabelle können Sie Filter aktivieren, deaktivieren, den Rang einstellen und
wieder aus dem Profil löschen.
Klicken Sie abschließend auf Speichern.
10.1.6.3 Rulesets
In dieser Registerkarte sind die Filter aufgelistet. Zu jedem Filter sind die gewählten Regeln
aufgelistet. Über die Schaltfläche mit dem Werkzeugschlüsselsymbol können die Filter bear-
beitet werden.
Filter angelegen
Klicken Sie auf die Schaltfläche Add Ruleset.
Geben Sie in dem öffnenden Dialog einen Namen für den neuen Filter ein und klicken
Sie auf Speichern.
Dieser Filter wird in der Tabelle abgelegt. Dem Filter müssen jetzt noch Regeln über-
geben werden.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 67
Filter bearbeiten
Der neu angelegte Filter ist noch nicht mit Regeln ausgestattet.
Abb. 74 Dialog zum Erstellen von Filterregeln
Um dem Filter Regeln hinzuzufügen, klicken Sie auf der Registerkarte Ruleset auf
den Werkzeugschlüssel des gewünschten Filters. Es öffnet sich der Dialog Filter
bearbeiten.
Unter dem Namen des Filters befindet sich die Checkbox Block access. Wenn Sie
diese Checkbox aktivieren, wird der Filter den Webzugang gänzlich sperren.
Im Bereich Time können Sie die Gültigkeit des Filters auf bestimmte Tage und Uhr-
zeiten beschränken.
Aktivieren Sie dazu die Checkbox Enable.
Wählen Sie mit den Feldern Startzeit und Endzeit einen Zeitbereich zu dem der Fil-
ter gelten soll.
Zusätzlich können Sie die Gültigkeit auf bestimmte Wochentage begrenzen. Aktivie-
ren Sie die Checkboxes für die gewünschten Wochentage.
Sie können die stufe für die Safe-Search Funktion auswählen.
off: Keine Filterung von nicht jugendfreien Inhalten.
strict: Es werden eindeutige nicht jugendfreie Seiten und Seiten die Links
auf nicht jugendfreie Inhalte enthalten könnten gefiltert.
moderate: Es werden nur eindeutig nicht Jugendfreie Seiten gefiltert.
Wenn die Option Resolve URL-Shortener ausgewählt wird, wird versucht, die
durch einen Dienst gekürzte URL auf die ursprüngliche URL zurückzuführen.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 68
Im Bereich Regeln können Sie blacklist und whitelist Regeln anlegen. Eine blacklist
beinhaltet Seiten die gesperrt werden sollen und eine whitelist enthält Seiten die zu-
gelassen werden sollen. Die Seiten die zugelassen, bzw. gesperrt werden, können di-
rekt durch die Eintragung einer Internetadresse (URL) definiert werden. Es kann aber
auch der Securepoint Contentfilter benutzt werden.
Wählen Sie im Dropdownfeld Action die gewünschte Filteraktion aus.
blacklist-url: Sperrliste mit genau definierten Internetadressen.
whiteliste-url: Zulassungliste mit genau definierten Internetadressen.
blacklist-cat: Sperrliste über Kategorien des Securepoint Contentfilter.
whitelist-cat: Zulassungsliste über Kategorien des Securepoint Contentfilter.
Bei einer URL Aktion müssen Sie die Internetadresse, die zugelassen oder gesperrt
werden soll, eintragen.
Bei Nutzung der Kategorien wählen Sie eine Kategorie aus dem rechten
Dropdownfeld.
Fügen Sie die Regeln zum Filter hinzu, indem Sie auf das Plussymbol klicken.
In der Tabelle können Sie den Rang der Regeln verändern und gewählte Regeln
auch wieder löschen.
10 Menü Anwendungen HTTP Proxy Securepoint 11
Securepoint Security Solutions 69
10.1.7 Transparent Mode
Wird der transparente Modus des HTTP-Proxy aktiviert, ist für die Benutzer nicht ersichtlich,
dass die Verbindung über einen Proxy geleitet wird. Die Benutzer müssen auch keine Proxy
Einstellungen an Ihren Anwendungen vornehmen.
Der transparente Modus des Proxy kann auf verschiedene Netze angewendet werden.
Abb. 75 transparenter Modus des HTTP-Proxy
Abb. 76 transparenten Modus einrichten
Klicken Sie auf die Schaltfläche Add Transparent Rule.
Geben Sie den Typen für den transparenten Modus ein.
INCLUDE bedeutet, dass der transparente Modus angewendet wird.
EXCLUDE bedeutet, dass der transparente Modus explizit nicht angewendet wird.
Bestimmen Sie nun für welche Datenverbindungen diese Regel eingerichtet wird.
Wählen Sie im Feld Source von wo die Datenverbindung aufgebaut wird.
Wählen Sie im Feld Destination wohin die Datenverbindung aufgebaut wird.
Beenden Sie die Einstellungen mit Speichern.
10 Menü Anwendungen Reverse Proxy Securepoint 11
Securepoint Security Solutions 70
10.2 Reverse Proxy
Bei externen Anfragen an Server im internen Netz tritt der Reverse Proxy als Vermittlungs-
stelle auf. Der Reverse Proxy hat dabei die gleichen Aufgaben wie der HTTP-Proxy aller-
dings in anderer Richtung. Der Proxy steuert durch Access Control List (ACL) den Zugriff auf
interne Webserver und kann eine Lastverteilung (Load Balancing) und Bandbreitenbe-
schränkung vornehmen.
10.2.1 Servergruppen
Interne Webserver können in Servergruppen zusammengefasst werden. Server müssen da-
für als Netzwerkobjekte definiert sein.
Abb. 77 Registerkarte Servergruppen
Abb. 78 Servergruppe anlegen
Abb. 79 Server zur Gruppe hinzufügen
Klicken Sie auf der Registerkarte Servergruppen auf die Schaltfläche Server-
gruppe hinzufügen.
Im erscheinenden Dialog Servergruppe hinzufügen tragen Sie zunächst im Feld
Name einen Namen für die neue Servergruppe ein.
Um die Gruppe mit Serverobjekten zu füllen, klicken Sie auf die Schaltfläche Server
hinzufügen.
Im erscheinenden Dialog Server hinzufügen wählen Sie einen Server aus dem
Feld Netzwerkobjekt. Der Server muss zuvor als Netzwerkobjekt definiert worden
sein.
Wählen Sie den Port, den der Server verwendet.
10 Menü Anwendungen Reverse Proxy Securepoint 11
Securepoint Security Solutions 71
Ist eine Anmeldung notwendig, geben Sie eine Anmeldenamen und ein Kennwort
ein.
Klicken Sie auf hinzufügen.
Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Server erfasst haben.
10.2.2 ACL Sets
Mit den Access Control Lists können Sie Zugriffe auf die angebotenen Dienste eingrenzen.
Abb. 80 Registerkarte ACL Sets
Abb. 81 ACL Set anlegen
Abb. 82 ACL Argument definieren
Klicken Sie auf der Registerkarte ACLSets auf die Schaltfläche ACLSet hinzufü-
gen.
Im erscheinenden Dialog ACLSet hinzufügen geben Sie im Feld Namen einen
Namen für das neue ACLSet ein.
Um das Set zu füllen müssen neue ACLSets definier werden.
Klicken Sie deshalb auf die Schaltfläche ACL hinzufügen.
Wählen Sie im Dialog ACL hinzufügen einen Typ nachdem der Zugriff gefilter wird.
req_header Request Header
Header des Anfrage Packets.
src Source
Quelle der Anfrage.
dstdomain Destination Domain
Ziel Domäne der Anfrage.
10 Menü Anwendungen Reverse Proxy Securepoint 11
Securepoint Security Solutions 72
srcdomain Source Domain
Quell Domäne der Anfrage.
srcdom_regex Source Domain Regulare Expression
Regulärer Ausdruck für die Quell Domäne.
proto Protocol
Benutztes Protokoll der Anfrage.
time Time
Zeit der Anfrage.
Geben Sie dann einen passenden Begriff im Feld Argument ein.
Klicken Sie auf hinzufügen.
10 Menü Anwendungen Reverse Proxy Securepoint 11
Securepoint Security Solutions 73
10.2.3 Sites
Auf der Registerkarte Sites werden Bandbreitenbegrenzung und Lastverteilung für die Server
vorgenommen.
Abb. 83 Registerkarte Sites
Abb. 84 Site anlegen
Abb. 85 ACL Set definieren
Klicken Sie auf der Registerkarte Sites auf die Schaltfläche Site hinzufügen um
eine Bandbreitenbeschränkung und Lastverteilung anzulegen.
Im erscheinenden Dialog Site hinzufügen geben Sie zunächst einen Namen im
Feld Domain name ein.
Wählen Sie im Feld Servergruppe eine Gruppe, die auf der Registerkarte Server-
gruppen angelegt wurde.
Definieren Sie im Feld Site-Bandbreite die Bandbreite für die gesamte Site. Maxi-
mal sind 1000 kbit/s zulässig.
Definieren Sie im Feld Client-Bandbreite die Bandbreite, die einen Client gewährt
wird.
Wählen Sie im Feld Lastverteilung die Methode der Lastverteilung aus.
round-robin Jeder Client bekommt eine kurze Zeitspanne
den Zugriff.
weighted-round-robin Jeder Client bekommt für eine kurze Zeitspanne
den Zugriff. Allerdings ist diesmal das Verfahren
gewichtet und einige Clients werden öfter bedient.
userhash Hash aus dem username.
10 Menü Anwendungen Reverse Proxy Securepoint 11
Securepoint Security Solutions 74
sourcehash Hash aus der Quell IP.
Sie können nun noch ein ACLSet hinzufügen. Klicken Sie dazu auf die Schaltfläche
ACLSet hinzufügen.
Wählen Sie im Feld ACLSet eins aus. Diese werde auf der Registerkarte ACLSets
angelegt.
Entscheiden Sie bei Aktion ob bei Zutreffen des ACLSets der Zugriff erlaubt (allow)
oder verweigert (deny) wird.
Im Feld Aktiviert entscheiden Sie, ob dieses Set aktiviert werden soll oder deakti-
viert.
Klicken Sie dann auf hinzufügen.
Beenden Sie das Anlegen der Site mit Speichern.
10.2.4 Einstellungen
Auf dieser Registerkarte werden die allgemeinen Einstellungen für den Reverse Proxy ge-
setzt.
Abb. 86 allgemeine Einstellungen für den Reverse Proxy
Wählen Sie im Feld Modus aus, ob Sie den Reverse Proxy nur für das Protokoll
HTTP oder das Protokoll HTTPS oder für beide einsetzen möchten.
Geben Sie im Feld Proxy Port den Port des Proxy an.
Im Feld SSL-Proxy Port geben Sie den Port an, der für die SSL verschlüsselten
Verbindungen benutzt wird.
Im Feld SSL-Zertifikat wählen Sie ein Zertifikat für die Verschlüsselung aus.
10 Menü Anwendungen POP3 Proxy Securepoint 11
Securepoint Security Solutions 75
10.3 POP3 Proxy
Der POP3 Proxy agiert dem E-Mail-Client gegenüber als POP3-Server, ruft seinerseits aber
die E-Mails vom eigentlichen Mailserver ab. Die E-Mails werden auf Viren und Spam unter-
sucht und an den E-Mail-Client weitergegeben.
