securepoint utm security systems installationshandbuch · konfigurieren sie das dmz-interface des...
TRANSCRIPT
de
uts
ch
Securepoint UTM Security Systems
Installationshandbuch
installationdeutsch 06.10.2009 12:38 Uhr Seite 1
Securepoint Web-Oberfläche und Security Manager
Securepoint Web-Oberfläche
Securepoint UTM-Lösungen bieten eine komplette, effiziente Netzwerk-, Web- und
Mail-Sicherheit mittels einer intuitiv bedienbaren Browser-Benutzerschnittstelle, um
Unternehmen vor den aktuellen
Internetgefahren effizient und
jederzeit aktuell zu schützen.
Securepoint Security Manager
Der Security Manager kann ebenfalls wie
gewohnt für die Administration und
Konfiguration eingesetzt werden! Mit
dem Security Manager können bis zu
65.535 Securepoint UTMs einfach, zentral
und remote administriert und
Konfigurationen verwaltet werden.
installationdeutsch 06.10.2009 12:38 Uhr Seite 2
de
uts
ch
Kostenloser, exzellenter, schneller, deutscher Support
Bitte befolgen Sie diese Installationshilfe für die Securepoint UTM Security Systeme und
wenden Sie sich im Problemfall gern an den kostenlosen Support von Securepoint:
Telefon: ++49 (0) 41 31 - 24 01 - 0
(kostenloser Support für Fachhändler und Systemhäuser)
oder schicken Sie eine E-Mail mit Angabe des Problems an:
E-Mail: [email protected]
Sie können ebenfalls das Securepoint Support-Forum im Internet verwenden, wenn Sie
Probleme oder Fragen haben:
Web: http://www.securepoint.de/support/
installationdeutsch 06.10.2009 12:38 Uhr Seite 3
1 Anschließen
Die Securepoint UTM-Appliances sind mit einer unterschiedlichen Anzahl von
Netzwerkkarten LAN 1, LAN 2 bis LAN n ausgerüstet.
Positionierung im Netzwerk
Eine Appliance wird in der Netzwerkstruktur hinter dem Modem oder Router platziert.
Wird hinter der Appliance noch ein Netzwerk betrieben, muss ein Switch oder ein Hub
zwischengeschaltet werden. Das Modem oder der Router wird an Port LAN 1 der
Appliance angeschlossen. Der Switch oder ggf. der einzelne Computer wird an den Port
LAN 2 angeschlossen. Die Ports LAN 3 bis LAN n sind für DeMilitarisierte Zonen (DMZ)
vorgesehen. Zum Verbinden werden RJ45 Kabel verwendet!
Hinweis:
Falls Ihr Rechner keine Gigabit-Schnittstelle besitzt und Sie sich ohne einen
Switch oder Hub direkt mit LAN 2 verbinden, verwenden Sie bitte ein gekreuz-
tes Kabel.
INTERNET Modemoder Router
LAN 1
LAN 2
SecurepointAppliance
Switchoder Hub
InternesNetzwerk
!
installationdeutsch 06.10.2009 12:38 Uhr Seite 4
de
uts
ch
2 Werkseinstellungen
Sie erreichen die Securepoint Appliance mit Ihrem Web-Browser über die IP-Adresse des
internen Interface LAN 2 auf Port 11115 mit dem https (SSL) Protokoll. Diese IP-Adresse
ist von Werk aus auf 192.168.175.1 eingestellt.
Werkseinstellung:
– LAN 2, IP des internen Interface:192.168.175.1
Aufruf der Web-Oberfläche der Securepoint Appliance:
https://192.168.175.1:11115/
Hinweis:
Die Web-Oberfläche der Securepoint Appliance ist optimiert für Internet
Explorer 7 und Firefox 3. Sie sollten für die Web-Oberfläche einen PC mit min-
destens Pentium 4 Prozessor, 1.8 GHz oder höher, und einen Arbeitsspeicher
von 512 MB oder mehr verwenden.
