Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Astaro Anleitungen
  4. Netzwerkrouter
  5. Security Gateway
  6. Administrationshandbuch

Astaro Security Gateway Administrationshandbuch

Vorschau ausblenden
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
Inhaltsverzeichnis

Werbung

Quicklinks

Astaro Security
Gateway
Version 8.300
Administrationshandbuch
Datum: 17.02.2012 10:31 UTC

Werbung

Inhaltsverzeichnis
loading

Inhaltszusammenfassung für Astaro Security Gateway

  • Seite 1 Astaro Security Gateway Version 8.300 Administrationshandbuch Datum: 17.02.2012 10:31 UTC...

  • Seite 2: Einschränkung Der Gewährleistung

    Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Namen und Daten sind frei erfunden, soweit nichts anderes angegeben ist. Ohne ausdrückliche schriftliche Erlaubnis der Astaro GmbH & Co. KG darf kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht. ...

  • Seite 3: Inhaltsverzeichnis

    1.1 Empfohlene Lektüre 1.2 Systemanforderungen 1.2.1 USV-Unterstützung 1.2.2 RAID-Unterstützung 1.3 Installationsanleitung 1.3.1 Tastenfunktionen während der Installation 1.3.2 Besondere Optionen während der Installation 1.3.3 Installation von Astaro Security Gateway 1.4 Grundkonfiguration 1.5 Backup-Wiederherstellung 2 WebAdmin 2.1 WebAdmin-Menü 2.2 Symbolleiste 2.3 Listen 2.4 Suche in Listen...
  • Seite 4 4.8.1 Allgemein 4.8.2 Webfilter 4.8.3 Download-Verwaltung 4.8.4 SMTP-/POP3-Proxy 4.9 SNMP 4.9.1 Anfrage 4.9.2 Traps 4.10 Zentrale Verwaltung 4.10.1 Astaro Command Center 4.11 Hochverfügbarkeit 4.11.1 Hardware- und Software-Voraussetzungen 4.11.2 Status 4.11.3 Systemstatus 4.11.4 Konfiguration 4.12 Ausschalten/Neustart 5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen 5.2 Dienstdefinitionen...
  • Seite 5 Inhaltsverzeichnis 5.4 Benutzer & Gruppen 5.4.1 Benutzer 5.4.2 Gruppen 5.5 Client-Authentifizierung 5.6 Authentifizierungsserver 5.6.1 Allgemeine Einstellungen 5.6.2 Server 5.6.2.1 eDirectory 5.6.2.2 Active Directory 5.6.2.3 LDAP 5.6.2.4 RADIUS 5.6.2.5 TACACS+ 5.6.3 Single Sign-On 5.6.4 Erweitert 6 Schnittstellen & Routing 6.1 Schnittstellen 6.1.1 Schnittstellen 6.1.1.1 Automatische Netzwerkschnittstellen-Definitionen 6.1.1.2 Arten von Schnittstellen...
  • Seite 6 Inhaltsverzeichnis 6.4.2 Aktionen 6.4.3 Erweitert 6.5 IPv6 6.5.1 Allgemein 6.5.2 Präfix-Bekanntmachungen 6.5.3 6to4 6.5.4 Tunnel-Broker 6.6 Statisches Routing 6.6.1 Statische Routen 6.6.2 Richtlinienrouten 6.7 Dynamisches Routing (OSPF) 6.7.1 Allgemein 6.7.2 Bereich 6.7.3 Schnittstellen 6.7.4 Prüfsummen 6.7.5 Fehlersuche 6.7.6 Erweitert 6.8 Border Gateway Protocol 6.8.1 Allgemein 6.8.2 Systeme 6.8.3 Neighbor...
  • Seite 7 Inhaltsverzeichnis 7.2.3 Statische MAC/IP-Zuordnungen 7.2.4 IPv4-Lease-Tabelle 7.2.5 IPv6-Lease-Tabelle 7.3 NTP 8 Network Security 8.1 Firewall 8.1.1 Regeln 8.1.2 Country-Blocking 8.1.3 ICMP 8.1.4 Erweitert 8.2 NAT 8.2.1 Maskierung 8.2.2 DNAT/SNAT 8.3 Angriffschutz 8.3.1 Allgemein 8.3.2 Angriffsmuster 8.3.3 Anti-DoS/Flooding 8.3.4 Anti-Portscan 8.3.5 Ausnahmen 8.3.6 Erweitert 8.4 Server-Lastverteilung 8.4.1 Verteilungsregeln...
  • Seite 8 Inhaltsverzeichnis 9.2.2 Proxy-Profile 9.2.3 Filterzuweisungen 9.2.4 Filteraktionen 9.2.5 Übergeordnete Proxies 9.3 Application Control 9.3.1 Netzwerksichtbarkeit 9.3.2 Application-Control-Regeln 9.3.3 Erweitert 9.4 FTP 9.4.1 Allgemein 9.4.2 Antivirus 9.4.3 Ausnahmen 9.4.4 Erweitert 10 Mail Security 10.1 SMTP 10.1.1 Allgemein 10.1.2 Routing 10.1.3 Antivirus 10.1.4 Antispam 10.1.5 Ausnahmen 10.1.6 Relaying...
  • Seite 9 Inhaltsverzeichnis 10.6 Mail-Manager 10.6.1 Mail-Manager-Fenster 10.6.1.1 SMTP-/POP3-Quarantäne 10.6.1.2 SMTP-Spool 10.6.1.3 SMTP-Protokoll 10.6.2 Allgemein 10.6.3 Konfiguration 11 Wireless Security 11.1 Allgemeine Einstellungen 11.1.1 Allgemeine Einstellungen 11.1.2 Erweitert 11.2 Kabellose Netzwerke 11.3 Access Points 11.3.1 Übersicht 11.3.2 Gruppierung 11.4 WLAN-Clients 12 Web Application Security 12.1 Web Application Firewall 12.1.1 Allgemein 12.1.2 Virtuelle Webserver...
  • Seite 10 Inhaltsverzeichnis 14.2 IPsec 14.2.1 Verbindungen 14.2.2 Entfernte Gateways 14.2.3 Richtlinien 14.2.4 Lokaler RSA-Schlüssel 14.2.5 Erweitert 14.2.6 Fehlersuche 14.3 SSL 14.3.1 Verbindungen 14.3.2 Einstellungen 14.3.3 Erweitert 14.4 Zertifikatverwaltung 14.4.1 Zertifikate 14.4.2 Zertifizierungsstelle 14.4.3 Sperrlisten (CRLs) 14.4.4 Erweitert 15 Fernzugriff 15.1 SSL 15.1.1 Allgemein 15.1.2 Einstellungen 15.1.3 Erweitert...
  • Seite 11 Inhaltsverzeichnis 15.7.1 Zertifikate 15.7.2 Zertifizierungsstelle 15.7.3 Sperrlisten (CRLs) 15.7.4 Erweitert 16 Protokolle & Berichte 16.1 Protokollansicht 16.1.1 Heutige Protokolldateien 16.1.2 Archivierte Protokolldateien 16.1.3 Protokolldateien durchsuchen 16.2 Hardware 16.2.1 Täglich 16.2.2 Wöchentlich 16.2.3 Monatlich 16.2.4 Jährlich 16.3 Netzwerknutzung 16.3.1 Täglich 16.3.2 Wöchentlich 16.3.3 Monatlich 16.3.4 Jährlich 16.3.5 Bandbreitennutzung...
  • Seite 12 Inhaltsverzeichnis 16.7.1 Aktivität 16.7.2 Sitzung 16.8 Web Application Firewall 16.8.1 Nutzungsdiagramme 16.8.2 Details 16.9 Gesamtbericht 16.9.1 Bericht anzeigen 16.9.2 Archivierte Gesamtberichte 16.9.3 Konfiguration 16.10 Protokolleinstellungen 16.10.1 Lokale Protokollierung 16.10.2 Remote-Syslog-Server 16.10.3 Ausgelagerte Protokollarchive 16.11 Berichteinstellungen 16.11.1 Einstellungen 16.11.2 Ausnahmen 16.11.3 Anonymisierung 17 Support 17.1 Handbuch 17.2 Druckbare Konfiguration...

  • Seite 13: Installation

    Grundkonfiguration 1.1 Empfohlene Lektüre Bevor Sie mit der Installation beginnen, sollten Sie die folgenden Dokumente lesen, die Ihnen bei der Einrichtung von Astaro Security Gateway helfen. Beide Dokumente sind der Astaro Security Gateway Appliance beigelegt und können alternativ von der...

  • Seite 14: Systemanforderungen

    Switch (optional): Ein Gerät, das die Kommunikation in Computernetzwerken steuert. Stellen Sie sicher, dass der Switch sogenannte Jumbo Frames unterstützt. Astaro führt eine Liste aller Hardware-Produkte, die im Zusammenhang mit ASG Software auf ihre Funktionalität hin getestet wurden. Diese Hardwarekompatibilitätsliste (Hardware Compatibility List, kurz HCL), finden Sie...

  • Seite 15: Bild 1 Ie7 Sicherheitseinstellungen Vertrauenswürdige Sites

    1 Installation 1.2 Systemanforderungen Prozessor: Taktfrequenz 1 GHz oder höher Browser: Firefox 2 (empfohlen) oder Microsoft Internet Explorer 6 oder 7. JavaScript muss aktiviert sein. Darüber hinaus darf im Browser kein Proxy für die IP-Adresse der internen Netzwerkkarte (eth0) von ASG konfiguriert sein.

  • Seite 16: Usv-Unterstützung

    Hinweis – Informationen darüber wie Sie das USV-Gerät an Astaro Security Gateway anschließen können, finden Sie in der Bedienungsanleitung des USV- Geräts. Die ASG erkennt das an der USB-Schnittstelle angeschlossene USV-Gerät während des Systemstarts. Starten Sie Astaro Security Gateway daher erst nach der Verbindung mit dem USV-Gerät. 1.2.2 RAID-Unterstützung...

  • Seite 17: Installationsanleitung

    1 Installation 1.3 Installationsanleitung 1.3 Installationsanleitung Im Folgenden wird die Installation der Astaro Security Gateway Software anhand einer Schritt-für-Schritt-Anleitung beschrieben. Bevor Sie mit der Installation beginnen, halten Sie die folgenden Komponenten bereit: die Astaro Security Gateway Installations-CD-ROM die Lizenz für Astaro Security Gateway Das Installationsprogramm überprüft zunächst die Hardware und installiert dann...

  • Seite 18: Besondere Optionen Während Der Installation

    To USB Stick: Speichern des Installationsprotokolls als zip-Datei auf einen USB- Stick. Denken Sie daran, einen USB-Stick einzustecken, bevor Sie diese Option bestätigen. Die zip-Datei kann dazu verwendet werden, Installationsprobleme zu lösen, z. B. durch das Astaro Support-Team. Back: Rückkehr zum letzten Installationsschritt. Cancel: Anzeige eines Bestätigungsdialogfensters, um die Installation abzubrechen.
  • Seite 19 1 Installation 1.3 Installationsanleitung CD-ROM-Laufwerk Netzwerkkarten IDE- bzw. SCSI-Controller Falls Ihr System die Minimal-Voraussetzungen nicht erfüllt, wird die Installation mit einer entsprechenden Fehlermeldung abgebrochen. Sobald die Hardware-Erkennung abgeschlossen ist, wird der Schritt Detected Hardware (Erkannte Hardware) zu Informationszwecken angezeigt. 4. Drücken Sie die Eingabetaste. Der Schritt Select Keyboard (Tastatur-Layout wählen) wird angezeigt.
  • Seite 20 1.3 Installationsanleitung 1 Installation 9. Wählen Sie eine interne Netzwerkkarte. Damit Sie nach der Installation die Astaro Security Gateway über die Benutzeroberfläche WebAdmin konfigurieren können, müssen Sie eine Netzwerkkarte als interne Netzwerkschnittstelle (eth0) definieren. Wählen Sie aus der verfügbaren Hardware eine Netzwerkkarte aus und bestätigen Sie die Auswahl mit der Eingabetaste.
  • Seite 21 Der Schritt Enterprise Toolkit wird angezeigt. 12. Akzeptieren Sie die Installation des Enterprise Toolkits. Das Enterprise Toolkit schließt die Astaro Software mit ein. Sie können beschließen, nur Open-Source-Software zu installieren. Wir empfehlen jedoch auch die Installation von Enterprise Toolkit, sodass Sie die volle Funktionalität von Astaro Security Gateway nutzen können.

  • Seite 22: Grundkonfiguration

    Standard-Modus (Routing) arbeiten soll, oder ob es den Datenpaketfluss zwischen seinen Schnittstellen überwachen soll. Sie können die Konfiguration von Astaro Security Gateway jedoch später jederzeit ändern. Wenn Sie also noch nicht genau wissen, wie Sie Astaro Security Gateway in Ihr Netzwerk integrieren wollen, können Sie gleich mit der Grundkonfiguration anfangen.
  • Seite 23 1 Installation 1.4 Grundkonfiguration https://192.168.2.100:4444 (beachten Sie das HTTPS-Protokoll und die Portnummer 4444). Beachten Sie, dass abweichend von der betrachteten Beispielkonfiguration alle vorinstallierten Astaro Security Gateway Appliances mit den folgenden Voreinstellungen ausgeliefert werden: Schnittstellen: Interne Netzwerkschnittstelle (eth0) IP-Adresse: 192.168.0.1 Netzmaske: 255.255.255.0 Standardgateway: none Um die Benutzeroberfläche WebAdmin von einer Astaro Security Gateway...

  • Seite 24: Bild 2 Webadmin: Initiale Anmeldeseite

    1.4 Grundkonfiguration 1 Installation Bild 2 WebAdmin: Initiale Anmeldeseite 2. Füllen Sie das Anmeldeformular aus. Geben Sie die genauen Informationen zu Ihrer Firma in die Textfelder ein. Legen Sie ein Kennwort fest und geben Sie eine gültige E-Mail-Adresse für den Administrator ein. Wenn Sie mit den Lizenzbestimmungen einverstanden sind, klicken Sie auf die Schaltfläche Perform Basic System Setup, um mit dem Anmeldevorgang fortzufahren.

  • Seite 25: Bild 3 Webadmin: Reguläre Anmeldeseite

    Alternativ können Sie auch bedenkenlos auf Cancel klicken (in jedem der Schritte des Assistenten) und dadurch den Assistenten beenden, wenn Sie z. B. die Konfiguration von Astaro Security Gateway lieber direkt in WebAdmin vornehmen möchten. Sie können auch jederzeit auf Finish...
  • Seite 26 Konfiguration hängen davon ab, welche Art der Internetverbindung Sie verwenden werden. Klicken Sie auf Next. Falls Astaro Security Gateway über keinen Uplink verfügt oder Sie diesen jetzt noch nicht konfigurieren möchten, lassen Sie das Feld Internet Uplink Type leer. Falls Sie einen Internetuplink konfigurieren, wird IP-Maskierung automatisch für alle Verbindungen aus dem internen Netzwerk ins Internet...
  • Seite 27 ändern. Sie können die Einstellungen jedoch auch später im WebAdmin ändern. Nachdem Sie auf Finish geklickt haben, wird das Dashboard von WebAdmin angezeigt, das Sie auf einen Blick über den aktuellen Systemstatus von Astaro Security Gateway informiert. ASG V8 Administrationshandbuch...

  • Seite 28: Backup-Wiederherstellung

    1.5 Backup-Wiederherstellung 1 Installation Bild 4 WebAdmin: Dashboard Falls Sie bei einzelnen Schritten des Assistenten auf Probleme stoßen, wenden Sie sich bitte an die Support-Abteilung Ihres Astaro Security Gateway-Vertriebspartners. Weitergehende Informationen finden Sie auf den folgenden Webseiten: Astaro Support-Forum Astaro Wissensdatenbank 1.5 Backup-Wiederherstellung...
  • Seite 29 1 Installation 1.5 Backup-Wiederherstellung Wählen Sie im Konfigurationsassistenten Restore existing backup file und klicken Sie auf Next. Sie werden zu der Seite weitergeleitet, wo Sie die Datei hochladen können. 2. Laden Sie das Backup hoch. Klicken Sie auf das Ordnersymbol, wählen Sie die Backupdatei aus, die Sie wiederherstellen möchten, und klicken Sie auf Start Upload.

  • Seite 31: Webadmin

    2 WebAdmin WebAdmin ist die webbasierte grafische Benutzeroberfläche zur vollständigen Administration von Astaro Security Gateway. WebAdmin besteht aus einem Menü und mehreren Seiten, von denen manche wiederum mehrere Registerkarten (engl. tabs) besitzen. Das Menü auf der linken Seite orientiert sich an den Produktmerkmalen von Astaro Security Gateway.

  • Seite 32: Webadmin-Menü

    Bild 5 WebAdmin: Übersicht 2.1 WebAdmin-Menü Das WebAdmin-Menü gibt Ihnen Zugriff auf alle Konfigurationsoptionen von Astaro Security Gateway. Die Verwendung einer Kommandozeile zur Konfiguration ist daher nicht erforderlich. Dashboard: Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Astaro Security Gateway an.

  • Seite 33: Suche Im Menü

    Network Security: Konfiguration von grundlegenden Netzwerksicherheitsfunktionen wie Firewallregeln, Voice over IP oder Einstellungen für das Angriffschutzsystem (engl. intrusion prevention). Web Security: Konfiguration von Webfilter, Application Control von Astaro Security Gateway sowie FTP-Proxy. Mail Security: Konfiguration des SMTP- und POP3-Proxys von Astaro Security Gateway sowie E-Mail-Verschlüsselung.

  • Seite 34: Symbolleiste

    Seite von WebAdmin enthält. Hinweis – Die Onlinehilfe wird mit Hilfe von sogenannten Pattern-Updates aktualisiert und beschreibt stets die aktuelle Version von Astaro Security Gateway. Dies kann zu kleineren Abweichungen zwischen der Onlinehilfe und der tatsächlich installierten Firmware führen.

  • Seite 35: Suche In Listen

    2 WebAdmin 2.4 Suche in Listen klonen (weitere Informationen finden Sie im Abschnitt Schaltflächen und Symbole). Zum Erzeugen eines neuen Listeneintrags klicken Sie auf die Schaltfläche Neue … (wobei „…“ als Platzhalter für das zu erstellende Listenobjekt steht, z. B. Schnittstelle). Dies öffnet ein Dialogfenster, in welchem Sie die Eigenschaften des Objektes festlegen können.