Abb. 87 POP3 Proxy
Abb. 88 transparente Regel anlegen
Setzen Sie ein Häkchen in die Checkbox Enable Mailfilter, um diesen zu aktivie-
ren.
Setzen Sie ein Häkchen in die Checkbox Enable TLS, um die TLS Verschlüsselung
zu aktivieren.
Klicken Sie auf die Schaltfläche Add Transparent Rule, um eine neue Regel für
den transparenten Proxy anzulegen.
Wählen Sie im öffnenden Dialog einen Typ für die neue Regel.
INCLUDE wird den transparenten Proxy für die gewählte Verbindung anwenden.
EXCLUDE wird den transparenten Proxy für die gewählte Verbindung nicht anwen-
den.
Wählen Sie eine Quelle, von der die POP3 Anfragen kommen.
Wählen Sie ein Ziel wohin die Anfragen weitergeleitet werden.
Sichern Sie Ihre Einstellungen mit Speichern.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 76
10.4 Mailrelay
Im Mail Relay werden Einstellungen für den E-Mail Empfang und Versand gesetzt.
Abb. 89 Registerkarten des Mailrelays
Bezeichnung Erklärung
Allgemein Grundeinstellung für Mailfilter, Postmaster Adresse und E-Mail -Größe
Smarthost
Relaying Angabe der erlaubten Relaying Hosts bzw. Domains.
SMTP Routen Die SMTP Routen bestimmen, welcher Mailserver für eine Domain zuständig ist.
Greylisting Das Greylisting ist ein Mechanismus gegen Spammails. Hierbei werden E-Mails
mit einer unbekannten Kombination von Mailserver, Absender- und Empfänger-
adresse mit einer Fehlermeldung abgewiesen. Der entfernte Mailserver wird im
Gegensatz zu einem „Spamserver“ versuchen, die E-Mail ein weiteres Mal zuzu-
stellen. Diesmal wird die E-Mail angenommen, da die Kombination der Kommu-
nikationsdaten schon bekannt ist.
Domain Mapping Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine
andere umgeschrieben wird.
Erweitert Hier können Einstellungen des Mailservers gesetzt werden, die den Server vor
Spammails und Angriffen schützen.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 77
10.4.1 Allgemein
Hier werden grundlegende Eigenschaften des Mailrelays eingestellt.
Abb. 90 Registerkarte Allgemein des Mailrelay
Entscheiden Sie, ob der Mailfilter im Mailrelay verwendet werden soll. Ist dies der Fall
aktivieren Sie die Checkbox Enable Mailfilter.
Im Feld Postmaster Address ist die E-Mail-Adresse des E-Mail-Administrators
einzutragen.
Im Feld Maximum message size können Sie die Größe der E-Mails begrenzen
(Angabe in MB).
10.4.2 Smarthost
Ein Smarthost muss angegeben werden, wenn der Server die E-Mails nicht direkt versenden
soll. Hier können Sie eintragen, zu welchem Mailserver alle ausgehenden E-Mails weiterge-
leitet werden sollen. Einige Provider erwarten eine Authentifizierung auf dem Mailserver.
Abb. 91 Registerkarte Smarthost
Möchten Sie einen Smarthost benutzen, aktivieren Sie die Checkbox Smarthost ak-
tivieren.
Geben Sie die IP-Adresse oder den Hostnamen des externen Mailservers im Feld
Smarthost ein.
Geben Sie im Feld Port den Port des Smarthost ein (Der Standardport ist 25).
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 78
Wenn der Anbieter eine Authentifizierung erfordert, aktivieren Sie die Checkbox Au-
thentisierung aktivieren.
Tragen Sie in den Feldern Benutzer und Passwort Ihren Nutzernamen und Ihr
Kennwort ein.
10.4.3 Relaying
Auf der Registerkarte Relaying ist festgelegt, wie mit E-Mails von eingetragenen Hosts oder
Domains verfahren wird.
Da E-Mails, die an Ihre Domain gerichtet sind, an den internen Mailserver weitergereicht
werden sollen, muss dies eingetragen werden. Sofern der Mailserver über die Firewall E-
Mails verschickt, muss dessen IP-Adresse ebenfalls hinterlegt werden.
Außerdem können Sie hier die SMTP Authentifizierung von lokalen Nutzern aktivieren. Die
angegebenen Zertifikate werden zur Verschlüsselung des Datenverkehrs benutzt.
Abb. 92 Registerkarte Relaying
Abb. 93 Domain hinzufügen
Um eine Domain oder einen Host hinzuzufügen, klicken Sie auf den Button Do-
main/Host hinzufügen.
Es öffnet sich der Dialog Domain/Host hinzufügen.
Im Feld Domain geben Sie den Domainnamen, den Hostnamen oder die Host-IP-
Adresse ein.
Wählen Sie unter Option zwischen None, To, From und Connect.
Wählen Sie unter Action zwischen Relay (weiterleiten), Reject (abweisen), OK
(E-Mail annehmen).
Klicken Sie auf Speichern.
Setzen Sie ein Häkchen in die Checkbox SMTP Authentifizierung für lokale
Benutzer aktivieren, um die SMTP Authentifizierung zu nutzen.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 79
Wählen Sie im Feld CA eine CA aus und im Feld Zertifikat ein Zertifikat. Mit diesen
wird der Datenverkehr verschlüsselt.
10.4.4 SMTP Routen
Mit SMTP Routen wird bestimmt, welcher Mailserver für eine Domain zuständig ist.
Außerdem kann festgelegt werden, dass bereits das Mail Relay E-Mails, deren Empfänger
nicht existiert, ablehnt.
Abb. 94 Registerkarte SMTP Routen
Um eine Route für einkommende E-Mails anzulegen, klicken Sie auf die Schaltfläche
SMTP-Routing hinzufügen.
Geben Sie im erscheinenden Dialog im Feld Domain den Domänennamen an.
Geben Sie im Feld Mailserver die IP-Adresse oder den Hostnamen des Mailservers
ein, der die Mails verarbeiten soll.
Wählen Sie zur Adressprüfung einen Wert aus dem Feld E-Mail-Adresse überprüfen.
aus E-Mail-Adressen werden nicht überprüft.
SMTP Der SMTP Server prüft die Existenz der Adressen.
LDAP Adressprüfung gegen das LDAP Verzeichnis.
Lokale E-Mail-Adressliste Die Prüfung erfolgt gegen die lokale
E-Mail-Adressliste.
Diese kann über die Schaltfläche Lokale E-Mail-Adressliste bearbeiten
eingesehen und editiert werden.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 80
10.4.5 Greylisting
Das Greylisting ist ein Verfahren der Spambekämpfung, das darauf basiert, dass Spamver-
sender nach einer E-Mailversendung, die mit einer Fehlermeldung abgebrochen wird, nicht
versuchen die E-Mail ein weiteres Mal zuzustellen.
Das Mail Relay weist E-Mails ab, deren Kombination aus versendenden Mailserver, Adresse
des Absenders und Adresse des Empfängers zum ersten Mal empfangen wird. Der Zustell-
versuch wird geblockt und dem Mailserver wird eine Fehlermeldung zurückgesandt. Der ent-
fernte Mailserver wird nach einiger Zeit versuchen, die E-Mail nochmals zu versenden.
Diesmal wird die E-Mail angenommen.
Abb. 95 Greylisting Einstellungen im unteren Fensterbereich
Aktivieren Sie die Checkbox Greylisting aktivieren, um die Funktion zu nutzen.
Stellen Sie in Automatisches Whitelisting nach ein, wie lange die Kombination
der Versanddaten gespeichert werden, wenn eine E-Mail durch den zweiten Versand
zugestellt wurde.
Definieren Sie im Feld Verzögerung, wie viele Minuten zwischen den Zustellversu-
chen liegen müssen.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 81
10.4.5.1 Whitelist IP/Netzwerke
In der Whitelist können Sie Einträge machen, welche E-Mails vom Greylisting ausgenommen
und schon beim ersten Zustellversuch weitergeleitet werden.
Im Bereich IP / Netzwerke können Sie E-Mails von bestimmten IP-Adressen und Netzwer-
ken vom Greylisting ausnehmen.
Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden.
Klicken Sie auf die Schaltfläche IP / Netzwerk hinzufügen.
Tragen Sie im Feld IP / Netzwerk die IP-Adresse ein und ändern Sie den Bitcount
nach Ihren Bedürfnissen.
Klicken Sie auf Speichern.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 82
10.4.5.2 Whitelist Domains
Sie können auch E-Mails von eingetragenen Domains vom Greylisting ausnehmen.
Angaben werden nur in Second- und Top-Level-Domain vorgenommen.
Abb. 97 Domains, die vom Greylisting ausgenommen werden.
Klicken Sie auf die Schaltfläche Domain hinzufügen.
Tragen Sie die gewünschte Domain im Feld Domain ein.
Klicken Sie auf Speichern.
Hinweis: Die Domain bezieht sich nicht auf die Domain der E-Mail-Adresse sondern auf die
Domain des Hosts, der die E-Mail versenden möchte.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 83
10.4.5.3 Whitelist Empfänger
E-Mail an bestimmte Empfänger vom Greylisting ausnehmen.
Abb. 98 Empfänger, die vom Greylisting ausgenommen werden.
Klicken Sie auf die Schaltfläche Empfänger hinzufügen.
Tragen Sie die gewünschte E-Mail-Adresse im Feld Empfänger ein.
Klicken Sie auf Speichern.
10.4.5.4 Whitelist Absender
E-Mails von definierten Absendern werden vom Greylisting ausgenommen.
Abb. 99 Absender, die vom Greylisting ausgenommen werden.
Klicken Sie auf die Schaltfläche Absender hinzufügen.
Tragen Sie die gewünschte Absender E-Mail-Adresse in das Feld Absender ein.
Klicken Sie auf Speichern.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 84
10.4.6 Domain Mapping
Domain Mapping ist der Vorgang, mit dem eine vorhandene Domain auf eine andere umge-
schrieben wird. Hier können Sie einstellen, dass die Domain innerhalb einer E-Mail-Adresse
geändert wird.
Zum Beispiel lautet die einkommende E-Mail-Adresse [email protected] und soll umge-
wandelt werden in [email protected].
Abb. 100 Ändern der Domain
Klicken Sie auf die Schaltfläche Domain Mapping hinzufügen.
Geben Sie unter Quell Domain die Domain der eingehenden E-Mail-Adresse ein.
Geben Sie im Feld Ziel Domain die neue Domain ein.
Klicken Sie auf Speichern.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 85
10.4.7 Erweitert
Die Registerkarte Erweitert bietet Einstellungen, die das Mail Relay mit einfachen Mecha-
nismen vor Spam schützt.
Abb. 101 Einstellung, die Spam-E-Mails abwehren
10.4.7.1 Greeting Pause
Nachdem ein externer Mailserver eine Anfrage an das Mail Relay gesendet hat, wartet er auf
eine Begrüßungsnachricht (Greeting) und sendet erst danach weitere SMTP Befehle.