Zurücksetzen auf Werkseinstellung:
Im Webinterface des Systems können Sie die Appliance auf die Werkseinstellungen
zurücksetzen. Klicken Sie im Menü Configuration auf Factory Defaults. Dies setzt die
Konfiguration auf Werkseinstellung zurück. Die bestehende Konfiguration wird dabei
überschrieben. Die zweite Möglichkeit die Appliance auf die Werkseinstellung zu set-
zen, ist die Neu-Installation mittels des Securepoint ISO-Images per USB-Stick. Sie finden
das Image und ein How-to auf der Securepoint Website:
Download Securepoint ISO-Image:
http://www.securepoint.de/downloads/
!
installationdeutsch 06.10.2009 12:38 Uhr Seite 5
3 Verbinden und Einloggen
Starten Sie die Securepoint Appliance und verbinden Sie Ihren Rechner mit der LAN 2
Schnittstelle. Falls Ihr Rechner keine Gigabit-Schnittstelle besitzt und Sie sich ohne einen
Switch oder Hub direkt mit LAN 2 verbinden, verwenden Sie bitte ein gekreuztes Kabel.
Konfigurieren Sie auf Ihrem Rechner eine IP-Adresse aus dem Bereich zwischen:
192.168.175.2 bis 192.168.175.254 (Netzwerk-Maske: 255.255.255.0) oder lassen Sie sich
eine IP-Adresse via DHCP von der Appliance automatisch zuweisen. Falls Ihr Windows
Rechner keine IP-Adresse zugewiesen bekommt, öffnen Sie einen Command-Prompt
(cmd) und geben folgende Befehle ein, siehe Abbildung:
ipconfig /release
ipconfig /renew
Hinweis:
Unter Umständen müssen Sie den Befehl wiederholen!!
installationdeutsch 06.10.2009 12:38 Uhr Seite 6
de
uts
ch
Öffnen Sie nun Ihren Browser und geben folgende Adresse ein:
Aufruf der Web-Oberfläche der Securepoint Appliance:
https://192.168.175.1:11115/
Sie erhalten danach folgende Meldung, siehe Abbildung. Akzeptieren Sie das selbstsig-
nierte Zertifikat der Securepoint Appliance. Sie kommen nun auf die Securepoint
Administrationsoberfläche.
Loggen Sie sich mit den Standard-Benutzerdaten der Werkseinstellung auf der
Securepoint Appliance ein:
Login bei Werkseinstellung:
– Standard Administrator-Benutzername: admin
– Standard Administrator-Kennwort: insecure
installationdeutsch 06.10.2009 12:38 Uhr Seite 7
4 Grundkonfiguration
Sie können nun mit dem Installationswizard eine Grundkonfiguration vornehmen. In
der Konfiguration des LAN 2-Interfaces wird auch gleichzeitig der DHCP Adress-Pool für
das interne Netzwerk angepasst. Nach dem Beenden des Wizards können Sie sich die
konfigurierten Daten nochmal anzeigen lassen und ausdrucken: Print Settings. Das
System wird nach dem Beenden des Wizards mit den neuen Daten neu gestartet.
Schritt 1: Ändern der IP-Adresse LAN 2 (internes Netz) des Gateways
Tragen Sie die von Ihnen gewünschte IP-Adresse von LAN 2 (internes Netz) und die
Netzmaske (Netzgröße, z. B. Netzwerk-Maske im Bitcount-Format: 24 d. h.
255.255.255.0) des Gateways ein.
Schritt 2: Auswählen eines Internet-Verbindungstyps auf LAN 1
Wählen Sie die Art Ihrer Internet-Verbindung. Sie haben drei Möglichkeiten, eine
Internet-Verbindung zu erstellen: eine DSL-, Router- oder Kabel-Modem-Verbindung.
installationdeutsch 06.10.2009 12:38 Uhr Seite 8
de
uts
ch
Schritt 3: Erstellen DSL (PPPoE), Router-Verbindung oder Kabelmodem-Betrieb.
Hier ein Beispiel mit einem DSL-Provider: Wählen Sie beispielsweise einen Provider aus,
und geben Sie Ihre Zugangsdaten ein.
Zu Router-Verbindungen: Wenn Sie vorher eine Router-Verbindung gewählt haben,
geben Sie die externe IP-Adresse, Netzmaske und das Default-Gateway ein.
Zu Kabel-Modem-Betrieb: Wenn Sie vorher eine Kabel-Modem-Verbindung gewählt
haben, müssen Sie nichts weiter eingeben.