  • Seite 36: Beispiele

    2.4 Suche in Listen 2 WebAdmin die erste E-Mailadresse. Allgemein gesagt berücksichtigt die Suche alle Texte, die Sie in der Liste sehen können, ausgenommen jene Details, die nach einem Klick auf das Infosymbol angezeigt werden. Die Listensuche ignoriert Groß-/Kleinschreibung. Das bedeutet, dass es keinen Unterschied macht, ob Sie Groß- oder Kleinbuchstaben eingeben.

  • Seite 37: Dialogfenster

    Ergebnissen führt, als sich den Kopf über den perfekten Suchausdruck zu zerbrechen, welcher dann eher zu unerwarteten Ergebnissen oder falschen Schlussfolgerungen führt. Eine detaillierte Beschreibung von regulären Ausdrücken und deren Verwendung in Astaro Security Gateway finden Sie in der Astaro Wissensdatenbank. 2.5 Dialogfenster Dialogfenster sind spezielle Eingabemasken in WebAdmin, bei denen Sie aufgefordert sind, bestimmte Informationen einzugeben.

  • Seite 38: Schaltflächen Und Symbole

    2.6 Schaltflächen und Symbole 2 WebAdmin nicht benötigt werden, sind ausgegraut. In manchen Fällen können diese durchaus editiert werden, haben dann allerdings keinen Effekt. Hinweis - Im WebAdmin gibt es u.a. die Schaltflächen Speichern und Übernehmen. Die Schaltfläche Speichern wird immer dann angezeigt, wenn Sie ein Objekt im WebAdmin neu anlegen, zum Beispiel, wenn Sie eine neue statische Route anlegen oder eine Netzwerk-Definition bearbeiten.
  • Seite 39 2 WebAdmin 2.6 Schaltflächen und Symbole Symbole Bedeutung Funktion Statusampel: Aktiviert oder deaktiviert eine Funktion. Sie zeigt Grün, wenn die Funktion aktiv ist, Rot, wenn die Funktion deaktiviert ist, und Gelb, wenn eine Konfigurierung nötig ist, bevor die Funktion aktiviert werden kann. Ordner: Dieses Symbol hat zwei Funktionen: (1) Öffnet eine Objektleiste (siehe Abschnitt unten) auf der linken Seite, aus der Sie passende Objekte auswählen können.

  • Seite 40: Objektleisten

    2.7 Objektleisten 2 WebAdmin Symbole Bedeutung Funktion CSV: Speichert die aktuelle Ansicht der Daten in einer CSV-Datei (Komma-getrennte Werte) ab und öffnet anschließend ein Dialogfenster, um die erzeugte Datei herunterzuladen. 2.7 Objektleisten Eine Objektleiste ist eine Liste von Objekten die gelegentlich auf der linken Seite von WebAdmin eingeblendet wird und dabei vorübergehend das Hauptmenü...
  • Seite 41 2 WebAdmin 2.7 Objektleisten Benutzer/Gruppen, Schnittstellen, Netzwerke und Dienste, um sie für Konfigurationszwecke auswählen zu können. Objekte werden ausgewählt, indem sie einfach zur aktuellen Konfiguration gezogen und dort über dem entsprechenden Feld fallen gelassen werden (Drag and Drop). Es gibt fünf verschiedene Arten von Objektleisten, entsprechend den Objekttypen, die es gibt.

  • Seite 43: Dashboard

    3 Dashboard Das Dashboard zeigt eine grafische Momentaufnahme des Betriebsstatus von Astaro Security Gateway. Standardmäßig wird das Dashboard alle fünf Sekunden aktualisiert. Das Zeitintervall für die Aktualisierung kann von Nie (keine Aktualisierung) bis zu 60 Sekunden eingestellt werden. Bild 9 WebAdmin: Beispielhafte Dashboard-Anzeige der ASG SoftwareV8 Das Dashboard erscheint standardmäßig nach der Anmeldung am WebAdmin und...
  • Seite 44 3 Dashboard Prozessorauslastung (CPU) in Prozent Speicherauslastung (RAM) in Prozent Der von der Swap-Partition benutzte Festplattenplatz in Prozent Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz in Prozent Der von der Daten-Partition belegte Festplattenplatz in Prozent Der Status des USV-Gerätes (Unterbrechungsfreie Stromversorgung) (falls vorhanden) Heutiger Bedrohungsstatus: Ein Zähler für die wichtigsten registrierten Bedrohungen seit Mitternacht:...
  • Seite 45 Webfilter: Ein Gateway auf Anwendungsebene für das HTTP/S- Protokoll, das eine große Auswahl an Filtermechanismen für die Netzwerke bietet, die seine Dienste verwenden dürfen. Netzwerksichtbarkeit: Die Layer-7-Anwendungskontrolle von Astaro ermöglicht die Kategorisierung und Kontrolle von Netzwerkverkehr. FTP-Proxy: Ein Gateway auf Anwendungsebene für Dateitransfers über das File Transfer Protocol (FTP).

  • Seite 46: Flow-Monitor

    Wireless Security: Konfiguration von kabellosen Netzwerken und Access Points. 3.1 Flow-Monitor Der Flow-Monitor von Astaro Security Gateway ist eine Anwendung, die schnellen Zugriff auf Informationen zum aktuellen Datenverkehr bietet, der die Schnittstellen von ASG passiert. Der Zugriff erfolgt ganz einfach über das Dashboard durch einen Klick auf eine der Schnittstellen oben rechts.

  • Seite 47: Tabellarische Ansicht

    3 Dashboard 3.1 Flow-Monitor In der Diagrammansicht unten wird eine Legende angezeigt, die Informationen zur Art des Datenverkehrs auf einer Schnittstelle bietet. Jeder Art von Datenverkehr ist eine andere Farbe zugewiesen, sodass eine Unterscheidung des im Diagramm angezeigten Datenverkehrs problemlos möglich ist. Note –...
  • Seite 48 Regel erstellt. Diese Option ist nicht für Anwendungen verfügbar, die für einen reibungslosen Betrieb von Astaro Security Gateway erforderlich sind. So kann beispielsweise WebAdmin-Datenverkehr nicht blockiert werden, da dies dazu führen könnte, dass Sie nicht mehr auf WebAdmin zugreifen können. Auch nicht klassifizierter Datenverkehr kann nicht blockiert werden.

  • Seite 49: Verwaltung

    4 Verwaltung In diesem Kapitel wird beschrieben, wie grundlegende Systemeinstellungen sowie Einstellungen für die webbasierte, administrative Benutzeroberfläche von Astaro Security Gateway, WebAdmin, vorgenommen werden. Die Seite Verwaltungsübersicht zeigt eine Statistik der letzten Anmeldeversuche an WebAdmin sowie mögliche Änderungen. Klicken Sie auf die Schaltfläche Anzeigen in der Spalte Änderungsprotokoll, um die Änderungen im Detail zu sehen.

  • Seite 50: Organisatorisches

    Geben Sie den Namen, den Ort Ihrer Organisation und eine E-Mail-Adresse ein, über die eine Person oder Gruppe erreicht werden kann, die die technische Verantwortung für Ihr Astaro Security Gateway trägt.Diese Informationen werden auch in Zertifikaten für IPsec, E-Mail-Verschlüsselung und den WebAdmin verwendet.
  • Seite 51 4 Verwaltung 4.1 Systemeinstellungen eingestellte Zeitzone durchgeführt, auch wenn die automatische Synchronisierung mit Zeitservern deaktiviert ist. Ändern Sie nie Datum oder Zeit, während die Synchronisierung mit Zeitservern noch aktiviert ist, da die automatische Synchronisierung Ihre Änderungen immer sofort wieder rückgängig machen wird. Falls Sie Datum oder Zeit manuell einstellen müssen, denken Sie daran, zuerst alle Server aus dem Feld NTP-Server im Abschnitt Synchronisierung mit Internetserver zu entfernen und Apply zu klicken.
  • Seite 52 4.1 Systemeinstellungen 4 Verwaltung der Zukunft stammen). Die meisten Diagramme stellen die Werte dieser Zeitspanne komprimiert dar. Die im Dashboard angezeigte verstrichene Zeit seit der letzten Pattern- Prüfung zeigt den Wert „nie“, obwohl die letzte Prüfung erst wenige Minuten zurückliegt. Automatisch erzeugte Zertifikate auf der ASG können ungültig werden, da der Beginn ihrer Gültigkeit aus Sicht des Systems in der Zukunft liegt.

  • Seite 53: Bild 10 Systemeinstellungen: Einstellung Von Datum Und Uhrzeit

    4 Verwaltung 4.1 Systemeinstellungen Zur Synchronisierung der Systemzeit mit Hilfe eines Zeitservers wählen Sie einen oder mehrere NTP-Server aus. Klicken Sie auf Übernehmen, nachdem Sie die Konfiguration abgeschlossen haben. Bild 10 Systemeinstellungen: Einstellung von Datum und Uhrzeit NTP-Server: Der NTP Server Pool ist voreingestellt. Diese Netzwerkdefinition bezieht sich auf den großen virtuellen Zusammenschluss von öffentlichen Zeitservern des pool.ntp.org-Projekts.

  • Seite 54: Shell-Zugriff

    4.1 Systemeinstellungen 4 Verwaltung Konfigurierte Server testen: Klicken Sie auf diese Schaltfläche, um zu testen, ob mit den gewählten NTP-Servern eine Verbindung von Ihrem Gerät aus aufgebaut werden kann und ob verwendbare Zeitdaten zurückgeliefert werden. Dabei wird die Zeitverschiebung zwischen Ihrem System und den Servern ermittelt.

  • Seite 55: Zurücksetzung

    4 Verwaltung 4.1 Systemeinstellungen Um die Funktion Zugang mit öffentlichen Schlüsseln zulassen zu verwenden, müssen Sie für jeden Benutzer, der sich über seinen öffentlichen Schlüssel authentifizieren darf, den entsprechenden öffentlichen Schlüssel in das Feld Autorisierte Schlüssel für loginuser hochladen. Root-Login zulassen: Sie können SSH-Zugriff für den Root-Benutzer zulassen. Diese Option ist standardmäßig ausgeschaltet, da sie zu einem erhöhten Sicherheitsrisiko führt.
  • Seite 56 Werkszurücksetzung: Diese Funktion setzt das System in den Auslieferungszustand zurück. Die folgenden Daten werden dabei gelöscht: Systemkonfiguration Webfilter-Cache Protokoll- und Berichtsdaten Datenbanken Up2Date-Pakete Lizenzen Kennwörter Hochverfügbarkeitsstatus Die Versionsnummer der Astaro Security Gateway Software bleibt hingegen unverändert – alle installierten Firmware- und Pattern-Aktualisierungen werden beibehalten. ASG V8 Administrationshandbuch...

  • Seite 57: Webadmin-Einstellungen

    4 Verwaltung 4.2 WebAdmin-Einstellungen Hinweis –Astaro Security Gateway wird ausgeschaltet, nachdem Sie eine Werkszurücksetzung veranlasst haben. 4.2 WebAdmin-Einstellungen Im Menü Verwaltung > WebAdmin-Einstellungen werden die grundlegenden Einstellungen für WebAdmin vorgenommen, wie zum Beispiel die Zugriffskontrolle, der TCP-Port, Benutzereinstellungen und die WebAdmin- Sprache.

  • Seite 58: Zugriffskontrolle

    4.2 WebAdmin-Einstellungen 4 Verwaltung sicherste Methode besteht darin, den Zugriff auf das Gateway auf einen einzigen administrativen Computer über HTTPS zu beschränken. Zugriffsverkehr protokollieren: Wenn Sie alle Aktivitäten betreffend den WebAdmin-Zugriff in der Firewall-Protokolldatei aufgeführt haben möchten, wählen Sie die Option Zugriffsverkehr protokollieren. 4.2.2 Zugriffskontrolle Auf der Registerkarte WebAdmin-Einstellungen >...

  • Seite 59: Sicherheit

    4 Verwaltung 4.2 WebAdmin-Einstellungen 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein. Mitglieder: Fügen Sie Benutzer und Gruppen zu diesem Feld hinzu, die diese Rolle besitzen sollen. Nur Leserechte gewähren (optional): Wählen Sie diese Option, um den Mitgliedern für alle Bereiche von WebAdmin Leserechte zu geben.

  • Seite 60: Https-Zertifikat

    4.2 WebAdmin-Einstellungen 4 Verwaltung 4.2.4 HTTPS-Zertifikat Auf der Registerkarte Verwaltung > WebAdmin-Einstellungen > HTTPS-Zertifikat können Sie das WebAdmin-CA-Zertifikat in Ihrem Browser installieren oder neu generieren, oder Sie können ein signiertes Zertifikat für WebAdmin und das Benutzerportal auswählen. Während der Erstkonfiguration des WebAdmin-Zugriffs wurde automatisch ein lokales CA-Zertifikat auf dem Gateway erzeugt.

  • Seite 61: Benutzereinstellungen

    4 Verwaltung 4.2 WebAdmin-Einstellungen nach spätestens 24 Stunden gültig und bleibt dies für einen Zeitraum von 27 Jahren. W e bAdm i n - Ze r ti f i k a t n e u e r s te l l e n Das WebAdmin-Zertifikat bezieht sich auf den Hostnamen, den Sie während der ersten Anmeldung angegeben haben.Wenn sich der Hostname in der Zwischenzeit geändert hat, so erscheint im Browser eine entsprechende...

  • Seite 62: Bild 12 Webadmin-Einstellungen: Konfiguration Der Benutzereinstellungen

    4.2 WebAdmin-Einstellungen 4 Verwaltung Bild 12 WebAdmin-Einstellungen: Konfiguration der Benutzereinstellungen Kon f i gu r a ti on de r W e bAdm i n - Ta s ta tu r k ü r ze l Hier können Sie Tastaturkürzel festlegen, um Objektleisten, die für viele Konfigurationen verwendet werden, zu öffnen und zu schließen (weitere Informationen zu den Objektleisten finden Sie unter WebAdmin >...

  • Seite 63: Erweitert

    Sie einen Wert. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern. As ta r o Ne w s F e e d Der Astaro News Feed ist, wenn er aktiviert ist, ein kleiner Bereich im Dashboard, in dem Neuigkeiten über Astaro und seine Produkte bekannt gegeben werden. Er ist standardmäßig ausgeschaltet.

  • Seite 64: Lizenzen

    Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern. 4.3 Lizenzen Die Verfügbarkeit von bestimmten Funktionen auf Astaro Security Gateway wird über Lizenzen und Abonnements (engl. subscriptions) geregelt, d. h. Lizenzen und Abonnements, die Sie mit Ihrem Gateway erworben haben, ermöglichen Ihnen, bestimmte Funktionen zu verwenden und andere nicht.

  • Seite 65: Erwerb Einer Lizenz

    4 Verwaltung 4.3 Lizenzen 4.3.1 Erwerb einer Lizenz Nach dem Kauf einer Astaro Lizenz erhalten Sie per E-Mail Ihre Aktivierungsschlüssel. Diese Schlüssel benötigen Sie, um die eigentliche Lizenz zu erzeugen bzw. eine bereits bestehende Lizenz zu aktualisieren. Um eine Lizenz zu aktivieren, melden Sie sich im MyAstaro-Portal an und gehen Sie zur Lizenzverwaltungsseite.

  • Seite 66: Ondemand-Lizenzen

    Ihre Lizenz in MyAstaro zu aktivieren. Nur die Lizenz-Datei kann in die ASG importiert werden. 4.3.2 OnDemand-Lizenzen Das Astaro OnDemand-Lizenzmodell ist einfacher und wesentlich flexibler als das klassische Lizenzmodell. Zunächst gibt es eine Basislizenz (base license), ähnlich der Home-Use-Lizenz des klassischen Lizenzmodells, welche alle Basisfunktionalitäten kostenlos zur Verfügung stellt.
  • Seite 67 4 Verwaltung 4.3 Lizenzen Funktion Basislizenz Mail Grundlegende Netzwerkfunktionen (Statisches Routing, DHCP, DNS, Auto QoS, NTP, ...) Firewall/NAT (DNAT, SNAT, ...) PPTP- & L2TP- Fernzugriff Lokale Protokollierung, Standardberichte Angriffschutz (IPS) (Patterns, DoS, Flood, Portscan ...) IPsec- & SSL-Site-to- Site-VPN, IPsec- & SSL-Fernzugriff Erweiterte Netzwerkfunktionen...
  • Seite 68 Filterung Web Application Security Wireless Security Für detailliertere Informationen zu Abonnements und ihrem Funktionsumfang wenden Sie sich bitte an Ihren zertifizierten Astaro Partner oder die Astaro Homepage. Up2Dates Jedes Abonnement aktiviert die vollständige Unterstützung automatischer Updates, das bedeutet, dass Sie automatisch über neue Firmware-Updates informiert werden.

  • Seite 69: Support Und Wartung

    MyAstaro- Portal erzeugt. Abonnements Der Astaro Webfilter wird auf dem Astaro Security Gateway über ein optionales Abonnement (engl. Subscription) aktiviert und bietet die Funktionen Inhaltsfilterung, Viren- und Spyware-Schutz für HTTP/S sowie Antiviren- Mechanismen und Prüfung von Dateierweiterungen für FTP. Wenn das Abonnement Web Filtering nicht aktiviert ist, können im WebAdmin die...
  • Seite 70 Web Security > HTTP/S Profile > Filteraktionen Web Security > FTP > Antivirus Die Astaro Mail Security wird auf dem Astaro Security Gateway über ein optionales Abonnement (engl. Subscription) aktiviert und bietet die Funktionen E-Mail- Filterung und E-Mail-Verschlüsselung. Die E-Mail-Filterung bietet Schutz vor Spam, Viren und Phishing.