Spamversender warten diese Nachricht aber nicht ab und senden sofort die E-Mails. Diese
werden von dem Mail Relay verworfen, da die Konvention missachtet wurde. Durch Erhö-
hung der Greeting Pause, dem zeitlichen Abstand zwischen Anfrage des externer Mailser-
vers und Senden der Greeting Nachricht, werden viele Spamsendungen schon im Vorfeld
abgewehrt.
Sie können Mailserver definieren, die die Greeting Pause nicht abwarten müssen. Benutzen
Sie dafür die Schaltfläche Ausnahmen und tragen die IP-Adresse oder den Hostnamen
des Mailservers ein.
10 Menü Anwendungen Mailrelay Securepoint 11
Securepoint Security Solutions 86
10.4.7.2 HELO
Mit der Meldung HELO sendet der Client seinen Namen an den Mailserver. Clientanfragen,
die sich nicht an diesen Standard halten, können mit dieser Einstellung abgewiesen werden.
10.4.7.3 Recipient Flooding
So wird das Versenden von E-Mails an sehr viele Empfänger genannt, wobei die Empfangs-
daten zufällig zusammengestellt sind. Durch diese Option wird nach dem von Ihnen definier-
ten falschen Zustellversuchen eine Pause von einer Sekunde eingelegt.
Dadurch wird die Abfrage von E-Mail-Adressen gebremst und ineffizient für den Adressen-
sammler.
10.4.7.4 Empfängerbeschränkung
Setzen Sie hier die Höchstanzahl der Empfänger einer E-Mail.
10.4.7.5 Verbindungslimit
Mit dieser Funktion können Sie die Verbindungen eines externen Mailservers zu Ihrer Appli-
ance einschränken. Pro Sekunde darf nur die gesetzte Anzahl von Verbindungen generell
zur Appliance aufgebaut werden.
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung
nicht gilt.
10.4.7.6 Rate Kontrolle
Die Einstellung Rate Kontrolle schränkt die Verbindungen ein, die ein Server innerhalb eines
Zeitfensters aufbauen kann. Das Zeitfenster ist standardmäßig auf 60 Sekunden eingetra-
gen.
Sie können Server per IP-Adresse oder Hostnamen angeben, für die diese Einschränkung
nicht gilt.
10 Menü Anwendungen Mailfilter Securepoint 11
Securepoint Security Solutions 87
10.5 Mailfilter
Der Spamfilter der neuen Version setzt sich aus dem Commtouch Spamfilter, dem
Securepoint Contentfilter und einem URL Filter.
10.5.1 Filterregeln
Über die Filterregeln wird entschieden, wie mit erkannten Spam-E-Mails und E-Mails, die
einen Virus enthalten, verfahren wird. Dabei werden die Protokolle SMTP und POP3 unter-
schieden.
Abb. 102 Filterregeln
Die gängigsten Filterregeln sind schon vordefiniert. Nach eigenen Bedürfnissen können die-
se Regeln bearbeitet werden und neue Regeln erstellt werden.
10 Menü Anwendungen Mailfilter Securepoint 11
Securepoint Security Solutions 88
10.5.1.1 Neue Filterregel erstellen / Filterregel bearbeiten
Abb. 103 Dialog zum Erstellen einer neuen Regel
Abb. 104 Regel zur Filterregel hinzufügen
Klicken Sie zum Erstellen einer neuen Regel auf die Schaltfläche Filterregel hinzu-
fügen oder zum Bearbeiten einer Regel auf die Schaltfläche mit dem Werkzeug-
schlüsselsymbol in der Zeile der jeweiligen Regel.
Wählen Sie im Feld Protokoll SMTP oder POP3.
Entscheiden Sie im Feld Kategorie welche kategorisierten E-Mails behandelt wer-
den sollen.
spam Als Spam kategorisierte E-Mails.
probably_spam Als möglicherweise Spam kategorisierte E-Mails.
virus E-Mails in denen ein Virus entdeckt wurde.
content E-Mails in denen gesperrter Content entdeckt wurde.
Ein Contentfilter muss ausgewählt werden.
user E-Mails von angegebenen Nutzern.
urlfilter E-Mails in denen sich unerwünschte URL befinden.
Wählen Sie im Feld Aktion, was mit der E-Mail geschehen soll.
none Die E-Mail wird ganz normal behandelt.
mark Die Betreffzeile der E-Mail wird mit einer Markierung versehen.
filter Die E-Mail wird in einen Spam Ordner gesendet.
block Die E-Mail wird nicht angenommen.
reject Die E-Mail wird zurückgewiesen.
In der Liste Regeln, können Sie eingrenzen auf welche E-Mails die Filterregel ange-
wendet wird.
Wählen Sie einen Typ aus.
any Filterregel wird auf jede E-Mail angewendet.
10 Menü Anwendungen Mailfilter Securepoint 11
Securepoint Security Solutions 89
mail_from Bestimmt einen Absender. Filterregel wird auf E-Mails von dem
definierten Absender angewendet.
rcpt_to Bestimmt einen Empfänger. Filterregel wird auf E-Mails zu dem
definierten Empfänger angewendet.
helo Bestimmt einen Clientnamen. Filterregel wird auf E-Mails mit dem
definierten Clientnamen angewendet.
src Bestimmt eine Quelle. Filterregel wird auf E-Mails von der
definierten Quelle angewendet.
dest Bestimmt ein Ziel. Filterregel wird auf E-Mails zu dem definierten
Ziel angewendet.
header Bestimmt einen Header Eintrag. Filterregel wird auf E-Mails mit dem
definierten Headereintrag angewendet.
Klicken Sie auf Speichern.
10.5.2 Content-Filter
Mit dem Content-Filter können Anhänge der E-Mails auf bestimmt Inhalte untersucht werden
und geblockt oder explizit zugelassen werden.
Abb. 105 Liste der Content-Filter
Abb. 106 Content-Filter erstellen
Klicken Sie auf die Schaltfläche Content-Filter hinzufügen.
Geben Sie im Feld Name einen Namen für den neuen Filter an.
Wählen Sie im Feld Typ aus, ob Sie Inhalte blocken (Blacklist) oder zulassen
(Whitelist) wollen.
Klicken Sie auf die Schaltfläche Content-Typ hinzufügen.
Wählen Sie im neuen Dialog im Feld Typ aus, ob Sie nach Dateiendungen oder
MIME types suchen möchten.
Wählen Sie im Feld Wert die gewünschte Dateiendung oder den gewünschten MIME
type aus.
10 Menü Anwendungen Mailfilter Securepoint 11
Securepoint Security Solutions 90
Sie können auch eine Dateiendung bzw. einen MIME type selbst definieren, indem
Sie auf die Schaltfläche mit dem Stiftsymbol klicken.
Wiederholen Sie die letzten Schritte, bis Sie alle gewünschten Content-Typen einge-
tragen haben.
Klicken Sie auf Speichern, um den Dialog zu schließen.
10.5.3 URL-Filter
Mit dem URL-Filter können Sie E-Mails auf die Beinhaltung von URLs untersuchen und un-
erwünschte URLs blocken oder zurückweisen und unbedenkliche URLs explizit erlauben.
Abb. 107 Registerkarte URL-Filter
Sie können die URLs mit Hilfe von regulären Ausdrücken filtern oder Sie benutzen die Kate-
gorien des Securepoint Content Filter.
Sie können eine Blacklist und eine Whitelist mit regulären Ausdrücken anlegen.
Geben Sie unter dem Feld Whitelist bzw. Blacklist einen den regulären Ausdruck,
der die erlaubten bzw. zu blockenden URLs beschreibt, in das Textfeld ein.
Klicken Sie auf Hinzufügen, um den regulären Ausdruck in die Liste aufzunehmen.
Über die Kategorien des Content Filters können Sie eine Whitelist und eine Blacklist anle-
gen.
Klicken Sie auf die Dropdownbox unterhalb der Listenfelder.
Wählen Sie die gewünschten Kategorien aus, die Sie zulassen bzw. blocken möch-
ten.
Klicken Sie auf Hinzufügen, um die gewählte Kategorie in die Liste aufzunehmen.
10 Menü Anwendungen Mailfilter Securepoint 11
Securepoint Security Solutions 91
10.5.4 Mailfilter Einstellungen
Hier können Sie definieren, wie gefilterte E-Mails gekennzeichnet werden.
Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails
Im Bereich E-Mail Betreffzeilen können Schlagwörter angegeben werden, die der Betreffzeile
der gefilterten E-Mails vorangestellt werden. Diese werden zur Abgrenzung und besseren
Erkennung am Besten in eckigen Klammern und in Großbuchstaben angegeben.
Das Feld bestätigtes SPAM Betreff beinhaltet das Schlagwort für E-Mails, die
eindeutig als Spam erkannt wurden.
Das Feld möglicherweise SPAM beinhaltet das Schlagwort für E-Mails, die Spam
sein könnten.
Das Feld URL-Filter Betreff beinhaltet das Schlagwort für E-Mails, die URLs ent-
halten, die per Blacklist gefiltert wurden.
Das Feld Virus Betreff enthält das Schlagwort für E-Mail, in denen ein Virus erkannt
wurde.
In den Textfeldern Blocking Nachricht. Geben Sie einen Text ein, der anstatt des E-Mail Tex-
tes angezeigt wird.
Content-Blocking Nachricht Text für E-Mails, die wegen Ihren Inhalts geblockt
wurden.
URL-Filter Nachricht Text für E-Mails, die wegen der beinhalteten URLs
gefiltert wurden.
Virus-Blocking Nachricht Text für E-Mails, die wegen einer Viruserkennung
geblockt wurden.
Im Bereich Mailarchiv machen Sie Angaben zur Vorhaltung der E-Mails.
Geben Sie im ersten Feld die maximale Anzahl der E-Mails an, die vorgehalten
werden.
Geben Sie im zweiten Feld maximales E-Mail Alter die Zeit der Vorhaltung in Ta-
ge an.
Geben Sie im dritten Feld die maximale E-Mail Größe in Megabytes an.
10 Menü Anwendungen VoIP Proxy Securepoint 11
Securepoint Security Solutions 92
10.6 VoIP Proxy
Der VoIP (Voice over IP) Proxy erlaubt es, paketvermittelte Telefongespräche zu übertragen.
Unterstützt wird SIP (Session Initiation Protocol) zum Aufbau einer Kommunikationssitzung
und RTP (Real-Time Transport Protocol) zur Übertragung der Sprachdaten.
10.6.1 Allgemein
Abb. 109 allgemeine Einstellungen des VoIP Proxy
Wählen Sie bei Eingehende Schnittstelle aus, über welches Interface der SIP Client
den Proxy erreicht.
Wählen Sie bei Ausgehende Schnittstelle aus, über welches Interface der Proxy die
Daten ins Internet übertragen soll.
Bei SIP Port wird eingestellt, auf welchem Port der Proxy Daten erwartet (in der Re-
gel 5060).
Gleichen Sie die RTP Port Bereich dem im Client eingestelltem Port Bereich an.
Geben Sie den Timeout zum SIP Servers des Providers an.
10.6.2 Provider
Stellen Sie hier die providerseitigen Daten ein.
Abb. 110 Einstellungen zum Provider
Unter Domain geben Sie die Domain des Providers ein.
Unter Proxy geben Sie den SIP Proxy des Providers ein.
Stellen Sie unter Proxy Port den SIP Proxy Port des Providers ein (in der Regel
5060).