Schritt 4: Optional: Konfiguration des DMZ-Interfaces des Gateways (LAN 3)
Konfigurieren Sie das DMZ-Interface des Gateways, wenn Sie es wünschen. Diesen
Schritt können Sie jedoch überspringen, wenn Sie keine DMZ einrichten möchten.
installationdeutsch 06.10.2009 12:38 Uhr Seite 9
Schritt 5: Setzen des neuen Kennworts für den Standard-Administrator.
Setzen Sie das Kennwort für den Administrator admin neu. Wählen Sie ein sicheres
Passwort dafür aus!
Abschluss der Konfiguration
Ihre Erst-Konfiguration ist nun abgeschlossen. Sie haben nun die Möglichkeit, Ihre
Konfigurationsdaten zu prüfen und auszudrucken. Klicken Sie dazu auf den Button
Print Settings. Schließen Sie die Konfiguration ab, indem Sie auf den Button Fertig stel-
len drücken. Die Appliance wird nun mit Ihren Daten neu gestartet. Der Reboot von der
Ersteinrichtung kann je nach Leistung der Appliance ca. 2 bis 4 Minuten dauern!
Nach erfolgtem Reboot werden Sie automatisch auf die von Ihnen eventuell geänderte
IP-Adresse der Web-Oberfläche weitergeleitet.
installationdeutsch 06.10.2009 12:38 Uhr Seite 10
de
uts
ch
5 Fehlersuche
Bevor Sie eine Neu-Installation des Gateways durchführen, prüfen Sie bitte die unten
genannten Fehlermöglichkeiten und Lösungen!
Scheinbar kein Reboot des Systems
Der Reboot nach der Ersteinrichtung kann ca. 2 bis 4 Minuten dauern, da eine
Initialisierung durchgeführt wird und Schlüssel erzeugt werden. Diese Vorgänge sind
sehr rechenintensiv! Sollte nach 4 Minuten im Browser kein sichtbares Reboot erfolgen,
ist davon auszugehen, dass Sie die IP-Adresse des internen Interface (LAN 2) geändert
haben! In diesem Fall müssen Sie die von Ihnen eingetragene IP-Adresse für das interne
Interface in Ihrem Browser eingeben, sonst kommen Sie nicht auf die Web-Oberfläche
des Gateways. Geben Sie also ein:
https://“Ihre neue IP-Adresse von LAN 2“:11115/
Prüfen des Netzwerkbereichs Ihres Administrationsrechners
Falls Sie die IP-Adresse von LAN 2 (internes Netz: standardmässig 192.168.175.1, Port
11115) auf der Appliance geändert haben, müssen Sie die IP-Adresse Ihres Rechners auf
den neuen Netzbereich einstellen, sonst kommen Sie nicht auf die Web-Oberfläche des
Gateways!
installationdeutsch 06.10.2009 12:38 Uhr Seite 11
6 Registrierung und Lizensierung
Das UTM-System muss für den Betrieb lizensiert werden! Ohne eine Lizensierung ist
keine Aktualität der Appliance gegeben und ein sicherer Betrieb ist nicht möglich!
Lizensieren per Telefon
Sie können Ihr System per Telefon lizensieren, rufen Sie uns dazu unter der genannten
Telefon-Nummer an und Securepoint sendet Ihnen ein Lizenzfile:
Telefon: ++49 (0) 41 31 / 24 01 - 0
Registrieren und Lizensieren am Securepoint Portal
Loggen Sie sich auf der Appliance mit Ihrem Usernamen und Passwort ein und klicken
Sie auf das Menü Extras. Wählen Sie den Menüpunkt Registrierung aus. Falls Sie noch
nicht im Securepoint Portal registriert sind, registrieren Sie sich bitte dort. Sie erhalten
dann einen Portal-Zugang per E-Mail:
http://www.securepoint.de/registration
Lizenzfile in die Appliance einpflegen
Als registrierter Benutzer im Securepoint Portal können Sie sich sehr einfach eine
Registrierungsdatei für Ihre Appliance selbst erstellen. Diese wird Ihnen per E-Mail
zugesandt. Laden Sie diese bitte – ohne sie zu verändern – auf Ihre Appliance. Damit ist
Ihr Securepoint UTM-System voll funktionsfähig.