  • Seite 71: Übersicht

    4 Verwaltung 4.3 Lizenzen Bild 14 Lizenzen: Abonnement-Warnhinweis 4.3.4 Übersicht Die Registerkarte Übersicht zeigt detaillierte Informationen zu Ihrer Lizenz und besteht aus mehreren Abschnitten: Basislizenz: Grundlegende Lizenzparameter wie Besitzer, ID oder Ablaufdatum. Network Security, Mail Security, Web Security, Web Application Security, Wireless Security: Diese Abschnitte geben Informationen zu den Abonnements, beispielsweise ob diese erworben wurden und daher aktiviert sind, ihr Ablaufdatum und eine Kurzbeschreibung der Funktionen,...

  • Seite 72: Installation

    4.3 Lizenzen 4 Verwaltung Bild 15 Lizenzen: Übersicht (OnDemand-Lizenzmodell) 4.3.5 Installation Auf der Registerkarte Verwaltung > Lizenzen > Installation können Sie neue Lizenzen hochladen und installieren. Bild 16 Lizenzen: Installation einer Lizenz Um eine Lizenz zu installieren, gehen Sie folgendermaßen vor: ASG V8 Administrationshandbuch...

  • Seite 73: Aktive Ip-Adressen

    Aktualisierungsdienstes von Astaro Security Gateway. Regelmäßige Aktualisierungen sorgen dafür, dass das Gateway stets über die neuesten Fehlerkorrekturen, Produktverbesserungen und aktuellen Virensignaturen verfügt. Jede Aktualisierung wird von Astaro digital signiert – unsignierte oder gefälschte Aktualisierungen können so erkannt und Installationen von gefälschten Aktualisierungen verhindert werden.

  • Seite 74: Übersicht

    4.4 Up2Date 4 Verwaltung Es gibt zwei Arten von Software-Aktualisierungen: Firmware-Aktualisierungen: Firmware-Aktualisierungen enthalten Fehlerkorrekturen und Produktverbesserungen für Astaro Security Gateway Software. Pattern-Aktualisierungen: Pattern-Aktualisierungen halten Virus-, Spam- und Angriffschutz-Signaturen sowie die Onlinehilfe auf dem neuesten Stand. Um Up2Date-Pakete herunterzuladen, öffnet das Gateway eine TCP -Verbindung zu den Aktualisierungsservern auf Port 443.

  • Seite 75: Bild 17 Up2Date: Übersicht

    4 Verwaltung 4.4 Up2Date Bild 17 Up2Date: Übersicht U p2 D a te -F or ts c h r i tt Dieser Bereich ist nur sichtbar, wenn Sie einen Installationsvorgang angestoßen haben. Klicken Sie auf die Schaltfläche Up2Date-Fortschritt in neuem Fenster anzeigen, um den Aktualisierungsfortschritt zu verfolgen.

  • Seite 76: Bild 18 Up2Date: Fortschrittsfenster

    4.4 Up2Date 4 Verwaltung Bild 18 Up2Date: Fortschrittsfenster F i r m w a r e Im Abschnitt Firmware sehen Sie die aktuell installierte Firmware-Version. Wenn ein Aktualisierungspaket verfügbar ist, erscheint eine Schaltfläche Jetzt auf neueste Version aktualisieren. Zusätzlich wird eine Nachricht im Abschnitt Verfügbare Firmware-Up2Dates angezeigt.

  • Seite 77: Konfiguration

    Gerät passen, das Sie verwenden. Welche Patterns heruntergeladen werden, hängt von Ihren Einstellungen und Ihrer Hardwarekonfiguration ab. Wenn Sie zum Beispiel die Angriffschutzfunktion (IPS) von Astaro Security Gatewaynicht verwenden, werden neue IPS-Patterns nicht installiert, was den Abstand zwischen installierten und erhältlichen Patternversionen vergrößert.

  • Seite 78: Erweitert

    F i r m w a r e - D ow n l oa d- I n te r v a l l Diese Option steht standardmäßig auf 15 Minuten, das heißt, dass Astaro Security Gateway alle 15 Minuten nach verfügbaren Firmware-Aktualisierungen sucht.Astaro Security Gateway lädt verfügbare Firmware-Aktualisierungspakete...

  • Seite 79: Backups

    Dieser Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein. Falls Sie einen übergeordneten Proxy eingerichtet haben, holt sich Astaro Security Gateway die Aktualisierungspakete von diesem Proxy. 4.5 Backups Mit der Backup-Funktion können Sie die Einstellungen des Gateways auf einer lokalen Festplatte sichern.

  • Seite 80: Backup/Wiederherstellen

    4.5 Backups 4 Verwaltung Legen Sie nach jeder Änderung der Systemeinstellungen eine neue Backup-Datei an. Auf diese Weise haben Sie immer die aktuellen Einstellungen Ihres Systems gespeichert. Bewahren Sie dieses Backup außerdem an einem sicheren Ort auf, da sicherheitsrelevante Daten wie z. B. Zertifikate und kryptografische Schlüssel darin enthalten sind.
  • Seite 81 Um ein Backup von einem USB-Flashspeicher wiederherzustellen, kopieren Sie die Backup-Datei auf den USB- Flashspeicher und schließen Sie das Gerät an Astaro Security Gateway an, bevor Sie das System starten. Befinden sich mehrere Backup- Dateien auf dem Speichergerät, wird die lexikografisch erste Datei verwendet (Zahlen vor Buchstaben).
  • Seite 82 4.5 Backups 4 Verwaltung o Vor Herunterladen verschlüsseln: Bevor Sie ein Backup herunterladen oder versenden, haben Sie die Möglichkeit, dieses zu verschlüsseln. Die Verschlüsselung wird mit Blowfish- Verschlüsselung im CBC-Modus realisiert. Geben Sie ein Kennwort ein (ein zweites Mal zur Bestätigung). Nach diesem Kennwort werden Sie gefragt, wenn Sie das Backup importieren wollen.
  • Seite 83 Stellen von ASG genutzt werden, z. B. die Postmaster- Adressen in Mail Security, Benachrichtigungen usw. Diese Option ist besonders für IT-Partner hilfreich, die Astaro Security Gateway Geräte beim Kunden einrichten. 3. Klicken Sie auf Create Backup Now (Backup jetzt erstellen).

  • Seite 84: Automatische Backups

    4.5 Backups 4 Verwaltung müssen Sie zunächst das Kennwort eingeben. Beachten Sie, dass beim Import des Backups noch keine Wiederherstellung durchgeführt wird. Das Backup wird lediglich zur Liste aller verfügbaren Backups (Available Backups) hinzugefügt. 4.5.2 Automatische Backups Auf der Registerkarte Verwaltung > Backups > Automatische Backups haben Sie die Möglichkeit, Backups automatisch erzeugen zu lassen.

  • Seite 85: Benutzerportal

    Spalte Creator versehen. Von dort aus können sie genau wie manuell erzeugte Backup-Dateien wiederhergestellt, heruntergeladen oder gelöscht werden. 4.6 Benutzerportal Das Benutzerportal von Astaro Security Gateway ist eine besondere Browser- basierte Anwendung, die autorisierten Benutzern personalisierte E-Mail-Dienste und Dienste für den Fernzugriff zur Verfügung stellt. Der Zugriff ist über die URL der Astaro Security Gateway möglich, zum Beispiel https://192.168.2.100...

  • Seite 86: Bild 20 Benutzerportal: Begrüßungsseite

    4.6 Benutzerportal 4 Verwaltung Bild 20 Benutzerportal: Begrüßungsseite Über das Benutzerportal haben Benutzer Zugriff auf die folgenden Dienste: SMTP-Quarantäne: Benutzer können sich Nachrichten in Quarantäne anschauen und gegebenenfalls freigeben. Welche Arten von Nachrichten sie freigeben dürfen, können sie auf der Registerkarte Mail Security > Quarantänebericht >...
  • Seite 87 Adresse ein und klicken Sie auf das Häkchensymbol, um den Eintrag zu speichern. Client-Authentifizierung: Hier können Benutzer die Installationsdatei des Astaro Authentication Agent (AAA) herunterladen. Der AAA kann als Authentifizierungsmethode für den Webfilter genutzt werden. Der Menüpunkt Client-Authentifizierung ist nur verfügbar, wenn Client- Authentifizierung aktiviert ist.

  • Seite 88: Allgemein

    4.6 Benutzerportal 4 Verwaltung sie sichere Websites besuchen. Nach Anklicken der Schaltfläche Proxy-CA- Zertifikat importieren, wird der Benutzer von seinem Browser gefragt, ob er der CA für verschiedene Zwecke vertraut. Weitere Informationen erhalten Sie unter Web Security > Webfilter > HTTPS-CAs. Abmelden: Klicken Sie hier, um sich vom Benutzerportal abzumelden.

  • Seite 89: Erweitert

    4 Verwaltung 4.6 Benutzerportal 1. Aktivieren Sie das Benutzerportal. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Benutzerportal-Optionen kann nun bearbeitet werden. 2. Wählen Sie die zugelassenen Netzwerke aus. Wählen Sie die Netzwerke aus, die Zugriff auf das Benutzerportal haben dürfen.
  • Seite 90 4.6 Benutzerportal 4 Verwaltung zurückzukehren, ohne sich neu anmelden zu müssen. Cookies können jederzeit vom Benutzer durch Anklicken der Schaltfläche Abmelden im Menü gelöscht werden. P or ta l - Ei n tr ä ge de a k ti v i e r e n Für die hier angegebenen Funktionen befindet sich ein Menüeintrag im Benutzerportal, insofern die entsprechende Funktion in WebAdmin aktiviert wurde.

  • Seite 91: Benachrichtigungen

    Angriffsversuche, erzeugen eine Vielzahl von Benachrichtigungen, was schnell dazu führen kann, dass die Postfächer der Empfänger förmlich überlaufen. Zu diesem Zweck verfügt Astaro Security Gateway über angemessene Voreinstellungen, die die Anzahl der Benachrichtigungen, die pro Stunde verschickt werden, begrenzen. Falls Sie diese Option deaktivieren, erzeugt jedes sicherheitsrelevante Ereignis eine Benachrichtigung;...

  • Seite 92: Benachrichtigungen

    G e r ä te s pe zi f i s c h e r Te x t Hier können Sie eine Beschreibung von Astaro Security Gateway eingeben, z. B. seinen Standort. Diese wird dann in den Benachrichtigungen angezeigt, die verschickt werden.

  • Seite 93: Anpassungen

    4.8 Anpassungen Über die Registerkarten im Menü Verwaltung > Anpassungen können verschiedene Vorlagen angepasst und lokalisiert werden, die von Astaro Security Gateway zur Erzeugung von Statusmeldungen und E-Mail-Benachrichtigungen verwendet werden. Damit sind Sie in der Lage, diverse Meldungen der Firewall Ihren Richtlinien oder Ihrer Unternehmensidentität (Corporate Identity)

  • Seite 94: Bild 22 Anpassungen: Beispiel Einer Blockierten Webseite Mit Angabe Der

    4.8 Anpassungen 4 Verwaltung Bild 22 Anpassungen: Beispiel einer blockierten Webseite mit Angabe der anpassbaren Elemente F i r m e n l ogo Hier können Sie Ihr eigenes Firmenlogo/-banner (im jpg-Format) hochladen, das in den folgenden Fällen verwendet wird: Webfilter-Meldungen Blockierte POP3-E-Mails Statusmeldungen zur Aufhebung der Quarantäne (werden angezeigt, wenn...

  • Seite 95: Webfilter

    Registerkarte Verwaltung > Anpassungen > Webfilter geändert werden. 4.8.2 Webfilter Passen Sie hier die Vorlagen für Meldungen an, die vom Webfilter von Astaro Security Gateway angezeigt werden, wenn versucht wird, auf blockierte Websites zuzugreifen. Die Meldungen beziehen sich dabei auf die jeweilige Ursache der Blockierung.

  • Seite 96: Download-Verwaltung

    4.8 Anpassungen 4 Verwaltung zur Negativliste hinzuzufügen, gehen Sie auf die Seite Web Security > Webfilter > URL-Filterung. Virus gefunden: Diese Meldung erscheint, wenn eine Datei blockiert wurde, die einen Virus enthält. Datei wird heruntergeladen: Diese Meldung erscheint, wenn eine Datei gerade heruntergeladen wird.

  • Seite 97: Bild 23 Anpassungen: Http-Statusmeldung Schritt 1 Von 3

    4 Verwaltung 4.8 Anpassungen Bild 23 Anpassungen: HTTP-Statusmeldung Schritt 1 von 3 Bild 24 Anpassungen: HTTP-Statusmeldung Schritt 2 von 3 ASG V8 Administrationshandbuch...

  • Seite 98: Smtp-/Pop3-Proxy

    Bild 25 Anpassungen: HTTP-Statusmeldung Schritt 3 von 3 4.8.4 SMTP-/POP3-Proxy Passen Sie hier diejenigen Vorlagen an, die vom SMTP- und POP3-Proxy von Astaro Security Gateway erzeugt werden. Sie können die Vorlagen in andere Sprachen übersetzen oder sie zusätzlich um Kontaktinformationen erweitern, um nur einige Beispiele zu nennen.

  • Seite 99: Snmp

    SNMP-Traps an SNMP-Verwaltungswerkzeuge verschickt. Ersteres wird mit Hilfe von sogenannten Management Information Bases (MIBs) erreicht. Eine MIB definiert, welche Informationen zu welchen Netzwerkelementen abgerufen werden können. Astaro Security Gateway unterstützt SNMP Version 2 und 3 sowie die folgenden MIBs: DISMAN-EVENT-MIB: Management Information Base für Ereignisse HOST-RESOURCES-MIB: Management Information Base für Host-...

  • Seite 100: Snmp 4 Verwaltung

    4.9 SNMP 4 Verwaltung 4.9.1 Anfrage Auf der Seite Verwaltung > SNMP > Anfrage können Sie die Nutzung von SNMP- Anfragen aktivieren. Bild 27 SNMP: Konfiguration von SNMP-Anfragen Um SNMP-Anfragen zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie SNMP-Anfragen. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 101 3. Wählen Sie zugelassene Netzwerke aus. Netzwerke im Feld Zugelassene Netzwerke dürfen Anfragen an den SNMP- Agenten von Astaro Security Gateway stellen. Beachten Sie, dass der Zugriff immer auf das Leserecht (engl. read-only) beschränkt ist. Community-String: Geben Sie bei Nutzung von Version 2 einen Community-String ein.

  • Seite 102: Traps

    4 Verwaltung As ta r o Noti f i e r MI B In diesem Abschnitt können Sie den Astaro „Notifier Management Information Base“ (MIB) herunterladen, der die Definitionen der Astaro SNMP- Benachrichtigungen enthält, die auf Ihren aktuellen Einstellungen für Benachrichtigungs-Traps basieren.

  • Seite 103: Zentrale Verwaltung

    Ferne zu verwalten. 4.10.1 Astaro Command Center Astaro Command Center (ACC) ist Astaros Produkt zur zentralen Verwaltung und stellt die folgenden Funktionen für die von ihm verwalteten ASGs zur Verfügung: Überwachung, Konfiguration, Wartung und Inventarisierung. Dabei kann Astaro Command Center von mehreren Administratoren gleichzeitig bedient werden.

  • Seite 104: Bild 28 Zentrale Verwaltung: Dashboard Von Astaro Command Center

    über jedes Gerät. Bei mehreren Administratoren können diesen unterschiedliche Zugriffsrechte zugewiesen werden – das macht den ACC zur perfekten Lösung für Astaro Partner und MSSPs (Managed Security Service Provider). Weitere Informationen zu Astaro Command Center finden Sie im ACC-Datenblatt, das Sie von der Astaro-Website herunterladen können.
  • Seite 105 Die Statusampel wird gelb und der Abschnitt ACC-Einstellungen kann nun bearbeitet werden. 2. Geben Sie den ACC-Host an. Wählen oder legen Sie den ACC-Server an, zu dem sich Astaro Security Gateway verbinden soll. Authentifizierung (optional): Wenn der ACC Authentifizierung erfordert, wählen Sie diese Option und geben Sie das Kennwort (Verteilter Schlüssel) an, das auf dem ACC-Server konfiguriert ist.
  • Seite 106 4.10 Zentrale Verwaltung 4 Verwaltung Center mit einem Browser über das HTTPS-Protokoll auf Port 4444 für die WebAdmin- und auf Port 4422 für die Gateway-Manager-Schnittstelle erfolgt. ASG V8 Administrationshandbuch...

  • Seite 107: Bild 29 Zentrale Verwaltung: Verwendung Eines Acc-V2-Servers

    4 Verwaltung 4.10 Zentrale Verwaltung Bild 29 Zentrale Verwaltung: Verwendung eines ACC-V2-Servers AC C - Zu s ta n d Sie können den aktuellen Verbindungsstatus und Zustand im Abschnitt ACC- Zustand sehen. Ein Neuladen der Seite aktualisiert diese Daten. ASG V8 Administrationshandbuch...

  • Seite 108: Hochverfügbarkeit

    AC C - Obj e k te Dieser Abschnitt ist deaktiviert (ausgegraut), es sei denn, es gibt Objekte, die von einem ACC aus angelegt wurden und dieser ACC ist nun getrennt von Astaro Security Gateway. ACC-erzeugte Objekte können Netzwerkdefinitionen, Definitionen entfernter Hosts, IPsec-VPN-Tunnel und Ähnliches sein.
  • Seite 109 Rechenzeit. Die Konzepte Hochverfügbarkeit und Cluster sind von der Implementierung her in Astaro Security Gateway eng miteinander verwandt. So kann z. B. ein hochverfügbares System als ein Zwei-Knoten-Cluster angesehen werden, was die Mindestanforderung an ein redundantes System darstellt.
  • Seite 110 4.11 Hochverfügbarkeit 4 Verwaltung Berichte Alle Berichtsdaten werden auf dem Master-Knoten konsolidiert und in Abständen von fünf Minuten auf die anderen Knoten übertragen. Im Fall einer Übernahme durch das Sekundärsystem verlieren Sie daher höchstens fünf Minuten an Daten. Es gibt allerdings einen Unterschied in Bezug auf die Ansammlung von Daten. Die Diagramme auf den Registerkarten Protokolle &...