10 Menü Anwendungen IDS Securepoint 11
Securepoint Security Solutions 93
10.7 IDS
Das Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen auf das
Netzwerk. Das IDS analysiert, alle Pakete, die über die Appliance laufen und meldet ver-
dächtige Aktivitäten.
Dabei werden die Signaturen der Pakete mit bekannten Angriffssignaturen aus der Daten-
bank verglichen, um Angriffe auf das Netzwerk zu erkennen.
Beachten Sie: Es ist sinnvoll, nur den Traffic zu analysieren, der auch im Netzwerk befindli-
che Systeme betrifft. Andernfalls belasten Sie Ihr System unnötig.
10.7.1 Ungültige TCP Flags
Hier sind Regeln aufgelistet, die ungültige TCP Flags in den Paketen aufspüren.
Abb. 111 ungültige TCP Flags
Aktivieren Sie die Einträge, nach denen
Sie die Pakete untersuchen möchten.
Wenn Sie die Checkbox in der Über-
schrift aktivieren, werden alle Einträge
der Liste aktiviert.
10.7.2 Trojaner
Diese Registerkarte beinhaltet Einträge von Ports, die oft von Trojanern benutzt werden.
Diese können auf Wunsch gesperrt werden.
Abb. 112 Trojaner
Aktivieren Sie die Checkboxes der
Trojaner, dessen Ports Sie sperren
möchten.
Wenn Sie die Checkbox in der Über-
schrift aktivieren, werden alle Einträge
in der Liste aktiviert.
10 Menü Anwendungen Anwendungsstatus Securepoint 11
Securepoint Security Solutions 94
10.8 Anwendungsstatus
Hier werden alle Dienste der Firewall aufgelistet und ihr momentaner Status angezeigt. Von
hier aus kann ein Dienst gestartet, gestoppt oder neu gestartet werden.
Abb. 113 Übersicht der Dienste
Bei einem aktiven Dienst ist der vorangestellte Kreis grün.
Bei einem inaktiven Dienst ist der vorangestellte Kreis grau.
Möchten Sie einen Dienst starten, klicken Sie in der Zeile des jeweiligen Dienstes auf
die Schaltfläche Starten.
Möchten Sie einen Dienst stoppen, klicken Sie in der Zeile des jeweiligen Dienstes
auf die Schaltfläche Stoppen.
Möchten Sie den Dienst neu starten, klicken Sie in der Zeile des jeweiligen Dienstes
auf die Schaltfläche Neustarten.
11 Menü VPN Anwendungsstatus Securepoint 11
Securepoint Security Solutions 95
11 Menü VPN
Das Virtual Private Network (VPN) verbindet einzelne Rechner oder Netzwerke mit dem ei-
genen Netz. Dies geschieht durch eine Tunnelverbindung durch das Internet. Für den Benut-
zer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Das VPN
stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung. Die über diese Verbindung
übertragenen Datenpakete werden am Client verschlüsselt und von der Securepoint Firewall
wieder entschlüsselt und umgekehrt.
Zur Übertragung der Daten werden verschiedene Protokolle benutzt, die sich in Sicherheits-
grad und Komplexität unterscheiden.
Abb. 114 Dropdownmenü des Menüpunktes VPN
Bezeichnung Erklärung
Globale VPN
Einstellungen
Allgemeine Einstellungen für alle VPN Verbindungen.
IPSec Editieren und Löschen von IPSec Verbindungen.
SSL VPN Benutzt das TLS/SSL Verschlüsselungsprotokoll.
PPTP Das Point to Point Tunneling Protocol benutzt keine umfassende Verschlüsse-
lung. Wird direkt von Windows unterstützt.
L2TP Kombination und Weiterentwicklung von PPTP und L2F.
Wird von Windows unterstützt.
Clientless VPN Stellt über den Browser eine Verbindung mit dem Unternehmensnetzwerk her.
11 Menü VPN Globale VPN Einstellungen Securepoint 11
Securepoint Security Solutions 96
11.1 Globale VPN Einstellungen
Im Abschnitt Globale VPN Einstellungen können Einstellungen für alle VPN Verbindun-
gen festgelegt werden.
11.1.1 Allgemein
Auf der Registerkarte Allgemein kann die Funktion NAT Traversal aktiviert werden. Diese
Funktion verhindert, dass durch die Adressumsetzung die IPSec Pakete manipuliert werden,
so dass diese verworfen werden. Das ist insbesondere dann der Fall, wenn sich mobile Nut-
zer, die selbst hinter einem NAT Gerät positioniert sind, verbinden möchten.
Abb. 115 blobale VPN Einstellung – Allgemein
11.1.2 Nameserver
In diesem Dialog werden die IP-Adressen der Domain Name System Servers und der
Windows Internet Name Service Server hinterlegt, die dann den Gegenstellen übermittelt
werden.
Abb. 116 Hinterlegung der Nameserver
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 97
11.2 IPSec
Bei der Erstellung von IPSec VPN Verbindungen werden Assistenten ausgeführt, die Sie
Schritt für Schritt durch die einzelnen Konfigurationspunkte führen.
Sie können zwischen zwei Varianten entscheiden. Entweder erstellen Sie eine Site-to-Site-
oder eine Roadwarrior-Verbindung.
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. Z. B. das lokale Netz-
werk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.
Eine Roadwarrior-Verbindung verbindet einen oder mehrere einzelne Computer mit dem
lokalen Netzwerk. Z. B. Außendienstmitarbeiter verbinden sich mit Ihrem Laptop mit dem
Netzwerk der Zentrale.
Abb. 117 IPSec Verbindungsübersicht
11.2.1 Site-to-Site
Klicken Sie in der Verbindungsübersicht auf +Site-to-Site.
Abb. 118 Assistent Scchritt 1
Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.
Im Feld Remote Gateway tragen Sie die IP-Adresse oder den Hostnamen des ent-
fernten Netzwerkes ein.
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 98
Sie können sich zwischen drei Authentifizierungsmethoden entscheiden. Entweder benutzen
Sie das Preshared Key (PSK) Verfahren. Der PSK ist ein Kennwort, welches beiden Verbin-
dungspartnern bekannt ist.
Oder Sie nehmen die Authentifizierung durch ein Zertifikat vor oder durch einen RSA
Schlüssel.
Abb. 119 Assistent Schritt 2 - Authetifizierung PSK
Preshared Key
Markieren Sie den Radiobutton Preshared Key und geben Sie den Preshared Key
(PSK) ein.
Entscheiden Sie, welche IKE (Internet Key Exchange) Version sie benutzen möchten
und markieren den entsprechenden Radiobutton.
Klicken Sie auf Weiter.
Zertifikat
Markieren Sie den Radiobutton x.509 Zertifikat und wählen Sie aus dem
Dropdownfeld ein Zertifikat aus.
Entscheiden Sie, welche IKE (Internet Key Exchange) Version Sie benutzen möchten
und markieren den entsprechenden Radiobutton.
Klicken Sie auf Weiter.
RSA Key
Markieren Sie den Radiobutton RSA Schlüssel und wählen Sie aus dem
Dropdownfeld Local Key einen RSA Schlüssel für die Firewall aus.
Wählen Sie aus dem Dropdownfeld Remote Key den öffentlichen Schlüssel der
Gegenstelle aus. Diesen müssen Sie vorher importiert haben.
Klicken Sie auf Weiter.
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 99
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,
daher müssen Sie diese hier auswählen.
Haben Sie eine Authentifizierung per Zertifikat und IKEv2 gewählt, müssen als Remote Ga-
teway ID Zertifikatsparameter des Clientzertifikats ausgewählt werden. Diese sind in diesem
Dialog nicht wählbar. Daher müssen diese unter dem Menüpunkt IPSec editiert werden
Abb. 120 Assistent Schritt 3
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).
Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der
Auswahlliste eingetragen sind.
Wählen Sie im Dropdownfeld Remote Gateway ID die IP-Adresse oder den Host-
namen der Gegenstelle.
Wenn Sie eine Authentifizierung per Zertifikat und IKEv2 vornehmen, können Sie den
vorgewählten Wert belassen. Dann müssen Sie nach Abschluss des Assistenten auf
jeden Fall die Zertifikatsparameter über den Menüpunkt IPSec eintragen. Editieren
Sie dazu die Phase 1 der Verbindung und wählen Sie die entsprechenden Zertifi-
katsdaten aus dem Dropdownfeld Remote Gateway ID.
Klicken Sie Weiter.
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 100
Abschließend müssen Sie entscheiden, welche Subnetze der beiden Netzwerke Sie mitei-
nander verbinden möchten.
Abb. 121 Assistent Schritt 4
In dem Feld Lokales Netzwerk tragen Sie das zu verbindende lokale Netzwerk ein.
In dem Feld Remote Netzwerk wählen Sie das zu verbindende entfernte Netzwerk.
Klicken Sie auf Fertig, um die Erstellung der Site-to-Site Verbindung abzuschließen
11.2.2 Site-to-End (Roadwarrior)
Sie haben die Möglichkeit eine IPSec (Internet Protocol Security) Verbindung ohne oder mit
L2TP (Layer 2 Tunneling Protocol) zu erstellen. Weiterhin können Sie XAuth (extended Au-
thority) benutzen. Dies ist eine Entwicklung der Firma Cisco, die von der IPSec Working
Group allerdings nicht akzeptiert wurde.
Oder Sie wählen das IKEv2 Protokoll.
Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebs-
system Microsoft Windows 7 beinhaltet schon einen Client für natives IPSec.
Abb. 122 Assistent Schritt 1
Klicken Sie in der Verbindungsübersicht auf +Roadwarrior.
Geben Sie im Feld Name einen Namen für die VPN Verbindung ein.
Wählen Sie einen Verbindungstyp.
Klicken Sie dann auf Weiter.
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 101
Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter
Im zweiten Schritt müssen Sie die Verschlüsselungsparameter auswählen.
Im Feld Verschlüsselung sollten Sie die aes Verschlüsselung aussuchen.
Im Feld Authentifizierung sollten Sie die sha Verschlüsselung auswählen.
Abb. 124 Assistent Schritt 3
Wählen Sie die Authentifizierungsart.
Die Gateway ID des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein,
daher müssen Sie diese hier auswählen.
Abb. 125 Assistent Schritt 4
Wählen Sie im Dropdownfeld Local Gateway ID die Schnittstelle aus, über die die
VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface (eth0).
Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der
Auswahlliste eingetragen sind.
Wählen Sie im Dropdownfeld Remote Gateway ID die Auswahl 0.0.0.0 , da es sich
bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
Klicken Sie Weiter.
11 Menü VPN IPSec Securepoint 11
Securepoint Security Solutions 102
Wenn Sie IKEv2 gewählt haben, müssen Sie entweder eine einzelne IP-Adresse für den
Roadwarrior oder einen VPN Adresspool angeben.
Abb. 126 Assistent Schritt 5
Tragen Sie im Feld Lokales Netzwerk das Netzwerk ein, mit dem sich der Road-
warrior verbindet.
Möchten Sie nur einen Roadwarrior den Zugriff gestatten, benutzen Sie im Feld
Roadwarrior IP-Adresse / Pool den Bitcount 32 und tragen eine IP-Adresse in
das Feld ein.