installationdeutsch 06.10.2009 12:38 Uhr Seite 12
de
uts
ch
7 Übersicht Bedienung Web-Oberfläche
Das Securepoint Web-Cockpit
Das Cockpit ist die Web-Bedienoberfläche Ihres Securepoint UTM-Systems. Im Cockpit
der Securepoint Appliances erhalten Sie einen Überblick hinsichtlich der Funktionen,
System-Lasten, Services, Updates, verfügbaren Downloads wie Dokumente/Software
und vieles mehr. Sie können das Cockpit nach Ihren Wünschen individuell anpassen. Sie
können bis zu 65.535 Securepoint Appliances auch über den Securepoint Security
Manager verwalten und bedienen. Beachten Sie hierzu die Securepoint Handbücher.
installationdeutsch 06.10.2009 12:38 Uhr Seite 13
Menü-Funktionsübersicht des Web-Cockpits
Folgende Funktionen stehen Ihnen über die Menüs des Web-Cockpits zur Verfügung.
Configuration-Menü
– Konfigurationen verwalten –> Verwalten von mehreren Konfigurationen
– Installationsassistent –> Schnelles Einrichten der Appliance
– Neu starten –> Neustart der Appliance
– Herunterfahren –> Herunterfahren der Appliance
– Werkseinstellung –> Zurücksetzen auf Werkseinstellungen
– Abmelden –> Abmelden vom Web-Cockpit
Network-Menü
– Server Eigenschaften –> System-Name, DNS-Server, NTP-Server,
IP-Admin-Bereich Web-Cockpit und Security
Manager, externes Logging/Syslog, SNMP,
Cluster/Hochverfügbarkeit
– Netzwerk Konfiguration –> IP-Interfaces/Schnittstellen, Routing,
DSL-Provider-, DynDNS, DHCP-
Einstellungen
– Zonen Einstellungen –> Zonen-Definition
– Netzwerk Werkzeuge –> NS-Lookup, Ping, Route Tabelle
Firewall-Menü
– Portfilter –> Firewall-Regeln erstellen/verwalten
– Hide NAT –> Network Address Translation/Maskierung
– Port Weiterleitung –> Portweiterleitung/Portübersetzung
– QoS –> Bandbreiten-Beschränkung/Zusicherung
– Dienste –> Definition von Diensten/Protokollen
– Dienstgruppen –> Zusammenfassen von Diensten/Protokollen
zu Gruppen für die Firewall-Regeln
– Netzwerkobjekte –> Definition von Netzwerkobjekten/Netzen
– Netzwerkgruppen –> Zusammenfassen von Netzwerkobjekten/
Netzen zu Gruppen für die Firewall-Regeln
installationdeutsch 06.10.2009 12:38 Uhr Seite 14
de
uts
ch
Applications-Menü
– HTTP Proxy –> Proxy, Virenscanner, Content-Filter etc.
– PoP3 Proxy –> Proxy, Virenscanner, Spamfilter
– Mail Relay –> Relaying/Routing/Greylisting/Domain-Map.
– Spamfilter –> Spamfilter-Einstellungen (SMTP, PoP3 etc.)
– VNC Repeater –> Virtual Networking Computing Repeater
– VOIP Proxy –> Proxy
– IDS –> Intrusion Detection System-Einstellungen
– Anwendungsstatus –> Status aller Services der Appliance
VPN-Menü
– IPSec Assistent –> IPSec-Einrichtungsassistent (Site-to-Site,
Roadwarrior/VPN-Client-to-Server)
– IPSec Globale Einstellungen –> NAT Traversal, IKEv2
– IPSec Verbindungen –> Bearbeiten von IPSec-Verbindungen
– L2TP –> L2TP-VPN-Einstellungen
– PPTP –> PPTP-VPN-Einstellungen
– SSL VPN –> SSL-VPN-Einstellungen
Authentication-Menü
– Benutzer –> Benutzerverwaltung und -freigaben
– Externe Authentifizierung –> Radius, LDAP/AD, Kerberos/NTLM
– Zertifikate –> X.509-Zertifikatsverwaltung
Extras-Menü
– CLI –> Kommandozeilen Interface
– Firewall Updates –> Update-Management
– Registrierung –> Appliance-Registrierung und -Lizensierung
– Cockpit verwalten –> Individuelle Anpassung des Web-Cockpits
– Erweiterte Einstellungen –> Interne Appliance-Parametrisierung
– Alle Daten neu laden/Cockpit neu laden –> Daten-Neuladen von Appliance
Live log-Menü
– live log -> Real-time Logging auf der Appliance
installationdeutsch 06.10.2009 12:38 Uhr Seite 15
Status- und Konfigurationsübersicht des Web-Cockpits
Das Cockpit können Sie individuell nach Ihren Wünschen anpassen.