  • Seite 111: Hardware- Und Software-Voraussetzungen

    Heartbeat-fähige Ethernet-Netzwerkkarten. Auf der HCL (Hardware Compatibility List) können Sie nachsehen, welche Netzwerkkarten unterstützt werden. Sie finden die HCL in der Astaro Wissensdatenbank (verwenden Sie „HCL“ als Suchbegriff). Ethernet-Crosskabel (für die Verbindung zwischen Master und Slave in einem Hot-Standby-System).ASGAppliances der Modelle 320, 425 und 525, deren dedizierte HA-Schnittstelle eine Gigabit-auto-MDX-Schnittstelle ist, können auch durch ein Standard-Ethernetkabel der IEEE-Norm 802.3...
  • Seite 112 4.11 Hochverfügbarkeit 4 Verwaltung Die Registerkarte Verwaltung > Hochverfügbarkeit > Status führt alle Geräte auf, die zu einem Hot-Standby-System bzw. Cluster gehören, und zeigt die folgenden Informationen an: ID: Die Knoten-ID des Geräts. In einem Hot-Standby-System ist die ID entweder 1 (Master) oder 2 (Slave). Die ID in einem Cluster reicht von 1 bis 10, da ein Cluster aus maximal zehn Knoten bestehen kann.

  • Seite 113: Systemstatus

    4 Verwaltung 4.11 Hochverfügbarkeit Version: Versionsnummer der Astaro Security Gateway Software, die auf dem System installiert ist. Letzte Statusänderung: Zeitpunkt der letzten Statusänderung. Neustart/Herunterfahren: Mit diesen Schaltflächen kann ein Gerät manuell neu gestartet oder heruntergefahren werden. Knoten entfernen: Verwenden Sie diese Schaltfläche, um einen toten Cluster- Knoten über WebAdmin zu entfernen.

  • Seite 114: Konfiguration

    4 Verwaltung Der von der Protokoll-Partition (engl. log partition) belegte Festplattenplatz in Prozent Der von der Daten-Partition belegte Festplattenplatz in Prozent 4.11.4 Konfiguration Die HA-Funktionalität von Astaro Security Gateway umfasst drei Grundeinstellungen: Automatische Konfiguration Hot-Standby (aktiv-passiv) Cluster (aktiv-aktiv) Automatische Konfiguration:Astaro Security Gateway verfügt über eine Plug- and-Play-Konfigurationsoption speziell für ASG Appliances, die es ermöglicht, ein...
  • Seite 115 System, bestehend aus zwei Knoten, konfiguriert werden, was die Mindestvoraussetzung für ein redundantes System ist. Eine der größten technischen Verbesserungen von Astaro Security Gateway Software V8 ist, dass die Latenzzeit für eine Übernahme durch das Standby-Gerät auf weniger als zwei Sekunden verringert werden konnte.Zusätzlich zur Firewall-Synchronisierung...

  • Seite 116: Bild 32 Hochverfügbarkeit: Konfiguration Eines Clusters

    4.11 Hochverfügbarkeit 4 Verwaltung Bild 32 Hochverfügbarkeit: Konfiguration eines Clusters Um den Master für ein Hot-Standby bzw. Cluster zu konfigurieren, gehen Sie folgendermaßen vor: 1. Wählen Sie einen HA-Betriebsmodus. Standardmäßig ist die HA-Funktion deaktiviert. Die folgenden Modi sind möglich: Automatische Konfiguration Hot-Standby (aktiv-passiv) Cluster (aktiv-aktiv) Wählen Sie entweder Hot-Standby oder Cluster aus.
  • Seite 117 4 Verwaltung 4.11 Hochverfügbarkeit 2. Nehmen Sie die folgenden Einstellungen vor: Sync-NIC: Wählen Sie die Netzwerkkarte aus, über die Master- und Slave- Systeme miteinander kommunizieren. Wenn Linkbündelung aktiviert ist, können Sie hier auch eine Linkbündelungsschnittstelle sehen. Hinweis – Beachten Sie, dass nur jene Netzwerkkarten angezeigt werden, die noch nicht konfiguriert wurden.
  • Seite 118 4.11 Hochverfügbarkeit 4 Verwaltung 1. Wählen Sie einen HA-Betriebsmodus. Standardmäßig ist die HA-Funktion deaktiviert. Die folgenden Modi sind möglich: Automatische Konfiguration Hot-Standby (aktiv-passiv) Cluster (aktiv-aktiv) Wenn sie die automatische Konfiguration wählen, brauchen Sie nur die Schnittstelle auszuwählen, über die mit dem Master kommuniziert wird. 2.
  • Seite 119 Slave- und die Worker-Knoten eine Werksrücksetzung (engl. Factory Reset) durch und fahren herunter. Weitere Informationen zu diesem Thema (insbesondere Anwendungsfälle) finden Sie im HA/Cluster Guide, der unter Astaro Wissensdatenbank verfügbar ist. Kon f i gu r a ti on Es ist möglich, die Synchronisierungsschnittstelle in einer laufenden Konfiguration zu ändern.

  • Seite 120: Ausschalten/Neustart

    Herunterfahren durch eine endlose Reihe von Pieptönen im Abstand von einer Sekunde signalisiert. Um Astaro Security Gateway herunterzufahren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche System jetzt herunterfahren. 2. Bestätigen Sie den Warnhinweis.
  • Seite 121 Neustart: Mit dieser Aktion können Sie das System neu starten. Abhängig von der verwendeten Hardware und Konfiguration kann dieser Prozess mehrere Minuten dauern. Um Astaro Security Gateway neu zu starten, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche System jetzt neu starten. 2. Bestätigen Sie den Warnhinweis.

  • Seite 123: Definitionen & Benutzer

    5 Definitionen & Benutzer In diesem Kapitel wird die Konfiguration von Netzwerk-, Dienst- und Zeitraumdefinitionen beschrieben, die von Astaro Security Gateway verwendet werden. Die Seite Definitionenübersicht in WebAdmin zeigt die Anzahl aller Netzwerkdefinitionen abhängig von ihrem Typ und die Anzahl aller Dienstdefinitionen abhängig von ihrem Protokolltyp.

  • Seite 124: Netzwerkdefinitionen

    5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen Auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen werden die Hosts, Netzwerke und Netzwerkgruppen der ASG zentral definiert und verwaltet. Die hier angelegten Definitionen können an vielen anderen Stellen der WebAdmin- Konfigurationsmenüs verwendet werden. Tipp –...
  • Seite 125 5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen Schnittstellen-Broadcast-Adresse: Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt. Sie enthält die aktuelle IPv4-Broadcast-Adresse der Schnittstelle. Ihr Name besteht aus dem Namen der Schnittstelle, gefolgt von dem Zusatz „(Broadcast)“. Schnittstellen-Netzwerkadresse: Eine Definition dieser Art wird für jede Ethernet-artige Netzwerkschnittstelle hinzugefügt.
  • Seite 126 5.1 Netzwerkdefinitionen 5 Definitionen & Benutzer DNS-Host: Ein DNS-Hostname, der dynamisch vom System aufgelöst wird, um eine IP-Adresse zu erhalten. DNS-Hosts sind nützlich, wenn es darum geht, mit dynamischen IP-Endpunkten zu arbeiten. Das System wird diese Definitionen periodisch immer wieder neu auflösen, wobei es sich an den TTL-Werten (Time To Live) orientiert, und die Definitionen nach Bedarf mit den neuen IP-Adressen aktualisieren.
  • Seite 127 5 Definitionen & Benutzer 5.1 Netzwerkdefinitionen Adresse: Die Netzwerkadresse des Multicast-Netzwerks, die im Bereich 224.0.0.0 bis 239.255.255.255 liegen muss. Schnittstelle (optional): Die Netzwerkdefinition kann an eine bestimmte Schnittstelle gebunden werden, sodass Verbindungen zu dieser Definition nur über diese Schnittstelle zustande kommen.

  • Seite 128: Dienstdefinitionen

    5.2 Dienstdefinitionen 5 Definitionen & Benutzer 5.2 Dienstdefinitionen Auf der Seite Definitionen & Benutzer > Dienstdefinitionen werden die Dienste und die Dienstgruppen zentral definiert und verwaltet. Dienste sind Definitionen bestimmter Arten von Netzwerkverkehr und bestehen aus einem Protokoll, z. B. TCP oder UDP, und protokollbezogenen Optionen wie Portnummern.
  • Seite 129 5 Definitionen & Benutzer 5.2 Dienstdefinitionen Um eine Dienstdefinition anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Seite Dienstdefinitionen auf Neue Dienstdefinition. Das Dialogfenster Neue Dienstdefinition erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: (Abhängig von dem gewählten Definitionstyp werden weitere Parameter der Netzwerkdefinition angezeigt.) Name: Geben Sie einen aussagekräftigen Namen für diese Definition ein.
  • Seite 130 5.2 Dienstdefinitionen 5 Definitionen & Benutzer TCP/UDP: Hierbei handelt es sich um eine Kombination von TCP und UDP, die sich besonders für Anwendungsprotokolle eignet, die beide Unterprotokolle verwenden, z. B. DNS. Wenn Sie TCP/UDP gewählt haben, können Sie die gleichen Konfigurationsoptionen angeben wie bei TCP oder UDP.

  • Seite 131: Zeitraumdefinitionen

    5 Definitionen & Benutzer 5.3 Zeitraumdefinitionen verwenden, um Dienstdefinitionen zusammenzufassen, damit Ihre Konfiguration übersichtlicher wird. Wenn Sie Group gewählt haben, erscheint das Feld Mitglieder, wo Sie Gruppenmitglieder hinzufügen können (d. h. andere Dienstdefinitionen). Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  • Seite 132: Bild 35 Definitionen: Liste Der Zeitraumdefinitionen

    5.3 Zeitraumdefinitionen 5 Definitionen & Benutzer Bild 35 Definitionen: Liste der Zeitraumdefinitionen Tipp – Durch einen Klick auf das Infosymbol einer Zeitraumdefinition in der Liste Zeitraumdefinitionen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Zeitraumdefinition verwendet wird. Um eine Zeitraumdefinition festzulegen, gehen Sie folgendermaßen vor: 1.

  • Seite 133: Benutzer & Gruppen

    Auf der Registerkarte Definitionen & Benutzer > Benutzer & Gruppen > Benutzer können Sie Benutzerkonten zum Gateway hinzufügen. In der Werkseinstellung besitzt Astaro Security Gateway einen vorkonfigurierten Administrator namens admin. Tipp – Durch einen Klick auf das Infosymbol einer Benutzerdefinition in der Liste Benutzer werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Benutzerdefinition verwendet wird.

  • Seite 134: Bild 36 Benutzer: Benutzerliste

    Das Anlegen einer Benutzerdefinition mit einer bereits vorhandenen E- Mail-Adresse ist nicht möglich. Diese Zertifikate können für verschiedene Fernzugriff-Methoden verwendet werden, die von Astaro Security Gateway unterstützt werden, mit Ausnahme von PPTP, L2TP über IPsec unter Verwendung von PSK und über natives IPsec unter Verwendung von RSA oder PSK.
  • Seite 135 Lokal: Wählen Sie diese Methode, um den Benutzer lokal im Gateway zu authentifizieren. Entfernt: Der Benutzer authentifiziert sich über eine externe Authentifizierungsmethode, die von Astaro Security Gateway unterstützt wird. Weitere Informationen finden Sie unter Definitionen & Benutzer > Authentifizierungsserver. Keine: Wählen Sie diese Methode, um zu verhindern, dass der Benutzer sich authentifizieren kann.

  • Seite 136: Gruppen

    Benutzerkonto mit diesem Namen bereits existiert. 5.4.2 Gruppen Auf der Seite Definitionen & Benutzer > Benutzer & Gruppen > Gruppen können Sie Benutzergruppen zum Gateway hinzufügen. In der Werkseinstellung ist in Astaro Security Gateway eine Benutzergruppe namens SuperAdmins vorhanden. ASG V8 Administrationshandbuch...

  • Seite 137: Bild 37 Gruppen: Gruppenliste

    5 Definitionen & Benutzer 5.4 Benutzer & Gruppen Wenn Sie einem Benutzer administrative Rechte geben wollen, d. h. Zugriffsrechte auf WebAdmin, fügen Sie ihn der Gruppe SuperAdmins hinzu; diese Gruppe sollte nicht gelöscht werden. Bild 37 Gruppen: Gruppenliste Tipp – Durch einen Klick auf eine Gruppendefinition in der Liste Gruppen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Gruppendefinition verwendet wird.
  • Seite 138 5.4 Benutzer & Gruppen 5 Definitionen & Benutzer spezifische Parameter ihres Distinguished Name mit dem Wert im Feld DN-Maske übereinstimmen. Backend-Mitgliedschaft: Benutzer werden dynamisch zur einer Gruppendefinition hinzugefügt, wenn sie sich erfolgreich an einem der unterstützten Authentifizierungsdienste angemeldet haben. Um fortzufahren, wählen Sie die entsprechende Backend- Authentifizierungsmethode aus: Active Directory: Eine Active-Directory-Benutzergruppe des...
  • Seite 139 5 Definitionen & Benutzer 5.4 Benutzer & Gruppen müssen die hier angegebene(n) Gruppe(n) mit einem Allgemeinen Namen (Common Name) übereinstimmen, der auf Ihrem Backend-Server konfiguriert ist. Beachten Sie, dass Sie das CN=-Präfix weglassen können, wenn Sie diese Option für Active Directory aktivieren. Wenn Sie diese Option für ein eDirectory-Backend aktivieren, können Sie den eDirectory-Browser verwenden, um bequem die eDirectory-Gruppen auszuwählen, die in diese Gruppendefinition aufgenommen werden sollen.

  • Seite 140: Client-Authentifizierung

    Berichtsdaten und Objekte besser verständlich sind. Benutzer, die Client-Authentifizierung nutzen möchten oder sollen, müssen den Astaro Authentication Agent (AAA) auf ihrem Client-PC installieren. Der AAA kann von dieser WebAdmin-Seite oder im Benutzerportal heruntergeladen werden. Beachten Sie, dass der Download-Link im Benutzerportal nur für Benutzer verfügbar ist, die Teil der Benutzergruppe für die Client-...

  • Seite 141: Authentifizierungsserver

    C l i e n t- Au th e n ti f i zi e r u n gs pr ogr a m m Wenn Client-Authentifizierung aktiviert ist, können Sie den Astaro Authentication Agent (AAA) hier herunterladen. Sie können den AAA manuell bereitstellen oder die Benutzer laden den Client direkt vom Benutzerportal herunter.

  • Seite 142: Allgemeine Einstellungen

    Benutzer automatisch erstellen nicht ausgewählt ist. Hinweis – Diese Funktion ist nicht möglich mit Active Directory Single Sign-On (SSO). Diese Benutzerobjekte werden auch benötigt, um Zugang zum Benutzerportal Astaro Security Gateway zu gewähren. Darüber hinaus wird für alle automatisch ASG V8 Administrationshandbuch...
  • Seite 143 Backend-Server nicht erreichbar ist oder das Benutzerobjekt auf der entfernten Maschine gelöscht wurde. Beachten Sie auch, dass (außer für Active Directory Single Sign-On (SSO)) Astaro Security Gateway Benutzerauthentifizierungsdaten, die es von einem entfernten Authentifizierungsserver geholt hat, für 300 Sekunden zwischenspeichert.

  • Seite 144: Server

    L i v e -P r otok ol l Live-Protokoll öffnen: Durch einen Klick auf die Schaltfläche wird das Protokoll der Astaro User Authentication (AUA) in einem neuen Fenster angezeigt. 5.6.2 Server Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver >...

  • Seite 145: Bild 39 Authentifizierung: Konfiguration Von Edirectory

    5 Definitionen & Benutzer 5.6 Authentifizierungsserver Bild 39 Authentifizierung: Konfiguration von eDirectory Um eDirectory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server. Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Backend: Wählen Sie eDirectory als Backend-Verzeichnisdienst.
  • Seite 146 5.6 Authentifizierungsserver 5 Definitionen & Benutzer Port: Geben Sie den Port des eDirectory-Servers ein. Standardmäßig ist das Port 389. Bind-DN: Der Distinguished Name (DN) des Benutzers, mit dem dieser am Server angemeldet werden soll. Dieser Benutzer wird benötigt, wenn anonyme Anfragen an den eDirectory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer genügend Privilegien besitzen muss, um alle relevanten Informationen zur Benutzerdefinition vom eDirectory-Server erhalten zu können, damit er Benutzer authentifizieren kann.

  • Seite 147: Active Directory

    Die Active-Directory-Authentifizierungsmethode ermöglicht es, Astaro Security Gateway an einer Windows-Domäne zu registrieren, wodurch ein Objekt für Astaro Security Gateway auf dem primären Domänencontroller (DC) angelegt wird. Die ASG ist dann in der Lage, Benutzer- und Gruppeninformationen von der Domäne abzufragen.
  • Seite 148 5.6 Authentifizierungsserver 5 Definitionen & Benutzer 1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server. Das Dialogfeld Neuen Authentifizierungsserver anlegen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Backend: Wählen Sie Active Directory als Backend-Verzeichnisdienst. Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt.
  • Seite 149 5 Definitionen & Benutzer 5.6 Authentifizierungsserver Benutzer zu wählen, der keine Administrationsrechte besitzt, da es völlig ausreichend für diesen Benutzer ist, Leserechte auf alle Objekte des angegebenen BaseDN zu besitzen. Die Information über den Knoten, an dem sich das Benutzerobjekt befindet, muss alle Unterknoten zwischen dem Wurzelknoten und dem Benutzerobjekt umfassen und besteht gewöhnlich aus Komponenten wie sogenannten Organisationseinheiten (engl.

  • Seite 150: Bild 41 Authentifizierung: Microsoft Management-Konsole

    5.6 Authentifizierungsserver 5 Definitionen & Benutzer Bild 41 Authentifizierung: Microsoft Management-Konsole Nehmen wir nun an, Sie haben eine Organisationseinheit namens Management mit dem Unterknoten Management_US angelegt und verschieben das Benutzerobjekt „Administrator“ dorthin, dann ändert sich der DN wie folgt: CN=administrator,OU=Management_ US,OU=Management,DC=beispiel,DC=de Kennwort: Geben Sie das Kennwort für den Bind-Benutzer ein (ein zweites Mal zur Bestätigung).