Möchten Sie mehreren Roadwarrior den Zugriff gestatten, benutzen Sie im Feld
Roadwarrior IP-Adresse / Pool einen passenden Bitcount und tragen eine Netz-
werkadresse ein. Aus diesem Pool wird dem Roadwarrior bei der Einwahl eine IP-
Adresse zugewiesen.
Klicken Sie Fertig.
11 Menü VPN SSL VPN Securepoint 11
Securepoint Security Solutions 103
11.3 SSL VPN
SSL VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Sie können hier Roadwarrior Server Einstellungen vornehmen. Das ist nötig, wenn sich
Roadwarrior auf das System verbinden möchten. Sie können Site-to-Site Client und Server
Einstellungen vornehmen. Site-to-Site Client wird benötigt, wenn Sie der Initiator der Site-to-
Site Verbindung sind. Wenn Sie auf Verbindung eines anderen Netzwerkes warten, benöti-
gen Sie die Site-to-Site Server Einstellung.
Abb. 127 Auflistung aller verfügbarer Verbindungen
11 Menü VPN SSL VPN Securepoint 11
Securepoint Security Solutions 104
11.3.1 Roadwarrior-Server
Abb. 128 Assistent Schritt 1
Tragen Sie im Feld Name einen Namen für die Verbindung ein.
Wählen Sie ein Protokoll. Gewöhnlich ist das UDP.
Wählen Sie den Port, die für die Verbindung genutzt werden soll. Standardmäßig ist
das 1194.
Wählen Sie eine Art der Benutzerauthentifizierung. Zur Wahl stehen: Local;
Radius; LDAP
Geben Sie das Serverzertifikat an.
Definieren Sie im Feld Pool einen IP-Adresspool für die Roadwarrior.
Abb. 129 Assistent Schritt 2
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.
Der Wert 1500 kann gewöhnlich beibehalten werden.
11 Menü VPN SSL VPN Securepoint 11
Securepoint Security Solutions 105
11.3.2 Site-to-Site-Client
Abb. 130 Assistent Schritt 1
Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der
Übersicht später Server und Client Konfigurationen unterscheiden können, wird an
den Namen das Suffix client angehängt.
Geben Sie im Feld Remote Host die IP-Adresse oder den Hostnamen der Gegen-
stelle ein.
Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.
Wählen Sie das Client Zertifikat, welches Sie von der Gegenstelle erhalten haben
und ins System importiert haben.
Klicken Sie auf Weiter.
Abb. 131 Assistent Schritt 2
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.
Der Wert 1500 kann gewöhnlich beibehalten werden.
11 Menü VPN SSL VPN Securepoint 11
Securepoint Security Solutions 106
11.3.3 Site-to-Site Server
Abb. 132 Assistent Schritt 1
Geben Sie im Feld Name einen Namen für die Verbindung an. Damit Sie in der
Übersicht später Server und Client Konfigurationen unterscheiden können, wird an
den Namen das Suffix server angehängt.
Wählen Sie im Feld Protokoll das Protokoll der Verbindung. Standard ist UDP.
Wählen Sie im Feld Port, den Port, den die Verbindung benutzt. Standard ist 1194.
Wählen Sie das Server Zertifikat.
Geben Sie im Feld Pool einen IP-Adresspool für die Clients der Gegenstelle an.
Klicken Sie auf Weiter.
Abb. 133 Assistent Schritt 2
Aktivieren Sie die Checkbox Remote-Profil erstellen, wenn das System eine Client-
konfiguration erstellen soll.
Wählen Sie als Remote-Zertifikat das Zertifikat, welches die Gegenseite verwen-
den soll.
Geben Sie als Tunnel Adresse die IP an, zu dem sich die Gegenstelle verbindet.
Geben Sie als Subnetz ein Netz für die Gegenseite an.
11 Menü VPN PPTP Securepoint 11
Securepoint Security Solutions 107
Abb. 134 Assistent Schritt 3
Geben Sie im Feld MTU den Wert für die Maximum Transmisssion Unit an.
Der Wert 1500 kann gewöhnlich beibehalten werden.
11.4 PPTP
In diesem Dialog können die globalen Einstellungen für PPTP VPN Verbindungen gesetzt
werden.
Abb. 135 globale Einstellungen füt PPTP Verbindungen
Bei Lokale IP geben Sie eine IP an, die vom PPTP Interface benutzt werden soll.
Es existiert kein explizites PPTP Interface. Vielmehr wird diese IP-Adresse als virtuel-
le Adresse an das externe Interface gebunden.
Unter Adressen-Pool können Sie den PPTP Adressbereich einstellen.
Dieser muss im gleichen Subnetz wie die PPTP IP-Adresse liegen.
Das linke Feld bezeichnet den Anfang und das rechte Feld das Ende des Bereichs.
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert
haben, überprüfen Sie vor dem Abspeichern den Endwert.
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.
Entscheiden Sie im Feld Authentifizierung, ob die Benutzer gegen das Active Di-
rectory (Default) oder gegen eine Radius Datenbank authentifiziert werden sollen.
11 Menü VPN L2TP Securepoint 11
Securepoint Security Solutions 108
11.5 L2TP
In diesem Dialog können die globalen Einstellungen für L2TP VPN Verbindungen gesetzt
werden.
Abb. 136 globale Einstellungen für L2TP
Bei Lokale IP geben Sie eine IP an, die vom L2TP Interface benutzt werden soll.
Es existiert kein explizites L2TP Interface. Vielmehr wird diese IP-Adresse als virtuel-
le Adresse an das externe Interface gebunden.
Unter Adress-Pool können Sie den L2TP Adressbereich einstellen.
Dieser muss im gleichen Subnetz wie die L2TP IP-Adresse liegen.
Das Feld Adress-Pool-Anfang bezeichnet den Anfang und das Feld Adress-
Pool-Ende das Ende des Bereichs.
Der Endwert orientiert sich automatisch am Anfangswert. Wenn Sie diesen geändert
haben, überprüfen Sie vor dem Abspeichern den Endwert.
Die Maximum Transmission Unit (MTU) sollte den Standardwert 1300 behalten.
Legen Sie im Bereich Authentifizierung fest, wogegen sich die Benutzer zu au-
thentifizieren haben. Möglich ist eine Authentifizierung an dem Active Directory
(Default) oder an einem Radius Server.
Unter Gebunden an Schnittstelle können Sie festlegen, über welches Interface die
Pakete dieser Verbindung geroutet werden sollen.
11 Menü VPN Clientless VPN Securepoint 11
Securepoint Security Solutions 109
11.6 Clientless VPN
Per Clientless VPN kann über einen Webbrowser auf das Unternehmensnetzwerk zugegrif-
fen werden, ohne dass Softwareerweiterungen nötig sind. Die Verbindung besteht lediglich
zum Webserver. Dieser kann aber als Schnittstelle zu anderen Anwendungen dienen.
Abb. 137 Übersicht der Clientless VPN
Verbindungen
Abb. 138 Clientless VPN Verbindung anlegen
Um einen neues Profil anzulegen, klicken Sie in der Übersichtsliste auf die Schaltflä-
che Hinzufügen.
Geben Sie im erscheinenden Dialog die gefragten Daten an.
Im Feld Servername geben Sie einen Namen für den Server an.
Geben Sie im Feld IP-Adresse die IP des Servers an.
Geben Sie im Feld Port den Port an, den der Server für die Clientless VPN Verbin-
dung benutzt.
Geben Sie im Feld Domain die Domain an, zu der die Verbindung hergestellt wird.
Geben Sie in den Feldern Benutzername und Password die Anmeldedaten ein.
Wählen Sie eine Auflösung für die Darstellung.
Wählen Sie die Farbtiefe für die Darstellung.
Entscheiden Sie sich zwischen RDP (Remote Desktop Protocol) und VNC (Virtual
Network Computing) als Typ.
Klicken Sie auf Speichern.
12 Menü Authentifizierung Clientless VPN Securepoint 11
Securepoint Security Solutions 110
12 Menü Authentifizierung
In dem Bereich Authentication befindet sich die Benutzer- und Zertifikatsverwaltung. Außer-
dem finden Sie hier die Einstellungen für externe Authentifizierungsmechanismen.
Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung
Bezeichnung Erklärung
Benutzer Benutzerverwaltung
Externe Authentifizierung Einstellungen für externe Authentifizierungsmethoden.
Zertifikate Zertifikatsverwaltung
RSA-Schlüssel RSA Schlüssel für die IPSec VPN Authentifizierung
12 Menü Authentifizierung Benutzer Securepoint 11
Securepoint Security Solutions 111
12.1 Benutzer
Dieser Bereich enthält die Benutzerverwaltung. Hier können Sie neue Nutzer anlegen, Ei-
genschaften von bestehenden Benutzern ändern oder Nutzer löschen. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind.
Abb. 140 Auflistung aller Benutzer
Das Fenster Benutzer zeigt Ihnen alle angelegten Benutzer mit Login-Namen,
Gruppenzugehörigkeit und Benutzerrechte.
Mit dem Werkzeugschlüsselsymbol öffnet sich ein Dialog, in dem Sie die Attribute der
Benutzer bearbeiten können. Das Abfalleimersymbol löscht den Benutzer.
12.1.1 Neuen Benutzer hinzufügen
Um einen neuen Benutzer anzulegen, klicken Sie in der Benutzerübersicht auf den
Button Benutzer hinzufügen.
Es öffnet sich der Dialog Benutzer hinzufügen.
Abb. 141 allgemeine Einstellungen für den neuen Benutzer
Tragen Sie unter Anmeldenamen den Loginnamen des Nutzers ein.
Vergeben Sie im Feld Passwort ein Kennwort und bestätigen Sie dieses durch
nochmalige Eingabe im Feld Passwort bestätigen.
12 Menü Authentifizierung Benutzer Securepoint 11
Securepoint Security Solutions 112
In der Registerkarte Gruppen können Sie den Benutzer einer oder mehreren Gruppen zu-
ordnen. Über die Gruppenzugehörigkeit werden die Berechtigungen des Nutzers festgelegt.
Abb. 142 Gruppenzugehörigkeit
Markieren Sie die Gruppe, die der neue Benutzer beitreten soll.
Für eine Mehrfachauswahl halten Sie die Strg bzw. Ctrl Taste gedrückt.
In der Registerkarte VPN vergeben Sie feste IP-Tunnel Adresse an den Benutzer.
Abb. 143 feste IP-Adressen für VPN Verbindungen
Geben Sie für die PPTP-, L2TP- und SSL-VPN Verbindungen eine feste Tunnel IP-
Adresse für den Benutzer ein.
Die Registerkarte SSL-VPN nimmt die Einstellungen für den SSL-VPN Client auf.
Abb. 144 EInstellungen für den SSL-VPN Client
Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-
Interface herunterladen darf, aktivieren Sie die Checkbox SSL-VPN Client Down-
load aktivieren.
12 Menü Authentifizierung Benutzer Securepoint 11
Securepoint Security Solutions 113
Wählen Sie im Feld SSL-VPN Verbindung eine der angelegten SSL-VPN Verbin-
dungen aus.
Wählen Sie im Feld Client-Zertifikat ein Zertifikat, welches der Benutzer zur Au-
thentifizierung benutzen soll.
Wählen Sie im Feld Remote Gateway eine der angebotenen IP-Adressen oder be-
tätigen Sie die Schaltfläche mit dem Stiftsymbol und tragen eine IP-Adresse ein.