Lizenz
Registrierungs- und Versions-Information über die Appliance.
System Status
System- und Hardware-Informationen über die Appliance.
Anwendungen
Status der laufende Applikationen/Services der Appliance.
Appliance
Übersicht der Appliance mit Interface-Informationen von LAN 1, LAN 2 bis LAN n.
Schnittstellen Auslastung
Grafische Übersicht der Schnittstellenauslastung.
IPSec Verbindungen
Übersicht zu allen bestehenden IPSec-VPN-Verbindungen.
DHCP
Übersicht zu allen bestehenden DHCP-Verbindungen.
Downloads
Hier können Sie verschiedene Dokumente/Software wie den Securepoint Security
Manager, Handbücher, Tools, VPN-Clients etc. von der Appliance downloaden.
Benutzer, die per SSH angemeldet sind
Übersicht über die angemeldeten User.
Spuva-Benutzer
Benutzer, die über den Securepoint Verification Agent angemeldet sind.
SSL-VPN-Benutzer
Übersicht über die angemeldeten SSL-VPN-User.
Web-Sessions
Laufende Web-Sessions der Appliance.
installationdeutsch 06.10.2009 12:38 Uhr Seite 16
de
uts
ch
8 Übersicht Bedienung Security Manager
Mit dem Securepoint Security Manager können bis zu 65.535 UTM-Appliances einfach
und sicher verwaltet werden. Gehen Sie folgendermaßen vor:
– Installieren und starten Sie den Securepoint Security Manager. Sie finden ihn im
Downloadbereich des Web-Cockpits oder auf der Securepoint Website, Downloads.
– Beim ersten Start des Security Managers erscheint ein Dialog-Fenster zum Anlegen
eines verschlüsselten Datencontainers, in dem die Konfigurationen der Appliance
lokal gesichert werden. Tragen Sie einen Schlüssel ein (wiederholen Sie die Eingabe).
Sie werden bei jedem Start des Managers nach diesem Schlüssel gefragt.
– Legen Sie eine neue Securepoint Appliance an, klicken Sie dazu auf das gekennzeich-
nete Firewall-Symbol. Es öffnet sich das Dialog-Fenster Firewall - hinzufügen. Geben
Sie folgende Daten im Folder Firewall ein:
– Adresse: IP-Adresse (oder auflösbarer Name) des Interfaces der Appliance
– Port, über den die Appliance angesprochen wird. Standard: 22 (SSH Port)
– Login: Ihr Login-Name auf der Appliance
– Passwort: Ihr Passwort auf der Appliance
– Bestätigung: Die Passwort Bestätigung
– Ein neues Firewall-Symbol wird nun im Firewall-Tree angezeigt. Ein Doppelklick auf
dieses Symbol konnektiert den Security Manager mit einer Securepoint Appliance. Sie
können nun bis zu 65.535 Appliances konfigurieren, verwalten etc. Weitere Infor-
mationen erhalten Sie im Handbuch des Securepoint Security Managers.
Anlegen einer neuen
Appliance/Firewall
installationdeutsch 06.10.2009 12:38 Uhr Seite 17
Securepoint GmbHSalzstrasse 121335 LueneburgGermany
phone: ++49 (0) 41 31 / 24 01 - 0fax: ++49 (0) 41 31 / 24 01 - 50
mail: [email protected]: www.securepoint.de
Small Business Solution
Small / Medium Business Solutions
Enterprise Business Solutions
Virtual Machine Solutions
Securepoint UTM Security Systems 10
installationdeutsch 06.10.2009 12:38 Uhr Seite 18