  • Seite 151: Ldap

    LDAP steht für Lightweight Directory Access Protocol und ist ein Netzwerkprotokoll, um Verzeichnisdienste, die auf dem X.500-Standard basieren, zu modifizieren und Anfragen zu senden.Astaro Security Gateway benutzt das LDAP-Protokoll, um Benutzer für einige seiner Dienste zu authentifizieren, indem mit Hilfe von Attributen oder Gruppenzugehörigkeiten auf dem LDAP-Server festgestellt wird, ob Zugriff auf einen bestimmten Dienst gewährt wird oder nicht.
  • Seite 152 5.6 Authentifizierungsserver 5 Definitionen & Benutzer 2. Nehmen Sie die folgenden Einstellungen vor: Backend: Wählen Sie LDAP als Backend-Verzeichnisdienst. Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.

  • Seite 153: Radius

    5 Definitionen & Benutzer 5.6 Authentifizierungsserver CN (allgemeiner Name, engl. common name) SN (Nachname) UID (Benutzer-ID) Falls Benutzernamen in Ihrem LDAP-Verzeichnis nicht in Form dieser Attribute gespeichert werden, wählen Sie <<Angepasst>> aus der Liste aus und geben Sie Ihr benutzerdefiniertes Attribut im Feld Angepasst an. Beachten Sie, dass dieses Attribut in Ihrem LDAP-Verzeichnis konfiguriert sein muss.

  • Seite 154: Bild 43 Authentifizierung: Konfiguration Von Radius

    5.6 Authentifizierungsserver 5 Definitionen & Benutzer Routeninformationen etc. Zusammen bilden sie ein Benutzerprofil, das in einer Datei oder Datenbank auf dem RADIUS-Server gespeichert wird. Das RADIUS-Protokoll ist sehr flexibel und es gibt Server für die meisten Betriebssysteme. Die Umsetzung von RADIUS auf der ASG ermöglicht es Ihnen, Zugriffsrechte basierend auf Proxies und Benutzern zu konfigurieren.
  • Seite 155 Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können. 3. Klicken Sie auf Save. Der Server wird in der Liste Server angezeigt. Hinweis – Jeder Benutzerauthentifizierungsdienst von Astaro Security Gateway (z. B. PPTP oder L2TP), der Anfragen an den RADIUS-Server stellt, sendet eine andere Kennung (NAS-Kennung, engl.

  • Seite 156: Tacacs

    5.6 Authentifizierungsserver 5 Definitionen & Benutzer für den Benutzer auf verschiedene Dienste. Unten finden Sie eine Liste der Benutzerauthentifizierungsdienste und ihrer NAS-Kennung. Benutzerauthentifizierungsdienst NAS-Kennung SSL-VPN PPTP pptp ipsec IPsec L2TP über IPsec l2tp SMTP-Proxy smtp portal Benutzerportal webadmin WebAdmin SOCKS-Proxy socks http Webfilter...

  • Seite 157: Bild 44 Authentifizierung: Konfiguration Der Tacacs

    Schlüssel: Geben Sie den Schlüssel für die Authentifizierung und die Verschlüsselung der gesamten TACACS+-Kommunikation zwischen Astaro Security Gateway und dem TACACS+-Server ein. Der hier eingegebene Wert des Schlüssels muss mit dem auf dem TACACS+-Server übereinstimmen. Geben Sie den Schlüssel ein (ein zweites Mal zur Bestätigung).

  • Seite 158: Single Sign-On

    5.6 Authentifizierungsserver 5 Definitionen & Benutzer Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und Verbindungen annimmt. Benutzername: Geben Sie den Benutzernamen eines Testbenutzers ein, um eine reguläre Authentifizierung durchzuführen.

  • Seite 159: Bild 45 Authentifizierung: Konfiguration Von Single Sign-On

    5 Definitionen & Benutzer 5.6 Authentifizierungsserver Bild 45 Authentifizierung: Konfiguration von Single Sign-On Ac ti v e D i r e c tor y S i n gl e S i gn - On ( S S O) Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit dem Web Filter to provide single sign-on with browsers that support NTLMv2 or Kerberos authentication.
  • Seite 160 5.6 Authentifizierungsserver 5 Definitionen & Benutzer 1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an. 2. Nehmen Sie die folgenden Einstellungen vor: Domäne: Geben Sie hier den Namen der Domäne ein (z. B. intranet.meinefirma.de). Die ASG durchsucht alle DCs, die über DNS auffindbar sind.

  • Seite 161: Erweitert

    5 Definitionen & Benutzer 5.6 Authentifizierungsserver 5.6.4 Erweitert Ke n n w or tk om pl e x i tä t Mit dieser Option können Sie festlegen, dass Administratoren oder lokal registrierte Benutzer mit administrativen Rechten sichere Kennwörter verwenden müssen. Die Kennwortkomplexität kann so konfiguriert werden, dass sie den folgenden Sicherheitsanforderungen entspricht: Mindestlänge des Kennworts (acht Zeichen ist voreingestellt) mindestens ein kleingeschriebener Buchstabe...
  • Seite 162 5.6 Authentifizierungsserver 5 Definitionen & Benutzer eDirectory/Active-Directory-Gruppen: Geben Sie hier die Gruppen ein, die im Voraus angelegt werden sollen. Sie können den integrierten LDAP-Browser verwenden, um die Gruppen auszuwählen. Aktiviere Backend-Synchronisierung bei Anmeldung (optional): Wählen Sie diese Option aus, wenn Sie wollen, dass Benutzerinformationen aus dem Verzeichnis geholt werden, sobald sich ein bislang unbekannter Benutzer anmeldet.

  • Seite 163: Schnittstellen & Routing

    6 Schnittstellen & Routing In diesem Kapitel wird die Konfiguration von Schnittstellen und netzwerkspezifischen Einstellungen in Astaro Security Gateway beschrieben. Die Seite Netzwerkstatistik zeigt eine Zusammenfassung über die zehn häufigsten am heutigen Tag benutzten Dienste, Quellhosts und gleichzeitigen Verbindungen. Jeder der Abschnitte enthält einen Details-Link.Ein Klick auf den Link leitet Sie zur entsprechenden Seite des Berichte-Bereichs von WebAdmin weiter, wo Sie weitere statistische Informationen finden können.

  • Seite 164: Schnittstellen

    6.1 Schnittstellen 6 Schnittstellen & Routing ist eine Neuinstallation des Sicherheitssystems notwendig. Nutzen Sie hierfür die Backup-Funktion, um nach der Neuinstallation Ihre aktuelle Systemkonfiguration einfach wieder einzuspielen. Das Gateway muss die einzige Schnittstelle zwischen dem internen und dem externen Netzwerk sein. Alle Datenpakete müssen die ASG passieren. Es wird dringend davon abgeraten, die internen und externen Schnittstellen über einen Hub oder Switch physikalisch zusammen auf ein Netzwerksegment zu legen, es sei denn dieser ist als VLAN-Switch konfiguriert.

  • Seite 165: Automatische Netzwerkschnittstellen-Definitionen

    6 Schnittstellen & Routing 6.1 Schnittstellen angezeigt. Durch Anklicken des Statussymbols können Sie Schnittstellen aktivieren und deaktivieren. Tipp – Durch einen Klick auf das Infosymbol einer Netzwerkschnittstelle in der Liste Schnittstellen werden Ihnen alle Konfigurationen angezeigt, in denen diese Schnittstelle verwendet wird. Neu hinzugefügte Schnittstellen können am Anfang als Down (aus) angezeigt werden, solange sich die Verbindung noch im Aufbau befindet.

  • Seite 166: Arten Von Schnittstellen

    6.1 Schnittstellen 6 Schnittstellen & Routing Eine Definition, die die Broadcast-Adresse der Schnittstelle enthält, und deren Name sich aus dem Schnittstellennamen und dem Zusatz (Broadcast) zusammensetzt. Diese Definition wird nicht für Point-to-Point-Schnittstellen (PPP) angelegt. Wenn die Schnittstelle eine automatische Methode zur Adresszuweisung verwendet (wie z.

  • Seite 167: Umts

    6 Schnittstellen & Routing 6.1 Schnittstellen DSL (PPPoE): PPP over Ethernet. Ein DSL-PPPoE-Gerät ermöglicht Ihnen, Ihr Gateway an PPP-over-Ethernet-kompatible DSL-Leitungen anzuschließen. Diese Geräte erfordern eine dedizierte Ethernet-Verbindung (sie können nicht mit anderen Schnittstellen auf derselben Hardware koexistieren). Sie müssen ein DSL-Modem an das Schnittstellennetzwerksegment anschließen.
  • Seite 168 6.1 Schnittstellen 6 Schnittstellen & Routing Um eine Ethernet-Standard-Schnittstelle zu konfigurieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle.Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein. Art: Wählen Sie Ethernet-Standard aus der Auswahlliste aus.
  • Seite 169 6 Schnittstellen & Routing 6.1 Schnittstellen Kennung dem zugehörigen Handbuch des USB-Modem-Sticks. Falls Sie keine entsprechende Dokumentation zur Verfügung haben, geben Sie in das Eingabefeld ATZ ein. Rückstellung: Geben Sie die Rückstellungskennung des USB-Modem- Sticks ein. Beachten Sie auch hier, dass die Rückstellungskennung eventuell dem USB-Modem-Stick angepasst werden muss.

  • Seite 170: Ethernet-Standard

    6.1 Schnittstellen 6 Schnittstellen & Routing Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel. Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün). Zu Beginn kann die Statusmeldung Down angezeigt werden. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden.
  • Seite 171 6 Schnittstellen & Routing 6.1 Schnittstellen IPv4/IPv6 Standard-GW (optional): Wählen Sie diese Option, wenn Sie ein statisches Standardgateway verwenden wollen. Standard-GW-IP (optional): Geben Sie hier die IP-Adresse des Standardgateways ein. Hinweis – Eine Schnittstelle kann gleichzeitig eine IPv4- und eine IPv6- Adresse besitzen.

  • Seite 172: Ethernet-Vlan

    6.1 Schnittstellen 6 Schnittstellen & Routing Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können.
  • Seite 173 6 Schnittstellen & Routing 6.1 Schnittstellen Hinweis – Astaro führt eine Liste über unterstützte, tag-fähige Netzwerkkarten. Diese Hardwarekompatibilitätsliste (Hardware Compatibility List, kurz HCL), finden Sie in der Astaro Wissensdatenbank. Verwenden Sie „HCL“ als Suchbegriff, um die entsprechende Seite zu finden.
  • Seite 174 6.1 Schnittstellen 6 Schnittstellen & Routing MTU: Geben Sie die maximale Größe der Datenpakete (engl. Maximum Transmission Unit) für die Schnittstelle in Byte an. Sie müssen einen Wert eingeben, der zur Art der Schnittstelle passt, wenn Sie Verkehrsverwaltung betreiben wollen. Der voreingestellte Wert ist ein sinnvoller Wert und sollte nur von technisch erfahrenen Benutzern geändert werden, da ein falscher Wert die Schnittstelle funktionsunfähig machen kann.

  • Seite 175: Kabelmodem (Dhcp)

    6 Schnittstellen & Routing 6.1 Schnittstellen Das System prüft die Einstellungen nun auf ihre Gültigkeit. Nach der erfolgreichen Prüfung erscheint die neue Schnittstelle in der Schnittstellen- Liste. Die Schnittstelle ist noch ausgeschaltet (Statusampel zeigt Rot). 5. Aktivieren Sie die Schnittstelle. Aktivieren Sie die Schnittstelle durch einen Klick auf die Statusampel.
  • Seite 176 6.1 Schnittstellen 6 Schnittstellen & Routing IPv4 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das Standardgateway Ihres Anbieters nutzen möchten. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen: Hostname: Wenn Ihr ISP den Hostnamen Ihres Systems benötigt, geben Sie ihn hier ein.

  • Seite 177: Dsl (Pppoe)

    6 Schnittstellen & Routing 6.1 Schnittstellen oder KB/s angeben können. Wählen Sie die entsprechende Einheit aus der Auswahlliste aus. Angezeigtes Max. (optional): Hier können Sie die maximale Downlink- Bandbreite Ihrer Verbindung angeben, wenn Sie wollen, dass das Dashboard sie widerspiegelt. Die Bandbreite kann entweder in MB/s oder KB/s angegeben werden.
  • Seite 178 6.1 Schnittstellen 6 Schnittstellen & Routing 1. Klicken Sie auf der Registerkarte Schnittstellen auf Neue Schnittstelle. Das Dialogfenster Neue Schnittstelle erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für die Schnittstelle ein. Art: Wählen Sie DSL (PPPoE) aus der Auswahlliste aus.
  • Seite 179 6 Schnittstellen & Routing 6.1 Schnittstellen Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung beendet und wieder neu aufgebaut werden soll. Sie können zwischen Nie und einer beliebigen Uhrzeit wählen. Verzögerte Wiedereinwahl: Definieren Sie hier die Zeitverzögerung für die Wiedereinwahl.

  • Seite 180: Dsl (Pppoa/Pptp)

    6.1 Schnittstellen 6 Schnittstellen & Routing Die Schnittstelle ist nun eingeschaltet (Statusampel zeigt Grün). Zu Beginn kann die Statusmeldung Down angezeigt werden. Das System benötigt kurze Zeit, um die neue Schnittstelle zu konfigurieren und die Einstellungen zu laden. Die neue Schnittstelle ist betriebsbereit, wenn die Statusmeldung Up angezeigt wird.
  • Seite 181 6 Schnittstellen & Routing 6.1 Schnittstellen IPv4 Standard-GW (optional): Wählen Sie diese Option, wenn Sie das Standardgateway Ihres Anbieters nutzen möchten. Benutzername: Geben Sie den Benutzernamen ein, den Sie von Ihrem Anbieter erhalten haben. Kennwort: Geben Sie das Kennwort ein, das Sie von Ihrem Internetanbieter erhalten haben.
  • Seite 182 6.1 Schnittstellen 6 Schnittstellen & Routing Netzwerkkarte (z. B. Gigabit-Netzwerkkarte) unterstützt werden.Der MTU- Wert ist für die Schnittstellenart DSL (PPPoA) auf 1492 Byte voreingestellt. Tägliche Wiedereinwahl: Definieren Sie hier, zu welcher Uhrzeit die Verbindung beendet und wieder neu aufgebaut werden soll. Sie können zwischen Nie und einer beliebigen Uhrzeit wählen.

  • Seite 183: Modem (Ppp)

    6 Schnittstellen & Routing 6.1 Schnittstellen Um nur Schnittstellen einer bestimmten Art angezeigt zu bekommen, klicken Sie im Filtermenü auf die entsprechende Art. Um eine Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen. 6.1.1.9 Modem (PPP) Für die Konfiguration benötigen Sie eine serielle Schnittstelle und ein externes PPP-Modem auf der ASG.
  • Seite 184 6.1 Schnittstellen 6 Schnittstellen & Routing Datenflusskontrolle: Stellen Sie die Methode zur Kontrolle des Datenflusses ein. Wenn die Daten über die serielle Verbindung laufen, kann es vorkommen, dass das System die ankommenden Daten nicht schnell genug verarbeiten kann. Um sicherzustellen, dass keine Daten verloren gehen, ist eine Methode zur Kontrolle des Datenflusses notwendig.

  • Seite 185: Zusätzliche Adressen

    6 Schnittstellen & Routing 6.1 Schnittstellen Asymmetrisch (optional): Wählen Sie diese Option, falls die Bandbreite von Uplink und Downlink Ihrer Verbindung nicht identisch ist und Sie wollen, dass das Dashboard dies widerspiegelt. Es werden zwei Textfelder angezeigt, in die Sie die maximale Bandbreite des Uplinks in entweder MB/s oder KB/s angeben können.
  • Seite 186 6.1 Schnittstellen 6 Schnittstellen & Routing Um zusätzliche Adressen auf einer Netzwerkkarte zu konfigurieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Zusätzliche Adressen auf Neue zusätzliche Adresse. Das Dialogfenster Neue zusätzliche Adresse erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für die neue zusätzliche Adresse ein.

  • Seite 187: Linkbündelung

    6 Schnittstellen & Routing 6.1 Schnittstellen 6.1.3 Linkbündelung Linkbündelung (engl. Link Aggregation) (auch Kanalbündelung, port trunking oder NIC bonding) fasst mehrere parallele Ethernet-Verbindungen zu einer logischen Verbindung mit einer IP-Adresse zusammen. Die gebündelten Ports werden von Ihrem System als eine einzige IP-Adresse wahrgenommen. Mit Linkbündelung lässt sich einerseits die Bandbreite über die Kapazität einer einzelnen NIC hinaus vervielfachen, andererseits bietet es durch die redundanten Verbindungen eine einfache Ausfallsicherung (Failover) und Fehlertoleranz für...

  • Seite 188: Uplink-Ausgleich

    6.1 Schnittstellen 6 Schnittstellen & Routing Sobald die Linkbündelungsgruppe konfiguriert ist, steht eine neue LAG- Schnittstelle (z. B. lag0) zur Verfügung, die ausgewählt werden kann, wenn Sie eine neue Schnittstellendefinition auf der Registerkarte Schnittstellen anlegen. Für eine LAG können die folgenden Schnittstellenarten konfiguriert werden: Ethernet-Standard Ethernet-VLAN...

  • Seite 189: Bild 47 Schnittstellen: Konfiguration Des Uplink-Ausgleichs

    6 Schnittstellen & Routing 6.1 Schnittstellen Bild 47 Schnittstellen: Konfiguration des Uplink-Ausgleichs Um den Uplink-Ausgleich zu verwenden, gehen Sie folgendermaßen vor: 1. Aktivieren Sie den Uplink-Ausgleich. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Uplink-Ausgleich kann nun bearbeitet werden.
  • Seite 190 6.1 Schnittstellen 6 Schnittstellen & Routing Hinweis – Die Reihenfolge der Schnittstellen ist wichtig, sowohl bei den aktiven als auch bei den Standby-Schnittstellen: Wenn ein Server nicht antwortet, wird die erste darauffolgende Schnittstelle ausgewählt. Sie können die Reihenfolge der Schnittstellen ändern, indem Sie die blauen Pfeile im entsprechenden Feld anklicken.
  • Seite 191 5. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. Eine neue virtuelle Schnittstelle namens Uplink Interfaces wird automatisch angelegt und steht anderen Funktionen von Astaro Security Gateway zur Verfügung, z. B. IPsec-Regeln. Die virtuelle Netzwerkschnittstelle Uplink Interfaces umfasst alle Uplink-Schnittstellen, die der Schnittstellen-Liste hinzugefügt wurden.