Aktivieren Sie die Checkbox Redirect Gateway, wenn der gesamte Internetverkehr
des Clients über das gewählte Gateway gesendet werden soll.
Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des
Clients, den portablen Client oder die Konfiguration herunterladen.
Auf der Registerkarte Passwort werden Stärke des Kennwortes definiert und ob das Kenn-
wort vom Benutzer selbst geändert werden darf.
Abb. 145 Einstellungen zum Kennwort
Entscheiden Sie im Feld Passwortänderung erlaubt, ob der Benutzer sein Kenn-
wort im User-Interface selber ändern darf.
Wählen Sie die minimale Kennwortlänge im Feld Mindest Kennwortlänge.
Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
Ziffern
Sonderzeichen
Groß- und Kleinbuchstaben
12 Menü Authentifizierung Benutzer Securepoint 11
Securepoint Security Solutions 114
Tragen Sie in der Registerkarte Mailfilter die Mailadressen und Domains ein, die der Be-
nutzer im User-Interface verwalten darf.
Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen
Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die
der Benutzer verwalten darf. Klicken Sie dann auf die Schaltfläche mit dem Plus-
symbol.
Wake on LAN schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per
Datenpaket zu starten, muss der Rechner dies auch unterstützen.
Abb. 147 Wake On LAN
Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im
rechten Feld das Interface, über welches der Computer mit der Appliance verbun-
den ist.
Klicken Sie dann auf die Schaltfläche mit dem Pluszeichen.
12 Menü Authentifizierung Externe Authentifizierung Securepoint 11
Securepoint Security Solutions 115
12.2 Externe Authentifizierung
Sie können die Authentifizierung der Benutzer nicht nur gegen die lokale Datenbank durch-
führen, sondern auch externe Authentifizierungsdatenbanken nutzen. Angeboten wird die
Anmeldung an einen Radius-, einen LDAP-Server oder an ein Active Directory.
12.2.1 Radius
Auf der Registerkarte Radius geben Sie die Zugangsdaten für den Radius-Server ein.
Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server
Tragen Sie unter IP oder Hostname die IP-Adresse oder den Hostnamen des Ra-
dius-Servers ein.
Geben Sie im Feld Gemeinsamer Schlüssel das gemeinsame Kennwort für den
Radius Server ein.
12.2.2 LDAP
Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis
Geben Sie die IP-Adresse oder den Hostnamen des LDAP Servers im Feld IP oder
Hostname ein.
Tragen Sie die Server Domäne im Feld Domain ein.
Geben Sie im Feld Base an, ab welcher Stelle des Verzeichnisses die Benutzerda-
ten gesucht werden sollen.
Unter Benutzername geben Sie Ihren Benutzernamen für den Server ein.
Geben Sie unter Passwort Ihr Kennwort.
12 Menü Authentifizierung Externe Authentifizierung Securepoint 11
Securepoint Security Solutions 116
12.2.3 Active Directory
Abb. 150 Eingaben für die Nutzung eines Active Directory
Unter Domainamen tragen Sie den Domainnamen ein.
Geben Sie unter Arbeitsgruppe den LDAP Gruppennamen an, deren Benutzer Sie
den Zugriff erlauben möchten.
Im Feld Password-Server geben Sie die IP-Adresse oder den Hostname des
Rechners an, auf dem der AD-Dienst läuft.
Unter Administrator-Zugang tragen Sie den Administrator des AD-Dienstes.
Unter Appliance Account tragen Sie den Zugangsnamen der Appliance ein.
Wählen Sie die Verschlüsselungsart vom Dropdownfeld LDAP-Verschlüsselung.
Wählen Sie im Feld Root-Zertifikat ein Zertifikat aus.
In der Zeile Verbindungsstatus zeigt Ihnen ein Grüner Punkt.
Geben Sie im Feld Passwort das Kennwort für den AD Dienst ein.
Mit der Schaltfläche Beitreten verbinden Sie sich mit dem AD.
Mit der Schaltfläche Verlassen trennen Sie die Verbindung.
12 Menü Authentifizierung Zertifikate Securepoint 11
Securepoint Security Solutions 117
12.3 Zertifikate
Zertifikate werden zur Authentifizierung von VPN Nutzern benutzt. Ein Zertifikat ist eine Iden-
titätsbescheinigung, die eine digitale Signatur enthält und Angaben über den Inhaber. Zertifi-
kate werden mit einer Certification Authority (CA) signiert, um die Echtheit des Zertifikats zu
garantieren. Eigentlich ist die CA eine dritte unabhängige und vertrauenswürdige Instanz.
Für die VPN Verbindungen kann aber auch eine eigene CA Signatur erstellt werden, um
selbsterstellte Zertifikate zu signieren, die dann an die Benutzer, die sich per VPN mit der
Firewall bzw. dem lokalen Netz verbinden wollen, verteilt werden. Diese Signierung stellt
sicher, dass nur Zertifikate zur Authentifizierung benutzt werden, die von der Firewall und
nicht von dritten ausgestellt worden sind.
Für die vollständige Authentifizierung benötigt nicht nur die Gegenstelle ein Zertifikat, son-
dern auch die Firewall selbst. Es muss also ein Zertifikat für die Firewall erstellt werden und
jeweils eins für jeden externen Benutzer.
Sie haben die Möglichkeit externe Zertifikate im PEM Format zu importieren und lokale Zerti-
fikate im PEM Format oder im PKCS #12 zu exportieren.
Die Registerkarte CA zeigt alle bestehenden Certification Authorities an.
Auf der Registerkarte Zertifikate werden alle verfügbaren Zertifikate aufgelistet.
Auf der Registerkarte Widerrufen werden alle ungültigen CAs und Zertifikate gelistet.
Auf der Registerkarte CRLs sind die Zertifikatssperrlisten hinterlegt (Certificate Revocation
List).
Abb. 151 Registerkarte CA der Zertifikatsverwaltung
12 Menü Authentifizierung Zertifikate Securepoint 11
Securepoint Security Solutions 118
12.3.1 CA erstellen
Um Zertifikate erstellen zu können, müssen Sie zuerst eine CA anlegen, um die erstellten
Zertifikate signieren zu können.
Abb. 152 CA anlegen
Klicken Sie in der Registerkarte CA auf CA hinzufügen.
Es öffnet sich der Dialog CA hinzufügen.
Geben Sie im Feld Name eine Bezeichnung für die CA ein.
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum der CA.
Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das Feld kli-
cken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden drei Fel-
der sind für die Uhrzeit.
Läuft die Gültigkeit der CA ab, dann werden auch alle Zertifikate, die mit der CA sig-
niert wurden ungültig.
Wählen Sie Ihre Landeskennung im Feld Land.
Geben Sie Ihr Bundesland im Feld Staat an.
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.
Klicken Sie auf Speichern, um die CA zu erstellen.
12 Menü Authentifizierung Zertifikate Securepoint 11
Securepoint Security Solutions 119
12.3.2 Zertifikat erstellen
Abb. 153 Zertifikat erstellen
Klicken Sie in der Registerkarte Zertifikate auf Zertifikate hinzufügen.
Es öffnet sich der Dialog Zertifikat hinzufügen.
Geben Sie im Feld Name eine Bezeichnung für das Zertifikat ein.
Beachten Sie, dass einige Systeme prüfen, ob ein Serverzertifikat vorliegt. Wenn Sie
ein Serverzertifikat erstellen, sollten Sie dies im Namen festhalten. Nach der Erstel-
lung ist nur noch mit Zusatzprogrammen ersichtlich, ob ein Server-Tag gesetzt wor-
den ist.
Wählen Sie die CA aus, mit der Sie das Zertifikat signieren möchten.
Die Felder Gültig von und Gültig bis bestimmen den Gültigkeitszeitraum des Zerti-
fikats. Das Datum können Sie direkt in das erste Feld eingeben. Wenn Sie in das
Feld klicken, dann öffnet sich ein Kalender zur Auswahl des Datums. Die folgenden
drei Felder sind für die Uhrzeit.
Wählen Sie Ihre Landeskennung im Feld Land.
Geben Sie Ihr Bundesland im Feld Staat an.
Im Feld Stadt tragen Sie den Namen Ihrer Stadt ein.
Geben Sie im Feld Organisation den Namen Ihrer Firma ein.
Das Feld Abteilung ist für eine Abteilungsbezeichnung vorgesehen.
Im Feld E-Mail geben Sie Ihre E-Mail-Adresse ein.
Wählen Sie evtl. einen Alias aus (wird z. B. bei der Verwendung des Zertifikats unter
MacOS benötigt).
Klicken Sie auf Speichern, um das Zertifikat zu erstellen.
12 Menü Authentifizierung Zertifikate Securepoint 11
Securepoint Security Solutions 120
12.3.3 CA und Zertifikate importieren
Sie können auch eine CA oder Zertifikate importieren, soweit diese im PEM Format vorlie-
gen. Um Zertifikate oder CAs zu importieren, müssen diese auf dem Rechner, mit dem Sie
die Appliance verwalten, vorliegen.
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).
Klicken Sie auf den Button CA importieren bzw. Zertifikat importieren und an-
schließend auf die Durchsuchen Schaltfläche im öffnenden Dialog.
Wählen Sie die zu importierende Datei von Ihrem Rechner aus.
Klicken Sie dann auf Importieren.
12.3.4 CA und Zertifikate exportieren
Sie können auch die CA und Zertifikate exportieren. Hier können Sie wählen, ob Sie diese im
PEM Format oder im PKCS #12 Format exportieren möchten. Bedenken Sie, dass die
Appliance nur PEM Formate wieder importiert.
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).
In jeder Zeile der Listen finden sie folgende Icons.
Das linke Icon ist für den Export im PEM (*.pem)Format und das rechte für den Ex-
port im PKCS #12 (*.p12) Format.
Wenn Sie das Zertifikat im PKCS #12 Format exportieren, können Sie noch ein
Kennwort definieren.
Klicken Sie auf ein Icon und entscheiden Sie sich für die lokale Speicherung im öff-
nenden Dialog.
12 Menü Authentifizierung Zertifikate Securepoint 11
Securepoint Security Solutions 121
12.3.5 CA und Zertifikate löschen
Man kann Zertifikate und CA löschen und widerrufen. Beides hat den gleichen Effekt. Die
Zertifikate werden als ungültig erklären. Die ungültigen Zertifikate bleiben als ungültig ge-
speichert, damit sich niemand mit diesen Zertifikaten authentifizieren kann.
Wenn Sie eine CA löschen, werden auch alle Zertifikate, die mit dieser CA signiert wurden,
gelöscht.
Die widerrufenen Zertifikate und CAs werden auf der Registerkarte Widerrufen angezeigt.
Wechseln Sie auf die jeweilige Registerkarte (CA oder Zertifikate).
Klicken Sie am Ende der Zeile auf das Abfalleimersymbol.
Bestätigen Sie die Sicherheitsabfrage mit Löschen bzw. Widerrufen.
Die CA bzw. die jeweiligen Zertifikate werden auf die Widerrufen Liste gesetzt, wel-
che auf der Registerkarte Widerrufen angezeigt wird.