  • Seite 192: Multipathregeln

    6.1 Schnittstellen 6 Schnittstellen & Routing 6.1.5 Multipathregeln Auf der Registerkarte Schnittstellen & Routing > Schnittstellen > Multipathregeln können Sie Regeln für den Uplink-Ausgleich erstellen. Die Regeln werden auf die aktiven Schnittstellen auf der Registerkarte Uplink-Ausgleich angewendet. Im Fall, dass alle aktiven Schnittstellen ausfallen und die passiven Schnittstellen übernehmen, werden die Multipathregeln auf die passiven Schnittstellen angewendet.

  • Seite 193: Hardware

    6 Schnittstellen & Routing 6.1 Schnittstellen Ziel: Wählen Sie eine Ziel-IP-Adresse oder ein Zielnetzwerk aus, die oder das für das Routen verwendet werden soll. Schnittst.-Bindung: Schnittstellen-Bindung (Interface Persistence) ist eine Methode, die sicherstellt, dass nachfolgende Verbindungen von einem Client immer über dieselbe Uplink-Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschränkung von einer Stunde.
  • Seite 194 6.1 Schnittstellen 6 Schnittstellen & Routing Informationen aufgelistet wie z. B. der Ethernet-Betriebsmodus und die MAC- Adresse. Für jede Schnittstelle kann die automatische Aushandlung (engl. auto negotiation) eingeschaltet oder ausgeschaltet werden. Auto Negotiation: (automatische Aushandlung) Gewöhnlich wird der Ethernet- Betriebsmodus (1000BASE-T Full-Duplex, 100BASE-T Full-Duplex, 100BASE-T Half-Duplex, 10BASE-T Half-Duplex, usw.) zwischen zwei Netzwerkgeräten automatisch ausgehandelt, indem der beste Betriebsmodus gewählt wird, der von beiden Geräten unterstützt wird.
  • Seite 195 6 Schnittstellen & Routing 6.1 Schnittstellen auf ihren ursprünglichen Wert normalerweise die Funktionalität nicht wiederherstellen: Das Ändern der automatischen Aushandlung oder den Geschwindigkeitseinstellungen von nicht verbundenen Schnittstellen funktioniert nicht zuverlässig. Schalten Sie daher zunächst die automatische Aushandlung wieder ein und starten Sie dann die ASG neu, um die normale Funktionalität wiederherzustellen.

  • Seite 196: Bridging

    6.2 Bridging 6 Schnittstellen & Routing 6.2 Bridging Das Bridging (engl. von „Brücke“) ist eine Methode zur Weiterleitung von Datenpaketen und wird hauptsächlich in Ethernet-Netzwerken eingesetzt. Im Gegensatz zum Routing trifft Bridging keine Annahmen darüber, wo sich in einem Netzwerk eine bestimmte Adresse befindet. Stattdessen benutzt es Broadcast um unbekannte Geräte zu lokalisieren.
  • Seite 197 6 Schnittstellen & Routing 6.2 Bridging Klicken Sie auf der Registerkarte NetzwerkSchnittstellen & Routing > Bridging > Status entweder auf die Statusampel oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Bridge-Konfiguration kann nun bearbeitet werden. 2. Wählen Sie den Bridging-Modus aus. Sie können zwischen zwei Bridging-Modi wählen: Bridge über alle NICs: Bei dieser Methode werden alle verfügbaren Ethernet-Netzwerkkarten zu einer einzigen Bridge-Schnittstelle...

  • Seite 198: Erweitert

    6.2 Bridging 6 Schnittstellen & Routing Bild 50 Bridging: Aktiviertes Bridging Um die Bridge zu entfernen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Status auf Disable. Die Statusampel wird gelb. 2. Klicken Sie auf Entfernen der Bridge bestätigen. Die Statusampel wird rot.

  • Seite 199: Dienstqualität (Qos)

    Kontrollmechanismen, die dafür sorgen, dass ausgewählter Netzwerkverkehr bevorzugt behandelt und insbesondere dass diesem eine Mindestbandbreite zugesichert wird. Bei Astaro Security Gatewaywird zu priorisierender Verkehr auf der Registerkarte Dienstqualität konfiguriert. Hier können Sie für bestimmte Arten von ausgehendem Verkehr, der zwei Punkte im Netzwerk passiert, eine garantierte Bandbreite reservieren.
  • Seite 200 6.3 Dienstqualität (QoS) 6 Schnittstellen & Routing Schnittstelle. Geben Sie beispielsweise für eine 5 Mbit/s-Internetverbindung bei Up- und Downlink 5120 ein. Sollte Ihre Bandbreite variieren, geben Sie den niedrigsten garantierten Wert an, der von Ihrem ISP zugesichert wird. Wenn Sie beispielsweise eine Internetverbindung mit 5 Mbit/s für Up- und Downlink mit einer Variation von 0,8 Mbit/s haben, geben Sie 4300 Kbit/s an.

  • Seite 201: Verkehrskennzeichner

    6 Schnittstellen & Routing 6.3 Dienstqualität (QoS) werden (im Gegensatz zu Schnittstellen mit einer festen Obergrenze funktioniert proportionale Verteilung in beiden Richtungen). Download-Ausgleich: Wenn diese Option aktiviert ist, verhindern die beiden Warteschlangen-Algorithmen Stochastic Fairness Queuing (SFQ) und Random Early Detection (RED), dass es zu Netzwerkstaus kommt. Im Fall dass die konfigurierte Download-Geschwindigkeit erreicht ist, werden Pakete jener Verbindung verworfen, die den meisten Downlink in Anspruch nimmt.
  • Seite 202 6.3 Dienstqualität (QoS) 6 Schnittstellen & Routing Das Dialogfenster Neuen Verkehrskennzeichner erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diesen Verkehrskennzeichner ein. Kennzeichnertyp: Sie können folgende Arten von Kennzeichnern festlegen: Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird der Verkehr auf Grundlage eines einzelnen Dienstes oder einer Dienstgruppe reguliert.
  • Seite 203 6 Schnittstellen & Routing 6.3 Dienstqualität (QoS) TOS-Bits: Wenn Sie TOS-Bits (Type of Service) wählen, können Sie zwischen den folgenden Optionen wählen: Normaler Dienst Kosten minimieren Zuverlässigkeit maximieren Durchsatz maximieren Verzögerung minimieren DSCP-Bits: Wenn Sie DSCP-Bits (Differentiated Services Code Point) wählen, können Sie einfach einen einzelnen DSCP-Wert festlegen (eine Ganzzahl im Bereich 0 bis 63).

  • Seite 204: Das Dialogfenster Zur Auswahl Von Anwendungen Oder Kategorien

    6.3 Dienstqualität (QoS) 6 Schnittstellen & Routing Astaro Security Gateway. Bei solchen Anwendungen wird im Dialogfenster Anwendung auswählen in der Anwendungstabelle kein Auswahlkästchen angezeigt. Dies trifft u. a. für WebAdmin, Teredo, SixXs (für IPv6-Verkehr) und Portal (für User-Portal-Verkehr) zu. Wenn Sie dynamische Filter verwenden, wird die Regulierung dieser Anwendungen ebenfalls automatisch verhindert.

  • Seite 205: Bandbreiten-Pools

    6 Schnittstellen & Routing 6.3 Dienstqualität (QoS) Kategorien beschränken, klicken Sie in die Liste mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus. Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf die Produktivität klassifiziert, d. h., wie stark sie die Produktivität beeinflussen.

  • Seite 206: Bild 54 Dienstqualität: Bandbreiten-Pools

    6.3 Dienstqualität (QoS) 6 Schnittstellen & Routing Bild 54 Dienstqualität: Bandbreiten-Pools Um einen Bandbreiten-Pool anzulegen, gehen Sie folgendermaßen vor: 1. Wählen Sie auf der Registerkarte Bandbreiten-Pools eine Schnittstelle aus. Wählen Sie aus der Auswahlliste diejenige Schnittstelle aus, für die Sie einen Bandbreiten-Pool definieren möchten.

  • Seite 207: Uplink-Überwachung

    6 Schnittstellen & Routing 6.4 Uplink-Überwachung Hinweis – Es können für einen Bandbreiten-Pool lediglich bis zu 90 % der zur Verfügung stehenden Gesamtbandbreite reserviert werden. Das Gateway reserviert grundsätzlich 10 % für den vom Bandbreiten- Management unberücksichtigten Datenverkehr. Um bei dem Beispiel von oben zu bleiben: Wenn der Uplink 5 Mbit/s beträgt, und Sie möchten VoIP soviel Bandbreite wie möglich zuweisen, können Sie für den VoIP- Datenverkehr eine Bandbreite von maximal 4608 Kbit/s reservieren.

  • Seite 208: Allgemein

    6.4 Uplink-Überwachung 6 Schnittstellen & Routing 6.4.1 Allgemein Auf der Registerkarte Uplink-Überwachung > Allgemein können Sie die Uplink- Überwachung ein- oder ausschalten. Um die Uplink-Überwachung einzuschalten, klicken Sie entweder auf die Schaltfläche Enable oder die Statusampel. Die Statusampel wird grün. Im Abschnitt Uplink-Status wird entweder ONLINE angezeigt, wenn die Uplink-Verbindung hergestellt ist, oder OFFLINE, wenn die Uplink-Verbindung unterbrochen ist.

  • Seite 209: Erweitert

    6 Schnittstellen & Routing 6.4 Uplink-Überwachung Weitere Informationen über IPsec-Tunnel finden Sie in Kapitel Fernzugriff > IPsec. Zus. Adresse: (Nur verfügbar wenn Zusätzliche Adresse als Typ festgelegt wurde.) Wenn mindestens eine zusätzliche Adresse definiert ist, können Sie hier eine von ihnen auswählen. Weitere Informationen über zusätzliche Adressen finden Sie in Kapitel Schnittstellen &...

  • Seite 210: Ipv6

    Ihre Einstellungen werden gespeichert. Die definierten Hosts werden nun für die Überwachung verwendet. 6.5 IPv6 Ab Version 8 unterstützt Astaro Security Gateway IPv6, den Nachfolger von IPv4. Die folgenden Funktionen von Administrationshandbuch unterstützen IPv6 ganz oder teilweise. Zugang zu WebAdmin und dem Benutzerportal...

  • Seite 211: Allgemein

    Objekt um ein IPv6- oder ein IPv4-Objekt handelt oder um beides. 6.5.2 Präfix-Bekanntmachungen Auf der Registerkarte IPv6 > Präfix-Bekanntmachungen können Sie Ihre Astaro Security Gateway so konfigurieren, dass sie Clients ein IPv6-Adresspräfix zuweist, welches diesen dann ermöglicht, sich selbst eine IPv6-Adresse auszuwählen. Die Präfix-Bekanntmachung (prefix advertisement) oder Router-Bekanntmachung...

  • Seite 212: 6To4

    Die neue Präfix-Konfiguration wird in der Liste Präfix-Bekanntmachungen angezeigt. 6.5.3 6to4 Auf der Registerkarte IPv6 > 6to4 können Sie Ihre Astaro Security Gateway so konfigurieren, dass sie IPv6-Adressen automatisch über ein vorhandenes IPv4- Netzwerk tunnelt. Bei 6to4 hat jede IPv4-Adresse ein /48-Präfix aus dem IPv6-...

  • Seite 213: Tunnel-Broker

    Tunnel-Broker aktivieren. Die Tunnelvermittlung (tunnel brokerage) ist ein Dienst, der von einigen ISPs angeboten wird, und es ermöglicht, über IPv6-Adressen auf das Internet zuzugreifen. Hinweis – Sie können entweder 6to4 oder Tunnel-Broker aktiviert haben. Astaro Security Gateway unterstützt die folgenden Tunnel-Broker (Vermittlungsdienste): ASG V8 Administrationshandbuch...
  • Seite 214 6.5 IPv6 6 Schnittstellen & Routing Teredo (nur Anonymous) Freenet6 (by GoGo6) (Anonymous oder mit Benutzerkonto) SixXS (Benutzerkonto erforderlich) Um einen Tunnel-Broker zu verwenden, gehen Sie folgendermaßen vor: 1. Aktivieren Sie die Tunnel-Vermittlung auf der Registerkarte Tunnel-Broker. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.

  • Seite 215: Statisches Routing

    Tabelle die Information, welcher Router für welches Netzwerk benutzt werden muss. Zwei Routing-Arten können zur Routing-Tabelle von Astaro Security Gateway hinzugefügt werden: statische Routen und Richtlinienrouten. Bei statischen Routen werden die Routingziele lediglich von der Zieladresse der Datenpakete bestimmt.

  • Seite 216: Bild 55 Statisches Routing: Tabelle Der Statischen Routen

    6.6 Statisches Routing 6 Schnittstellen & Routing Bild 55 Statisches Routing: Tabelle der statischen Routen Um eine statische Route hinzuzufügen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche Neue statische Route. Das Dialogfenster Neue statische Route erstellen wird geöffnet. 2.

  • Seite 217: Richtlinienrouten

    6 Schnittstellen & Routing 6.6 Statisches Routing Gateway: Wählen Sie das Gateway/den Router aus, an den das Gateway die Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Gateway-Route als Routentyp gewählt haben). Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3.

  • Seite 218: Bild 56 Statisches Routing: Tabelle Der Richtlinienrouten

    6.6 Statisches Routing 6 Schnittstellen & Routing Bild 56 Statisches Routing: Tabelle der Richtlinienrouten Um eine Richtlinienroute hinzufügen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche Neue Richtlinienroute. Das Dialogfenster Neue Richtlinienroute erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Position: Die Positionsnummer legt die Priorität der Richtlinienroute fest.

  • Seite 219: Dynamisches Routing (Ospf)

    Das Protokoll Open Shortest Path First (OSPF) ist ein dynamisches Link-State- Routing-Protokoll, das hauptsächlich innerhalb von großen autonomen Systemnetzwerken genutzt wird.Astaro Security Gateway unterstützt OSPF Version 2. Im Gegensatz zu anderen Protokollen nutzt OSPF die Kosten für die Pfade als Routing-Metrik. Die Kosten für die Übermittlung von Datenpaketen über eine Schnittstelle mit eingeschaltetem OSPF wird aus der verfügbaren Bandbreite...

  • Seite 220: Allgemein

    OSPF-Funktion aktivieren können, muss zunächst mindestens ein OSPF-Bereich konfiguriert sein (auf der Registerkarte Bereich). Warnung – Die Einstellungen für die OSPF-Funktion von Astaro Security Gateway sollten nur von einem technisch erfahrenen Administrator durchgeführt werden, der mit dem Protokoll OSPF vertraut ist. Die Konfigurationsbeschreibungen in diesem Kapitel umfassen nicht genügend...

  • Seite 221: Bereich

    Die Statusampel wird gelb und der Abschnitt Router kann nun bearbeitet werden. 3. Geben Sie die Router-ID ein. Geben Sie eine eindeutige ID ein, über die sich Astaro Security Gatewaygegenüber den anderen OSPF-Routern identifiziert. 4. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert.
  • Seite 222 6.7 Dynamisches Routing (OSPF) 6 Schnittstellen & Routing Backbone: Der Bereich mit der ID 0 (oder 0.0.0.0) ist für das Backbone- Netzwerk des OSPF-Netzwerks reserviert, welches das Kernnetz eines OSPF- Netzwerks bildet – alle anderen Bereiche sind damit verbunden. Normal: Ein normaler oder regulärer Bereich (engl. Regular Area) erhält eine eindeutige ID im Bereich 1 (oder 0.0.0.1) bis 4.294.967.295 (oder 255.255.255.255).
  • Seite 223 6 Schnittstellen & Routing 6.7 Dynamisches Routing (OSPF) Bereich-ID: Geben Sie die ID für den Bereich in der Punkt- Dezimalschreibweise ein (z. B. 0.0.0.1 für einen normalen Bereich oder 0.0.0.0 für den Backbone-Bereich). Bereichstyp: Wählen Sie einen Bereichstyp (siehe obige Beschreibung) aus, um die Charakteristika des Netzwerks festzulegen, dem dieser Bereich zugewiesen wird.

  • Seite 224: Schnittstellen

    6.7 Dynamisches Routing (OSPF) 6 Schnittstellen & Routing Um einen OSPF-Bereich zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen. Live-Protokoll öffnen: Im OSPF-Live-Protokoll werden die Aktivitäten auf der OSPF-Schnittstelle protokolliert. Klicken Sie auf die Schaltfläche, um das Live- Protokoll in einem neuen Fenster zu öffnen.
  • Seite 225 Erweiterte Optionen (optional): Durch die Auswahl der Option Erweiterte Optionen werden weitere Konfigurationsoptionen angezeigt: Grußpaketintervall: Legen Sie das Zeitintervall fest (in Sekunden), das Astaro Security Gateway wartet, bevor es Grußpakete (engl. Hello packets) über die Schnittstelle sendet. Als Standardwert sind zehn Sekunden voreingestellt.

  • Seite 226: Prüfsummen

    6.7 Dynamisches Routing (OSPF) 6 Schnittstellen & Routing 3. Klicken Sie auf Save. Die OSPF-Schnittstellendefinition wird auf der Registerkarte Schnittstellen angezeigt. Um eine OSPF-Schnittstelle zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen. Live-Protokoll öffnen: Im OSPF-Live-Protokoll werden die Aktivitäten auf der OSPF-Schnittstelle protokolliert.

  • Seite 227: Fehlersuche

    6 Schnittstellen & Routing 6.7 Dynamisches Routing (OSPF) Um einen Prüfsummenschlüssel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen. 6.7.5 Fehlersuche Auf der Registerkarte Schnittstellen & Routing > Dynamisches Routing (OSPF) > Fehlersuche werden detaillierte Informationen zu relevanten OSPF-Parametern in separaten Browser-Fenstern dargestellt.

  • Seite 228: Border Gateway Protocol

    6.8 Border Gateway Protocol 6 Schnittstellen & Routing Statische neu verteilen: Um statische Routen und IPsec-Routen neu zu verteilen, wählen Sie diese Option aus. Der Metrikwert (Kostenfaktor) 10 ist voreingestellt. Hinweis – Für IPsec-Tunnel muss striktes Routing deaktiviert sein, um eine Neuverteilung zu ermöglichen (siehe Kapitel Verbindungen).