12 Menü Authentifizierung RSA-Schlüssel Securepoint 11
Securepoint Security Solutions 122
12.4 RSA-Schlüssel
Bei einer RSA Verschlüsselung handelt es sich um ein asymmetrisches Verschlüsselungs-
verfahren. Das heißt, dass zur Ver- und Entschlüsselung zwei verschiedene Schlüssel be-
nutzt werden. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten
Schlüssel. Der öffentliche Schlüssel, auch public key genannt, wird an Nachrichtenversender
herausgegeben, die dann mit diesem ihre Nachricht verschlüsseln. Die so verschlüsselte
Nachricht kann nur mit dem privaten Schlüssel (private key) in Klartext zurückgesetzt wer-
den. Deshalb wird dieser auch geheim gehalten und auf vielen Systemen zum Schutz gegen
Auslesen des Schlüssels codiert.
Abb. 154 schematische Darstellung einer RSA Verschlüsselung
Das RSA Verfahren ist im Vergleich zu AES sehr langsam, Da es in diesem Fall aber nur
zur Authentifizierung benutzt wird, ist dieser Mangel unerheblich.
Die RSA Schlüssel werden von der Securepoint Appliance erzeugt. Sie könnten aber auch
das Programm OpenSSL benutzen.
12 Menü Authentifizierung RSA-Schlüssel Securepoint 11
Securepoint Security Solutions 123
12.4.1 Liste der RSA Schlüssel
Abb. 155 Liste der gespeicherten RSA Schlüssel
Im Dialog RSA-Schlüssel werden Ihnen die angelegten RSA Schlüssel aufgelistet. Im rech-
ten Bereich neben dem jeweiligen Schlüssel werden Ihnen Exportfunktionen angeboten.
Unterhalb der Liste befinden sich Schaltflächen zum Erstellen und Importieren von RSA
Schlüsseln.
12.4.2 RSA Schlüssel anlegen
Abb. 156 RSA Schlüssel generieren
Klicken Sie in der RSA Schlüssel Liste auf die Schaltfläche RSA Schlüssel hinzu-
fügen.
Geben Sie im Feld Namen einen Namen für den Schlüssel an.
Wählen Sie im Feld Schlüssellänge die Länge des Schlüssels.
12 Menü Authentifizierung RSA-Schlüssel Securepoint 11
Securepoint Security Solutions 124
12.4.3 RSA Schlüssel exportieren
Um eine Authentifizierung per RSA zu ermöglichen, müssen Sie den öffentlichen Schlüssel
des Schlüsselpaares an die Gegenstelle weitergeben. Dazu müssen Sie den Schlüssel ex-
portieren.
Abb. 157 Schaltflächen für den Export
In der Liste der RSA Schlüssel werden in der Zeile des jeweiligen Schlüssels Export-
funktionen angeboten.
Sie können den Schlüssel in den Formaten PEM, Hex und B64 (base 64) exportie-
ren.
Klicken Sie auf die gewünschte Schaltfläche.
Wählen Sie in dem öffnenden Dialog einen Speicherort.
12.4.4 RSA Schlüssel importieren
Für eine erfolgreiche Authentifizierung müssen Sie den öffentlichen Schlüssel der Gegenstel-
le importieren.
Klicken Sie auf die Schaltfläche + RSA Schlüssel importieren.
Klicken Sie im neuen Dialog auf durchsuchen.
Wählen Sie den RSA Schlüssel von Ihrem System.
Der Schlüssel wird importiert. An den Namen des Schlüssel wird Kodierung ange-
hängt (pem, hex, b64).
13 Menü Extras CLI Securepoint 11
Securepoint Security Solutions 125
13 Menü Extras
Hier finden Sie den Menüpunkt CLI (Command Line Interface) mit dem Sie direkten Zugriff
auf die Appliance haben.
Der Punkt Update ermöglicht Ihnen die Firewall-Software der Appliance und die Virusdaten-
bank zu aktualisieren.
Unter dem Punkt Registrieren können Sie Ihre Lizenz einspielen.
Bezeichnung Erklärung
CLI Command Line Interface
Protokollierung der Kommandozeile Ein- und Ausgabe, direkte Befehle an die
Firewall und Bearbeitung von Templates.
Registrieren Einspielen der Lizenzdatei.
Firmware Updates Aktualisierung der Firewall Software und der Virusdatenbank.
Erweiterte
Einstellungen
Öffnet ein weiteres Browserfenster mit Einstellungsmöglichkeiten für erfahre-
ne Benutzer.
13.1 CLI
Über das Command Line Interface werden Befehle an die Firewall Software gesendet. Den
meisten Aktionen, die Sie im Administrator-Interface ausführen, liegen solche Kommandos
zu Grunde.
Hier haben Sie die Möglichkeit Befehle ohne die grafische Bedienoberfläche an die Appli-
ance zu senden. Hierfür sind spezielle CLI Kommandos nötig.
Diese Funktion ist nur für erfahrene Benutzer gedacht.
Sie verlassen das Eingabefenster mit den Befehlen exit oder quit.
Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster
Hinweis:
Der neuen Version der Firewall
liegt ein neues Backend zu Grun-
de. Daher können CLI Befehle der
vorherigen Versionen nicht mehr
benutzt werden.
13 Menü Extras Registrieren Securepoint 11
Securepoint Security Solutions 126
13.2 Registrieren
In diesem Bereich haben Sie die Möglichkeit Ihre Lizenzdatei einzuspielen. Sind Sie noch
nicht im Besitz einer Lizenzdatei, dann können Sie über den Link direkt zu der Securepoint
Homepage gelangen und dort Ihre Appliance registrieren lassen.
Abb. 159 Informationen über die eingespielte Lizenz
Klicken Sie auf Durchsuchen und wählen Sie die Lizenzdatei von Ihrem Dateisys-
tem aus.
Klicken Sie dann auf Upload, um die Lizenzdatei einzuspielen.
13 Menü Extras Firmware Updates Securepoint 11
Securepoint Security Solutions 127
13.3 Firmware Updates
Aktualisierungen der Firewall Software können Sie unter diesem Punkt vornehmen. Dabei
verbindet sich die Firewall mit dem Securepoint Server und sucht nach neuen Versionen.
Aktualisierungen sind nur mit einer gültigen Lizenz möglich.
Abb. 160 Aktualisierungen suchen
Klicken Sie auf die Schaltfläche Update suchen.
Ist eine neue Version verfügbar wird dies im unteren Fenster angezeigt.
Klicken Sie dann auf die Schaltfläche Aktivieren.
Sichern Sie vorsichtshalber zuvor Ihre aktuelle Konfiguration.
13 Menü Extras Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 128
13.4 Erweiterte Einstellungen
Unter diesem Menüpunkt können generelle Einstellungen des Webinterface geändert wer-
den.
Außerdem können Templates der Dienste und Anwendungen bearbeitet werden.
13.4.1 Registerkarte Allgemein
Abb. 161 Einstellung zu Speicherung und Webserver
Änderungen, die in der Administrationsoberfläche vorgenommen werden, werden automa-
tisch in der aktuell verwendeten Konfiguration gespeichert. Wenn Sie diese Funktion aus-
schalten, bleiben die Änderungen nur bis zu Neustart der Appliance erhalten.
Aktivieren Sie die Checkbox Automatische Speicherung abschalten, wenn Sie
diese Funktion nicht verwenden möchten.
Die Administrationsweboberfläche ist über den internen Webserver über den Port 11115
erreichbar. Die Benutzeroberfläche ist über den Standard SSL Port 443 erreichbar. Wenn
Sie diese Einstellungen ändern möchten, nehmen Sie die Änderungen im Bereich Webser-
ver vor.
Um den Port zum Zugang der Administrationsoberfläche zu ändern, benutzen Sie das
Feld Administration Webinterface Port. Verwenden Sie einen nicht verwende-
ten Port über 1024.
Um den Port zum Zugang zur Benutzeroberfläche zu ändern, benutzen Sie das Feld
User Webinterface Port. Wenn Sie diesen Port ändern, muss der Benutzer diesen
Port mit in die Adresszeile des Browsers eingeben.
Der Winbind Dienst sammelt Benutzer- und Gruppeninformationen und ist für die Namesauf-
lösung zuständig. Wenn die Informationen im Cache vorgehalten werden, erhöht das die
Geschwindigkeit. Es besteht allerdings die Gefahr, dass die Informationen veraltet sind.
Verändern Sie den Wert im Feld Cache Time, um die Zeit bis zur erneuten Abfrage
zu verkürzen (niedriger Wert) oder zu verlängern (hoher Wert).
13 Menü Extras Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 129
13.4.2 Registerkarte Templates
Die Konfigurationsdateien der Anwendungen der Appliance sind auf dieser Registerkarte als
Templates aufrufbar und können so bearbeitet werden.
Abb. 162 Konfigurationsdatei des Proxy
Suchen Sie aus dem Dropdownfeld das Template heraus, welches Sie bearbeiten
möchten.
Damit das Template im Textfeld angezeigt wird, müssen Sie die Schaltfläche Laden
betätigen.
Verändern Sie das Template nach Ihren Wünschen.
Speichern Sie die Änderungen mit der Schaltfläche Speichern ab.
Damit die Änderungen sofort übernommen werden, muss die Anwendung neu gestar-
tet werden.
14 Live Log Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 130
14 Live Log
Im Live Log können die aktuellen Logmeldungen angezeigt werden. Mit der Filterfunktion
können Sie nach ganz bestimmten Meldungen suchen.
Abb. 163 Anzeige der aktuellen Protokollmeldungen
Spalte Beschreibung
Datum Zeigt den Tag und die Zeit der Meldung an.
Zusätzlich wird die Zeitzone als positive oder negative Stundenangabe angezeigt. Die-
se Angabe bezieht sich auf die GMT.
Dienst Zeigt den Dienst an, der diese Meldung auslöst.
Nachricht In dieser Spalte wird die Meldung des Eintrags angezeigt.
Mit dem Suchfeld, welches sich oben rechts im Fenster befindet, können Sie die Anzeige
filtern. Eingetragene Suchwörter werden über alle Spalten gesucht, daher sollte die Suchan-
frage so genau wie möglich sein.
15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 131
15 Abbildungsverzeichnis
Abb. 1 Position der Appliance im Netzwerk .........................................................................11
Abb. 2 Rückansicht der Piranja bzw. der RC 100 ................................................................11
Abb. 3 Rückansicht einer RC 200 ........................................................................................12
Abb. 4 Frontansicht der RC 300 (schematisch) ...................................................................12
Abb. 5 Frontansicht der RC 400 (schematisch) ...................................................................13
Abb. 6 Login Dialog .............................................................................................................14
Abb. 7 Securepoint 11 Cockpit ............................................................................................16
Abb. 8 Dropdownmenü des Menüpunktes Konfiguration .....................................................17
Abb. 9 Konfigurationsverwaltung .........................................................................................18
Abb. 10 Konfiguration importieren .......................................................................................19
Abb. 11 neue Konfiguration anlegen ....................................................................................20
Abb. 12 Registerkarte Cloud Backup ...................................................................................21
Abb. 13 intere Firewall IP-Adresse ......................................................................................21
Abb. 14 Auswahl der Internetverbindung .............................................................................22
Abb. 15 Daten für die Internetverbindung angeben .............................................................22
Abb. 16 Netzwerkbereich der DMZ ......................................................................................23
Abb. 17 Ändern des Adminstrotorkennworts ........................................................................23
Abb. 18 Einspielen der Lizenz .............................................................................................24
Abb. 19 Dropdownmenü des Menüpubktes Netzwerk .........................................................25
Abb. 20 Name, DNS Server und NTP Server angeben........................................................26
Abb. 21 Netze oder IP-Adressen zur Administration ............................................................27
Abb. 22 Syslog-Server angeben ..........................................................................................28
Abb. 23 SNMP Einstellungen setzen ....................................................................................29
Abb. 24 Registerkarte Netzwerkschnittstellen ......................................................................30
Abb. 25 Registerkarte Allgemein .........................................................................................31
Abb. 26 Registerkarte Einstellungen ....................................................................................31
Abb. 27 Registerkarte IP-Adressen .....................................................................................32
Abb. 28 Registerkarte Zonen ...............................................................................................32
Abb. 29 Registerkarte DynDNS ...........................................................................................33
Abb. 30 Registerkarte QoS ..................................................................................................33
Abb. 31 Registerkarte Fallback ............................................................................................34
Abb. 32 Registerkarte WLAN................................................................................................35
Abb. 33 Registerkarte Routing .............................................................................................35
Abb. 34 Route anlegen / bearbeiten ....................................................................................36
Abb. 35 Registerkarte DHCP ...............................................................................................36
Abb. 36 Netzwerkbereich festlegen .....................................................................................37
15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 132
Abb. 37 zuständigen Router festlegen .................................................................................37
Abb. 38 Registerkarte DHCP Leases ..................................................................................37
Abb. 39 DHCP Lease hinzufügen ........................................................................................38
Abb. 40 Registerkarte DHCP Relay .....................................................................................38
Abb. 41 Zonen und Interfacebindung ...................................................................................39
Abb. 42 neue Zone anlegen ................................................................................................39
Abb. 43 Routing Einträge der Appliance ..............................................................................40
Abb. 44 Ergebnis des Ping Befehls .....................................................................................41
Abb. 45 DNS Abfrage ...........................................................................................................42
Abb. 46 Anzeige der Hops bis zum Zielhost ........................................................................43
Abb. 47 Dropdownmenü des Menüpunktes Firewall ............................................................44
Abb. 48 Portfilter ..................................................................................................................45
Abb. 49 Dialog zum ANlegen einer neuen Regel .................................................................46
Abb. 50 Regelgruppe hinzufügen ........................................................................................48
Abb. 51 Registerkarte Netzwerkobjekte im Dialog Portfilter .................................................48
Abb. 52 neue Netzwerkgruppe anlegen ...............................................................................49
Abb. 53 Anlegen eines Netzwerkobjektes für einen Rechner................................................50
Abb. 54 Ansicht der Registerkarte Dienste ..........................................................................51
Abb. 55 neue Dienstgruppe anlegen ...................................................................................52
Abb. 56 Eingabemaske zum Anlegen eine Dienstes.
Diese Abbildung zeigt alle möglichen Paramter an.
Die wirkliche Abfrageparameter sind abhängig wom gewählten Protokoll. ............52
Abb. 57 Zeitprofil für Arbeitstage anlegen ............................................................................53
Abb. 58 QoS grafisch dargestellt .........................................................................................54
Abb. 59 QoS anlegen ..........................................................................................................54
Abb. 60 Bootstrap Protocol zulassen ...................................................................................55
Abb. 61 NetBIOS Dienste blockieren ...................................................................................55
Abb. 62 Datenverkehr im IPSec Tunnel ...............................................................................56
Abb. 63 NAT für IPSec Verbindungen ausschalten .............................................................56
Abb. 64 vordefinierte VPN Regeln .......................................................................................57
Abb. 65 Dropdownmenü Dienste .........................................................................................58
Abb. 66 Registerkarte Allgemein des HTTP-Proxys ............................................................59
Abb. 67 Registerkarte Virusscan des HTTP-Proxy ..............................................................60
Abb. 68 Registerkarte Bandbreite im HTTP-Proxy ...............................................................61
Abb. 69 Messaging Anwendungen blocken .........................................................................62
Abb. 70 SSL-Interception Registerkarte des HTTP-Proxy ...................................................63
Abb. 71 Webfilter deaktiviert ................................................................................................64
15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 133
Abb. 72 Registerkarte Profiles des Webfilters ......................................................................65
Abb. 73 Profil erstellen ........................................................................................................65
Abb. 74 Dialog zum Erstellen von Filterregeln .....................................................................67
Abb. 75 transparenter Modus des HTTP-Proxy ...................................................................69
Abb. 76 transparenten Modus einrichten .............................................................................69
Abb. 77 Registerkarte Servergruppen .................................................................................70
Abb. 78 Servergruppe anlegen ............................................................................................70
Abb. 79 Server zur Gruppe hinzufügen ...............................................................................70
Abb. 80 Registerkarte ACL Sets ..........................................................................................71
Abb. 81 ACL Set anlegen ....................................................................................................71
Abb. 82 ACL Argument definieren .......................................................................................71
Abb. 83 Registerkarte Sites .................................................................................................73
Abb. 84 Site anlegen ...........................................................................................................73
Abb. 85 ACL Set definieren .................................................................................................73
Abb. 86 allgemeine Einstellungen für den Reverse Proxy ...................................................74
Abb. 87 POP3 Proxy ...........................................................................................................75
Abb. 88 transparente Regel anlegen ...................................................................................75
Abb. 89 Registerkarten des Mailrelays ................................................................................76
Abb. 90 Registerkarte Allgemein des Mailrelay ...................................................................77
Abb. 91 Registerkarte Smarthost .........................................................................................77
Abb. 92 Registerkarte Relaying ...........................................................................................78
Abb. 93 Domain hinzufügen ................................................................................................78
Abb. 94 Registerkarte SMTP Routen ...................................................................................79
Abb. 95 Greylisting Einstellungen im unteren Fensterbereich ..............................................80
Abb. 96 IPs und Netzwerke, die vom Greylisting ausgenommen werden. ...........................81
Abb. 97 Domains, die vom Greylisting ausgenommen werden. ...........................................82
Abb. 98 Empfänger, die vom Greylisting ausgenommen werden. ........................................83
Abb. 99 Absender, die vom Greylisting ausgenommen werden. ..........................................83
Abb. 100 Ändern der Domain ..............................................................................................84
Abb. 101 Einstellung, die Spam-E-Mails abwehren .............................................................85
Abb. 102 Filterregeln ...........................................................................................................87
Abb. 103 Dialog zum Erstellen einer neuen Regel ...............................................................88
Abb. 104 Regel zur Filterregel hinzufügen ...........................................................................88
Abb. 105 Liste der Content-Filter .........................................................................................89
Abb. 106 Content-Filter erstellen .........................................................................................89
Abb. 107 Registerkarte URL-Filter .......................................................................................90
Abb. 108 Einstellungen zur Kennzeichnung von gefilterten E-Mails ....................................91
15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 134
Abb. 109 allgemeine Einstellungen des VoIP Proxy ............................................................92
Abb. 110 Einstellungen zum Provider ..................................................................................92
Abb. 111 ungültige TCP Flags .............................................................................................93
Abb. 112 Trojaner ................................................................................................................93
Abb. 113 Übersicht der Dienste ...........................................................................................94
Abb. 114 Dropdownmenü des Menüpunktes VPN ...............................................................95
Abb. 115 blobale VPN Einstellung – Allgemein ...................................................................96
Abb. 116 Hinterlegung der Nameserver ..............................................................................96
Abb. 117 IPSec Verbindungsübersicht ................................................................................97
Abb. 118 Assistent Scchritt 1 ...............................................................................................97
Abb. 119 Assistent Schritt 2 - Authetifizierung PSK .............................................................98
Abb. 120 Assistent Schritt 3 ................................................................................................99
Abb. 121 Assistent Schritt 4 .............................................................................................. 100
Abb. 122 Assistent Schritt 1 .............................................................................................. 100
Abb. 123 Assistent Schritt 2 - Verschlüsselungsparameter ................................................ 101
Abb. 124 Assistent Schritt 3 .............................................................................................. 101
Abb. 125 Assistent Schritt 4 .............................................................................................. 101
Abb. 126 Assistent Schritt 5 .............................................................................................. 102
Abb. 127 Auflistung aller verfügbarer Verbindungen .......................................................... 103
Abb. 128 Assistent Schritt 1 .............................................................................................. 104
Abb. 129 Assistent Schritt 2 .............................................................................................. 104
Abb. 130 Assistent Schritt 1 .............................................................................................. 105
Abb. 131 Assistent Schritt 2 .............................................................................................. 105
Abb. 132 Assistent Schritt 1 .............................................................................................. 106
Abb. 133 Assistent Schritt 2 .............................................................................................. 106
Abb. 134 Assistent Schritt 3 .............................................................................................. 107
Abb. 135 globale Einstellungen füt PPTP Verbindungen ................................................... 107
Abb. 136 globale Einstellungen für L2TP ........................................................................... 108
Abb. 137 Übersicht der Clientless VPN Verbindungen ...................................................... 109
Abb. 138 Clientless VPN Verbindung anlegen ................................................................... 109
Abb. 139 Dropdownmenü des Menüpunktes Authentifizierung .......................................... 110
Abb. 140 Auflistung aller Benutzer..................................................................................... 111
Abb. 141 allgemeine Einstellungen für den neuen Benutzer .............................................. 111
Abb. 142 Gruppenzugehörigkeit ........................................................................................ 112
Abb. 143 feste IP-Adressen für VPN Verbindungen ........................................................... 112
Abb. 144 EInstellungen für den SSL-VPN Client ............................................................... 112
Abb. 145 Einstellungen zum Kennwort .............................................................................. 113
15 Abbildungsverzeichnis Erweiterte Einstellungen Securepoint 11
Securepoint Security Solutions 135
Abb. 146 E-Mail-Accounts, die im User-Interface eingesehn werden dürfen ...................... 114
Abb. 147 Wake On LAN .................................................................................................... 114
Abb. 148 Eingaben zur Authentifizierung gegen einen Radius-Server ............................... 115
Abb. 149 Eingaben für die Authentifizierung gegen ein LDAP Verzeichnis ........................ 115
Abb. 150 Eingaben für die Nutzung eines Active Directory ................................................ 116
Abb. 151 Registerkarte CA der Zertifikatsverwaltung ........................................................ 117
Abb. 152 CA anlegen ........................................................................................................ 118
Abb. 153 Zertifikat erstellen ............................................................................................... 119
Abb. 154 schematische Darstellung einer RSA Verschlüsselung ...................................... 122
Abb. 155 Liste der gespeicherten RSA Schlüssel .............................................................. 123
Abb. 156 RSA Schlüssel generieren .................................................................................. 123
Abb. 157 Schaltflächen für den Export .............................................................................. 124
Abb. 158 Kommandozeilen Ein- uns Ausgabebefenster .................................................... 125
Abb. 159 Informationen über die eingespielte Lizenz ........................................................ 126
Abb. 160 Aktualisierungen suchen .................................................................................... 127
Abb. 161 Einstellung zu Speicherung und Webserver ....................................................... 128
Abb. 162 Konfigurationsdatei des Proxy ............................................................................ 129
Abb. 163 Anzeige der aktuellen Protokollmeldungen ......................................................... 130