  • Seite 229: Allgemein

    6 Schnittstellen & Routing 6.8 Border Gateway Protocol BGP verwendet TCP als Transportprotokoll, auf Port 179. Wenn BGP zwischen Routern eines einzigen AS verwendet wird, spricht man von internem BGP (interior BGP, iBGP); wenn es hingegen zwischen Routern von verschiedenen AS verwendet wird, spricht man von externem BGP (exterior BGP, eBGP).

  • Seite 230: Systeme

    6.8 Border Gateway Protocol 6 Schnittstellen & Routing 6.8.2 Systeme Auf der Seite Border Gateway Protocol > Erweitert können Sie eine Umgebung mit mehreren autonomen Systemen einrichten. Hinweis – Diese Seite ist nur zugänglich, wenn Sie die Verwendung von mehreren AS auf der Seite Erweitert aktivieren. Um ein neues BGP-System anzulegen, gehen Sie folgendermaßen vor: 1.

  • Seite 231: Neighbor

    6 Schnittstellen & Routing 6.8 Border Gateway Protocol 6.8.3 Neighbor Auf der Seite Border Gateway Protocol > Neighbor können Sie einen oder mehrere BGP-Nachbarrouter anlegen. Ein Nachbarrouter (neighbor oder peer router) stellt die Verbindung zwischen mehreren autonomen Systemen (AS) oder innerhalb eines einzigen AS her.

  • Seite 232: Routemap

    6.8 Border Gateway Protocol 6 Schnittstellen & Routing Eingehende/Ausgehende Route: Falls Sie eine Routemap angelegt haben, können Sie diese hier auswählen. Mit Eingehend bzw. Ausgehend legen Sie fest, ob die Routemap auf eingehende oder ausgehende Bekanntmachungen angewendet werden soll. Eingehender/Ausgehender Filter: Falls Sie eine Filterliste angelegt haben, können Sie diese hier auswählen.
  • Seite 233 6 Schnittstellen & Routing 6.8 Border Gateway Protocol 1. Gewicht (weight) wird überprüft.* 2. Lokale Präferenz (local preference) wird überprüft.* 3. Lokale Route wird überprüft. 4. AS-Pfadlänge wird überprüft. 5. Ursprung (origin) wird überprüft. 6. Metrik wird überprüft.* Dies ist nur eine Kurzbeschreibung. Da die Berechnung des Best Path sehr komplex ist, ziehen Sie für detaillierte Informationen bitte die einschlägige Dokumentation zu Rate, welche im Internet zur Verfügung steht.

  • Seite 234: Filterliste

    6.8 Border Gateway Protocol 6 Schnittstellen & Routing Weight: Das Gewicht (weight) wird verwendet, um den besten Pfad (best path) auszuwählen. Es wird für einen bestimmten Router festgelegt und nicht verbreitet. Wenn es mehrere Routen zu demselben Ziel gibt, werden Routen mit einem höheren Gewicht bevorzugt.
  • Seite 235 6 Schnittstellen & Routing 6.8 Border Gateway Protocol Adresse oder AS-Nummer zu regulieren. Um eine Filterliste anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Seite Filterliste auf Neue BGP-Filterliste. Das Dialogfeld Neue BGP-Filterliste anlegen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für die Filterliste ein.

  • Seite 236: Erweitert

    6.8 Border Gateway Protocol 6 Schnittstellen & Routing 3. Klicken Sie auf Save. Die Filterliste wird in der Liste Filterliste angezeigt. Sie können die Filterliste jetzt in einer Neighbor-Definition verwenden. 6.8.6 Erweitert Auf der Seite Border Gateway Protocol > Erweitert können Sie einige zusätzliche Einstellungen für BGP vornehmen und haben Zugriff auf Fenster mit BGP- Informationen zur Fehlersuche.

  • Seite 237: Multicast Routing (Pim-Sm)

    6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM) Show IP BGP Summary (IP-BGP-Zusammenfassung anzeigen: Zeigt den Status aller BGP-Verbindungen an. Diese Information wird auch im Abschnitt BGP Summary auf der Seite Allgemein angezeigt. 6.9 Multicast Routing (PIM- Das Menü Schnittstellen & Routing > Multicast Routing (PIM-SM) ermöglicht die Konfiguration von Protocol Independent Multicast Sparse Mode (PIM-SM) zur Benutzung in Ihrem Netzwerk.

  • Seite 238: Allgemein

    6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing 6.9.1 Allgemein Auf der Registerkarte Multicast Routing (PIM-SM) > Allgemein können Sie PIM aktivieren und deaktivieren. Der Abschnitt Routing-Daemon-Einstellungen zeigt den Status der Schnittstellen und beteiligten Router an. Bild 59 PIM-SM: Beispielkonfiguration Bevor Sie PIM aktivieren können, müssen Sie zunächst auf der Registerkarte Schnittstellen mindestens zwei Schnittstellen definieren, die als PIM- Schnittstellen dienen sollen, und auf der Registerkarte RP-Router einen Router.

  • Seite 239: Schnittstellen

    Fenster zu öffnen. 6.9.2 Schnittstellen Auf der Registerkarte Multicast Routing (PIM-SM) > Schnittstellen können Sie festlegen, über welche Schnittstellen von Astaro Security Gateway Multicast- Kommunikation stattfinden soll. Bild 60 PIM-SM: Schnittstellenliste Um eine neue PIM-SM-Schnittstelle anzulegen, gehen Sie folgendermaßen vor: 1.

  • Seite 240: Rp-Router

    6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für die PIM-SM- Schnittstelle ein. Schnittstelle: Wählen Sie eine Schnittstelle aus, die PIM- und IGMP- Netzwerkverkehr annehmen soll. DR-Priorität (optional): Geben Sie eine Zahl ein, die die designierte Router- Priorität (DR) für diese Schnittstelle festlegt.

  • Seite 241: Bild 61 Pim-Sm: Liste Der Rendezvous-Point-Router

    6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM) Bild 61 PIM-SM: Liste der Rendezvous-Point-Router Um einen RP-Router anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte RP-Router auf Neuer Rendezvous- Point-Router. Das Dialogfenster Neuen RP-Router anlegen wird geöffnet. 2.

  • Seite 242: Routen

    6.9 Multicast Routing (PIM-SM) 6 Schnittstellen & Routing 6.9.4 Routen Sie müssen zwischen Sender(n) und Empfängern eine durchgängige Kommunikationsroute einrichten. Wenn Empfänger, Sender und/oder RP-Router sich nicht im selben Netzwerksegment befinden, werden Sie eine Route anlegen müssen, um die Kommunikation zwischen ihnen zu gewährleisten. Bild 62 PIM-SM: Routenliste Um eine PIM-SM-Route anzulegen, gehen Sie folgendermaßen vor: 1.

  • Seite 243: Erweitert

    6 Schnittstellen & Routing 6.9 Multicast Routing (PIM-SM) Schnittstelle: Wählen Sie die Schnittstelle aus, zu der das Gateway die Datenpakete weiterleiten soll (nur verfügbar, wenn Sie Schnittstellenroute als Routentyp ausgewählt haben). Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3.

  • Seite 245: Netzwerkdienste

    7 Netzwerkdienste In diesem Kapitel wird die Konfiguration verschiedener Netzwerkdienste von Astaro Security Gateway beschrieben. Dieses Kapitel enthält Informationen zu den folgenden Themen: DHCP 7.1 DNS Die Registerkarten des Menüs Netzwerkdienste > DNS enthalten eine Reihe von Konfigurationsmöglichkeiten, die sich auf den Dienst Domain Name System (DNS) beziehen.

  • Seite 246: Weiterleitung

    7.1 DNS 7 Netzwerkdienste abläuft. Um den Zwischenspeicher zu leeren, klicken Sie auf DNS-Speicher jetzt leeren. 7.1.2 Weiterleitung Auf der Registerkarte Netzwerkdienste > DNS > Weiterleitung können Sie sogenannte DNS-Forwarders definieren. Ein DNS-Forwarder ist ein Domain- Name-System-Server (DNS), der DNS-Anfragen für externe DNS-Namen an DNS- Server außerhalb des Netzwerks weiterleitet.

  • Seite 247: Statische Einträge

    7 Netzwerkdienste 7.1 DNS 1. Klicken Sie auf der Registerkarte Anfragerouten auf Neue DNS- Anfrageroute. Das Dialogfenster Neue DNS-Anfrageroute erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Domäne: Geben Sie die Domäne ein, für die ein alternativer DNS-Server genutzt werden soll.

  • Seite 248: Dyndns

    7.1 DNS 7 Netzwerkdienste Reverse-DNS: Markieren Sie dieses Auswahlkästchen, um die Zuordnung der IP-Adresse eines Hosts zu seinem Namen zu ermöglichen. Beachten Sie, obwohl mehrere Namen auf die gleiche IP-Adresse verweisen können, dass eine IP-Adresse immer nur auf einen Namen verweisen kann. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  • Seite 249: Bild 63 Dns: Konfiguration Von Dyndns

    7 Netzwerkdienste 7.1 DNS Bild 63 DNS: Konfiguration von DynDNS Um DynDNS zu konfigurieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte DynDNS auf Neues DynDNS. Das Dialogfenster Neues DynDNS erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Hostname: Geben Sie die Domäne ein, die Sie von Ihrem DynDNS-Anbieter erhalten haben (z.
  • Seite 250 7.1 DNS 7 Netzwerkdienste Anfrage zu einem öffentlichen DynDNS-Server senden, der im Gegenzug mit der öffentlichen IP-Adresse antwortet, die Sie gerade verwenden. Diese Option ist nützlich, wenn ASG keine öffentliche IP-Adresse besitzt, sondern sich in einem privaten Netzwerk befindet und sich über einen maskierenden Router mit dem Internet verbindet.

  • Seite 251: Dhcp

    7 Netzwerkdienste 7.2 DHCP als Platzhalter dient (z. B. *.beispiel.dyndns.org). Das stellt sicher, dass z. B. www.beispiel.dyndns.org auf dieselbe Adresse verweist wie beispiel.dyndns.org. Benutzername: Geben Sie den Benutzernamen ein, den Sie vom DynDNS- Anbieter erhalten haben. Kennwort: Geben Sie das Kennwort ein, das Sie vom DynDNS-Anbieter erhalten haben.

  • Seite 252: Server

    7.2.1 Server Auf der Registerkarte Netzwerkdienste > DHCP > Server können Sie einen DHCP- Server konfigurieren.Astaro Security Gateway bietet einen DHCP-Dienst für das angeschlossene Netzwerk. Der DHCP-Server kann dazu verwendet werden, Ihren Clients grundlegende Netzwerkparameter zuzuweisen. Sie können den DHCP- Dienst auf verschiedenen Schnittstellen laufen lassen, wobei jedes angeschlossene Netzwerk individuell konfiguriert werden kann.
  • Seite 253 7 Netzwerkdienste 7.2 DHCP Lease-Zeit: Jede IP-Adresse, die vom DHCP-Server zugewiesen wird, läuft nach einem bestimmten Zeitraum ab. Hier können Sie diesen Zeitraum in Sekunden festlegen. Der Standard ist 86400 Sekunden (ein Tag). Das Minimum beträgt 600 Sekunden (10 Minuten) und das Maximum beträgt 2592000 Sekunden (ein Monat).

  • Seite 254: Relay

    7.2 DHCP 7 Netzwerkdienste Hinweis – Die automatische HTTP-Proxy-Konfiguration wird momentan nicht von IPv6 von Microsoft Windows unterstützt. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3. Klicken Sie auf Save. Die neue DHCP-Serverdefinition wird in der DHCP-Server-Liste angezeigt und ist sofort aktiv.

  • Seite 255: Statische Mac/Ip-Zuordnungen

    7 Netzwerkdienste 7.2 DHCP 1. Aktivieren Sie DHCP-Relay auf der Registerkarte Relay. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt DHCP-Relaykonfiguration kann nun bearbeitet werden. 2. Wählen Sie den DHCP-Server aus. 3.

  • Seite 256: Ipv4-Lease-Tabelle

    7.2 DHCP 7 Netzwerkdienste Das Dialogfenster Neue Zuordnung erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: DHCP-Server: Wählen Sie den DHCP-Server, der für statische MAC/IP- Zuordnungen verwendet werden soll. MAC-Adresse: Geben Sie die MAC-Adresse der Client-Netzwerkkarte ein. IP-Adresse: Geben Sie die IP-Adresse für den Client ein. Die IP-Adresse muss im Netzwerkbereich der internen Netzwerkkarte liegen.
  • Seite 257 7 Netzwerkdienste 7.2 DHCP Spalte Statische Zuordnung hinzufügen klicken. Gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche Neue Zuordnung. Das Dialogfenster Neue Zuordnung wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: MAC-Adresse (optional): Ändern Sie die MAC-Adresse nur, wenn Sie die statische Zuordnung einem anderen Host als dem gewählten zuweisen wollen.

  • Seite 258: Ipv6-Lease-Tabelle

    7.2 DHCP 7 Netzwerkdienste 7.2.5 IPv6-Lease-Tabelle Wenn der DHCP-Dienst genutzt wird, besitzt ein Client keine eigene IP-Adresse mehr, sondern borgt (engl. lease) sich diese vom DHCP-Server. Dieser gibt dem Client das Recht, die IP-Adresse für einen gewissen Zeitraum zu verwenden. Bild 66 DHCP: IPv6-Lease-Tabelle Die Lease-Tabelle auf der Registerkarte Netzwerkdienste >...

  • Seite 259: Ntp

    Netzwerke konfiguriert. Das Network Time Protocol (NTP) ist ein Protokoll, das Uhren von Computer-Systemen über IP-Netzwerke synchronisiert. Anstatt nur die Zeit von Astaro Security Gateway zu synchronisieren – diese Funktion wird auf der Registerkarte Verwaltung > Systemeinstellungen > Zeit und Datum eingestellt –...
  • Seite 260 7.3 NTP 7 Netzwerkdienste 1. Aktivieren Sie den NTP-Server. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. 2. Wählen Sie Zugelassene Netzwerke aus. Wählen Sie die Netzwerke aus, die Zugriff auf den NTP-Server haben sollen. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert.

  • Seite 261: Network Security

    Gateways und dient in einem Netzwerk dazu, Verbindungen zu verhindern, die von der Sicherheitsrichtlinie verboten sind. Die Standardrichtlinie von Astaro Security Gateway besagt, dass der gesamte Netzwerkverkehr blockiert und protokolliert wird. Ausnahmen stellen automatisch generierte Regelwerke dar, die von anderen Softwarekomponenten des Gateways benötigt werden, um funktionieren zu können.

  • Seite 262: Regeln

    8.1 Firewall 8 Network Security 8.1.1 Regeln Auf der Registerkarte Network Security > Firewall > Regeln wird das Firewallregelwerk verwaltet. Alle neu definierten Firewallregeln sind direkt nach der Erstellung standardmäßig deaktiviert. Aktivierte Firewallregeln werden der Reihe nach angewandt, bis die erste Regel zutrifft. Die Reihenfolge der Abarbeitung richtet sich dabei nach der Positionsnummer, d.
  • Seite 263 8 Network Security 8.1 Firewall zusammengefasst werden können. Die Zugehörigkeit zu einer Gruppe hat nur Auswirkungen auf die Darstellung, aber keinen Einfluss auf die Abarbeitung der Regel im Regelwerk. Position: Die Positionsnummer legt die Priorität der Regel fest. Niedrigere Nummern haben eine höhere Priorität. Regeln werden in aufsteigender Reihenfolge abgeglichen.

  • Seite 264: Bild 68 Firewall: Live-Protokoll

    8.1 Firewall 8 Network Security 3. Klicken Sie auf Save. Die neue Regel wird in der Liste Regeln angezeigt. 4. Aktivieren Sie die Regel. Aktivieren Sie die Regel durch einen Klick auf die Statusampel. Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
  • Seite 265 8 Network Security 8.1 Firewall Durch die Funktion Autoscroll rücken die Zeilen auf, wenn neue hinzukommen, wodurch im Fenster immer die jüngste Regelverletzung sichtbar wird, wodurch manuelles Blättern entfällt. Untenstehend finden Sie einige grundlegende Hinweise zur Konfiguration der Firewall: Verworfene Broadcasts: Alle Broadcasts werden standardmäßig verworfen.

  • Seite 266: Country-Blocking

    8.1 Firewall 8 Network Security Gruppen angelegt haben, können Sie eine Gruppe über die Auswahlliste wählen und sehen so alle Regeln, die zu dieser Gruppe gehören. Mit dem Suchfeld können Sie nach Stichworten oder auch nur Wortteilen suchen, zu denen die Regeln angezeigt werden sollen.

  • Seite 267: Icmp

    8 Network Security 8.1 Firewall Tipp – Sie können einen Kontinent-Abschnitt zuklappen, indem Sie das Fenster- Symbol in der rechten oberen Ecke der Kopfzeile anklicken. Klicken Sie das Fenster-Symbol erneut an, um den Kontinent-Abschnitt wieder aufzuklappen. 8.1.3 ICMP Auf der Registerkarte Network Security > Firewall > ICMP werden die Einstellungen für das Protokoll Internet Control Message Protocol (ICMP) vorgenommen.

  • Seite 268: Erweitert

    8.1 Firewall 8 Network Security Zeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer des Paketumlaufs und die Paketverlustrate zwischen den Hosts. Die folgenden Ping-Optionen sind möglich: Gateway ist ping-sichtbar: Das Gateway antwortet auf ICMP-Echo- Antwort-Pakete. Diese Funktion ist standardmäßig eingeschaltet. Vom Gateway pingen: Der Ping-Befehl kann auf dem Gateway verwendet werden.
  • Seite 269 8 Network Security 8.1 Firewall H e l f e r f ü r Ve r bi n du n gs v e r f ol gu n g Sogenannte „Helfer für die Verbindungsverfolgung“ (engl. connection tracking helpers) aktivieren Protokolle, die mehrere Netzwerkverbindungen benutzen, um mit Firewall- oder NAT-Regeln zu arbeiten.
  • Seite 270 8.1 Firewall 8 Network Security PPTP TFTP Hinweis – Das Helfer-Modul PPTP wird benötigt, wenn Sie PPTP-VPN-Dienste auf dem Gateway anbieten wollen. PPTP-Verbindungen können sonst nicht aufgebaut werden. Der Grund hierfür ist, dass das Protokoll PPTP zuerst eine Verbindung auf TCP-Port 1723 aufbaut, bevor es zur Verbindung mit dem Protokoll Generic Routing Encapsulation (GRE) wechselt, welches ein eigenständiges IP-Protokoll ist.
  • Seite 271 8 Network Security 8.1 Firewall Sitzungen zu reaktivieren. Es wird empfohlen, diese Option ausgeschaltet zu lassen. Paketlänge validieren: Wenn diese Option aktiviert ist, prüft die Firewall die Datenpakete auf die minimale Länge, wenn das Protokoll ICMP, TCP oder UDP verwendet wird. Wenn die Datenpakete kürzer als die Minimalwerte sind, werden sie blockiert und es wird ein Eintrag im Firewallprotokoll angelegt.

  • Seite 272: Nat

    8.2 NAT 8 Network Security 8.2 NAT Im Menü Network Security > NAT werden die NAT-Regeln des Gateways definiert und verwaltet.Network Address Translation (NAT) ist ein Verfahren, mit dem die Quell- und/oder Zieladressen von IP-Paketen umgeschrieben werden, wenn sie einen Router oder ein Gateway passieren. Die meisten Systeme benutzen NAT, damit mehrere Hosts in einem privaten Netzwerk den Internetzugang über eine einzige öffentliche IP-Adresse nutzen können.
  • Seite 273 8 Network Security 8.2 NAT immer die aktuelle IP-Adresse dieser Schnittstelle, d. h. diese Adresse kann dynamisch sein. Um eine Maskierungsregel anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Maskierung auf Neue Maskierungsregel. Das Dialogfenster Neue Maskierungsregel erstellen wird geöffnet. 2.

  • Seite 274: Dnat/Snat

    8.2 NAT 8 Network Security 8.2.2 DNAT/SNAT DNAT (Destination Network Address Translation, Zielnetzwerkadressumsetzung) und SNAT (Source Network Address Translation, Quellnetzwerkadressumsetzung) sind zwei spezielle Fälle von NAT. Mit SNAT wird die IP-Adresse des Hosts umgeschrieben, der die Verbindung initiiert hat. Das Gegenstück hierzu ist DNAT, das die Zieladresse der Datenpakete umschreibt.
  • Seite 275 8 Network Security 8.2 NAT Hinweis – Der Port 443 (HTTPS) wird standardmäßig für das Benutzerportal genutzt. Wenn Sie den Port 443 auf einen internen Server umleiten möchten, müssen Sie den TCP-Port für das Benutzerportal auf einen anderen Wert setzen (z.
  • Seite 276 8.2 NAT 8 Network Security NAT-Modus: Wählen Sie den NAT-Modus aus. Abhängig vom gewählten Modus werden verschiedene Optionen angezeigt: Die folgenden Modi sind möglich: Kein NAT: Bei dieser Option handelt es sich um eine Ausnahmeregel. Beispiel: Wenn für ein bestimmtes Netzwerk eine NAT-Regel existiert, können Sie eine Kein NAT-Regel für bestimmte Hosts innerhalb dieses Netzwerks festlegen.

  • Seite 277: Angriffschutz

    Regelwerk und die Angriffsignaturen werden durch die Pattern-Updates-Funktion aktualisiert. Neue IPS-Angriffsignaturen werden automatisch als IPS-Regeln in das IPS-Regelwerk importiert. 8.3.1 Allgemein Auf der Registerkarte Network Security > Angriffschutz > Allgemein können Sie das Angriffschutzsystem (intrusion prevention system, IPS) von Astaro Security Gateway aktivieren. ASG V8 Administrationshandbuch...

  • Seite 278: Bild 71 Angriffschutz: Aktivierung Des Angriffschutzsystems

    8.3 Angriffschutz 8 Network Security Bild 71 Angriffschutz: Aktivierung des Angriffschutzsystems Um IPS zu aktivieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie das Angriffschutzsystem. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Allgemeine IPS-Einstellungen kann nun bearbeitet werden.

  • Seite 279: Angriffsmuster

    8 Network Security 8.3 Angriffschutz Hinweis – Standardmäßig ist Unbemerkt verwerfen ausgewählt. Diese Einstellung sollte in der Regel nicht verändert werden, vor allem da aus Paketen zur Verbindungsbeendigung mutmaßliche Angreifer auch Informationen über das Gateway ziehen können. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert.

  • Seite 280: Bild 72 Angriffschutz: Angriffsmuster

    Hinweis – Um die Einstellungen für individuell erstellte IPS-Regeln zu ändern, verwenden Sie auf der Registerkarte Angriffschutz > Erweitert das Feld Geänderte Regeln. Eine detaillierte Liste mit allen IPS-Regeln, die in Astaro Security GatewayV8 enthalten sind, finden Sie auf der Astaro-Website.

  • Seite 281: Anti-Dos/Flooding

    8 Network Security 8.3 Angriffschutz Benachrichtigen: Wenn Sie diese Option wählen, wird für jedes IPS-Ereignis, das zu dieser Gruppe gehört, eine Meldung an den Administrator geschickt. Beachten Sie, dass die Nachricht nur abgeschickt wird, wenn Sie die Benachrichtigungsfunktion im Menü Management > Benachrichtigungen > Benachrichtigungen eingeschaltet und entsprechend konfiguriert haben.
  • Seite 282 8.3 Angriffschutz 8 Network Security 1. Wählen Sie auf der Registerkarte Anti-DoS/Flooding die Option Verwende TCP-SYN-Flood-Schutz. 2. Nehmen Sie die folgenden Einstellungen vor: Modus: Die folgenden Modi sind möglich: Quell- und Zieladressen: In diesem Modus werden TCP-SYN-Pakete zurückgewiesen, die sowohl die Quell-IP-Adresse als auch die Ziel-IP- Adresse betreffen.

  • Seite 283: Anti-Portscan

    8 Network Security 8.3 Angriffschutz passieren, dass der Webserver den Dienst versagt, weil er eine derart große Menge an TCP-SYN-Paketen nicht bewältigen kann. Wenn Sie andererseits die Rate zu gering definieren, kann es passieren, dass das Gateway unvorhersehbar reagiert und reguläre Anfragen blockiert. Es hängt hauptsächlich von Ihrer Hardware ab, welche Einstellungen für Sie sinnvoll sind.
  • Seite 284 8.3 Angriffschutz 8 Network Security Portscans werden meist von Hackern durchgeführt, um in gesicherten Netzwerken nach erreichbaren Diensten zu suchen: Um in ein System einzudringen bzw. eine Denial-of-Service-Attacke (DoS) zu starten, benötigen Angreifer Informationen zu den Netzwerkdiensten. Wenn solche Informationen vorliegen, sind Angreifer möglicherweise in der Lage, gezielt die Sicherheitslücken dieser Dienste auszunutzen.

  • Seite 285: Ausnahmen

    8 Network Security 8.3 Angriffschutz Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird grün und der Abschnitt Allgemeine Einstellungen kann nun bearbeitet werden. 2. Nehmen Sie die folgenden Einstellungen vor: Aktion: Die folgenden Aktionen sind möglich: Ereignis nur protokollieren: Es wird keine Maßnahme gegen den Portscanner ergriffen.

  • Seite 286: Bild 74 Angriffschutz: Ausnahmenliste

    Diese Prüfungen auslassen: Wählen Sie die Sicherheitsprüfungen, die nicht durchgeführt werden sollen: Angriffschutz: Wenn Sie diese Option aktivieren, wird das IPS von Astaro Security Gateway ausgeschaltet. Portscan-Schutz: Wenn Sie diese Option aktivieren, verlieren Sie den Schutz vor Portscans, die Ihr System nach offenen Ports absuchen.

  • Seite 287: Erweitert

    8 Network Security 8.3 Angriffschutz Aus diesen Quellnetzwerken: Wählen Sie diese Option, um Quellhosts/-netzwerke hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen. Geben Sie die entsprechenden Hosts oder Netzwerke in das Feld Netzwerke ein, das nach Auswahl der Bedingung geöffnet wird. Diese Dienste verwendend: Wählen Sie diese Option, um Dienste hinzuzufügen, die von Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen.
  • Seite 288 Das Dialogfenster Modify Rule (Regel ändern) wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Regel-ID: Geben Sie die ID der IPS-Regel ein, die Sie ändern wollen. Die Regel-IDs sind in der IPS-Regelliste auf der Astaro Website aufgeführt (in den Formaten HTML verfügbar).

  • Seite 289: Server-Lastverteilung

    8 Network Security 8.4 Server-Lastverteilung L e i s tu n gs s te i ge r u n g Um die Leistung des Angriffschutzsystems zu verbessern und die Anzahl falscher Alarme zu minimieren, können Sie hier den Bereich der IPS-Regeln auf einzelne Ihrer internen Server begrenzen.

  • Seite 290: Verteilungsregeln

    Rückgabewerte werden als Fehler gewertet. 8.4.1 Verteilungsregeln Auf der Registerkarte Network Security > Server-Lastverteilung > Verteilungsregeln können Sie Lastverteilungsregeln für die Astaro Security Gateway Software setzen. Nachdem Sie eine Regel erstellt haben, können Sie zusätzlich die Gewichtung der Lastverteilung zwischen den Servern und die Schnittstellenbindung festlegen.
  • Seite 291 8 Network Security 8.4 Server-Lastverteilung HTTP Host (HTTP-Anfragen) oder HTTPS Host (HTTPS-Anfragen). Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP -Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt der Server als ausgefallen. Für HTTP- und HTTPS-Anfragen müssen Sie eine URL im Feld URL prüfen angeben, welche mit oder ohne Domänenname sein kann, z.

  • Seite 292: Gewichtung Der Lastverteilung Und Schnittstellenbindung

    8.4 Server-Lastverteilung 8 Network Security Hostdefinition oder legen Sie eine Hostdefinition für jeden Server an. Sie könnten Sie http_server_1 und http_server_2 nennen. Wählen Sie dann im Dialogfenster Neue Lastverteilungsregel erstellenHTTP als Dienst aus. Wählen Sie außerdem die externe Adresse des Gateways als Virtuellen Server aus und fügen Sie zuletzt die Hostdefinitionen zum Feld Echte Server hinzu.

  • Seite 293: Voip

    8.5 VoIP Voice over Internet Protocol (VoIP) ist der Sammelbegriff für das Routing von gesprochenen Konversationen über das Internet oder jedes andere IP-basierte Netzwerk.Astaro Security Gateway unterstützt die am häufigsten eingesetzten Protokolle, um Sprachsignale über das IP-Netzwerk zu transportieren: H.323 8.5.1 SIP...

  • Seite 294: Bild 76 Voip Sip: Aktivieren Von Voip Sip

    8.5 VoIP 8 Network Security Bild 76 VoIP SIP: Aktivieren von VoIP SIP Um die Unterstützung für das SIP-Protokoll zu aktivieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie die SIP-Protokoll-Unterstützung auf der Registerkarte SIP. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 295 8 Network Security 8.5 VoIP Strikten Modus aktivieren (optional): Wählen Sie diesen Modus, um die Sicherheit zu verbessern. Falls Sie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivieren Sie diese Option. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe Statusampel.

  • Seite 296: Bild 77 Voip H.323: Aktivieren Von Voip H

    8.5 VoIP 8 Network Security Bild 77 VoIP H.323: Aktivieren von VoIP H.323 Um die Unterstützung für das H.323-Protokoll zu aktivieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie die H.323-Protokoll-Unterstützung auf der Registerkarte H.323. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.

  • Seite 297: Erweitert

    8 Network Security 8.6 Erweitert Strikten Modus aktivieren (optional): Wählen Sie diesen Modus, um die Sicherheit zu verbessern. Falls Sie jedoch Verbindungsprobleme zu Ihrem ISP haben, deaktivieren Sie diese Option. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. Um die Konfiguration abzubrechen, klicken Sie auf Aktivierung abbrechen oder auf die gelbe Statusampel.

  • Seite 298: Socks-Proxy

    8.6 Erweitert 8 Network Security 1. Klicken Sie auf der Registerkarte Generischer Proxy auf Neue Generischer-Proxy-Regel. Das Dialogfenster Neue Generischer-Proxy-Regel erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Schnittstelle: Wählen Sie die Schnittstelle für den eingehenden Datenverkehr aus. Dienst: Wählen Sie die Dienstdefinition für den Verkehr aus, der weitergeleitet werden soll.
  • Seite 299 8 Network Security 8.6 Erweitert dann die Berechtigung des Clients, eine Verbindung zu dem externen Server aufzubauen, und leitet die Anfrage zu dem Server weiter. Ihre Client-Anwendung muss explizit die Protokollversion SOCKS 4 oder SOCKS 5 unterstützen. Der Standardport von SOCKS ist 1080. Fast alle Clients verfügen über die Implementierung dieses Standardports, deshalb muss er normalerweise nicht konfiguriert werden.

  • Seite 300: Ident-Reverse-Proxy

    8.6 Erweitert 8 Network Security vom Protokoll SOCKS 5 unterstützt wird, wird SOCKS 4 automatisch ausgeschaltet. Zugelassene Benutzer: Wählen Sie die Benutzer oder Gruppen aus, die den SOCKS-Proxy benutzen können sollen. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. 8.6.3 IDENT-Reverse-Proxy Das IDENT-Protokoll wird von einigen Servern zur einfachen Identitätsprüfung der auf sie zugreifenden Clients verwendet.
  • Seite 301 8 Network Security 8.6 Erweitert System wird dann immer mit der Zeichenfolge antworten, die Sie im Feld Standardantwort eingegeben haben, ungeachtet des lokalen Dienstes, der die Verbindung initiiert hat. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. ASG V8 Administrationshandbuch...

  • Seite 303: Web Security

    9 Web Security In diesem Kapitel wird beschrieben, wie Sie die grundlegenden Web- Sicherheitsfunktionen von Astaro Security Gateway konfigurieren. Dieses Kapitel enthält Informationen zu den folgenden Themen: Webfilter Webfilter-Profile Application Control FTP-Proxy Die Seite Web-Security-Statistik in WebAdmin enthält eine Übersicht mit den meistaufgerufenen Internetadressen (URLs).

  • Seite 304: Webfilter

    Fällen treten diese Fehler auf, wenn auf einer Internetseite ungültige oder unvollständige Links enthalten sind. 9.1 Webfilter Auf den Registerkarten des Menüs Web Security > Webfilter können Sie Astaro Security Gateway die Software als HTTP/S-Proxy konfigurieren. Der HTTP/S-Proxy von Astaro Security Gateway bietet neben dem reinen Zwischenspeichern (engl.

  • Seite 305: Bild 79 Webfilter: Allgemeine Einstellungen

    9 Web Security 9.1 Webfilter Bild 79 Webfilter: Allgemeine Einstellungen Um den Webfilter zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie den Webfilter auf der Registerkarte Allgemein. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird grün und der Abschnitt Allgemeine Webfilter- Einstellungen kann nun bearbeitet werden.
  • Seite 306 Sie können Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen, und sie im Feld Benutzer/Gruppen hinzufügen. Agent: Wählen Sie den Astaro Authentication Agent (AAA) aus. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren. Sie können Benutzer und/oder Gruppen auswählen oder anlegen, die...
  • Seite 307 9 Web Security 9.1 Webfilter > Webfilter > Erweitert hochladen. In diesem Modus muss der Webfilter in der Browser-Konfiguration von jedem Client angegeben sein. Sie können Benutzer und/oder Gruppen auswählen oder anlegen, die den Webfilter verwenden dürfen, und sie im Feld Benutzer/Gruppen hinzufügen. Beachten Sie, dass der Safari-Browser SSO nicht unterstützt.
  • Seite 308 Wählen Sie eine Authentifizierungsmethode aus: Keine: Wählen Sie diese Option, wenn keine Authentifizierung verwendet werden soll. Agent: Wählen Sie den Astaro Authentication Agent (AAA) aus. Um den Webfilter verwenden zu können, müssen Benutzer zunächst den Agent ausführen und sich authentifizieren. Sie können Benutzer und/oder Gruppen auswählen oder anlegen, die...

  • Seite 309: Antivirus/Schadsoftware

    9 Web Security 9.1 Webfilter Browser: Wenn Sie diese Funktion wählen, wird den Benutzern in ihrem Browser ein Dialogfenster zur Anmeldung angezeigt, über das sie sich beim Webfilter authentifizieren können. 5. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. Wichtiger Hinweis – Wenn SSL-Scanning zusammen mit dem Transparenzmodus aktiviert ist, werden einige Verbindungen nicht zustande kommen, z.

  • Seite 310: Bild 80 Webfilter: Konfiguration Der Antiviren- Und Schadsoftware

    Einstellungen An ti v i r e n - S c a n Wählen Sie die Option Antiviren-Scan verwenden, um eingehenden und ausgehenden Datenverkehr zu scannen.Astaro Security Gateway bietet mehrere Antiviren-Mechanismen für höchste Sicherheit. Einfachscan: Standardeinstellung; bietet maximale Leistung. Zweifachscan: Bietet maximale Erkennungsrate, indem der gesamte Internetverkehr von zwei verschiedenen Virenscannern gescannt wird.
  • Seite 311 9 Web Security 9.1 Webfilter D a te i e r w e i te r u n ge n f i l te r Diese Funktion filtert bestimmte Dateitypen basierend auf ihren Erweiterungen (z. B. ausführbare Binärdateien) aus dem Internetverkehr heraus, wenn diese eine Dateierweiterung besitzen, die in der Liste Blockierte Erweiterungen aufgeführt ist.

  • Seite 312: Url-Filterung

    9.1 Webfilter 9 Web Security 9.1.3 URL-Filterung Auf der Registerkarte Web Security > Webfilter > URL-Filterung können Sie die grundlegenden Einstellungen für die Zugriffskontrolle für bestimmte Arten von Websites vornehmen. Hinweis - Die Whitelist wird immer zuerst abgeglichen, d.h. jede Website- Anfrage wird zunächst mit der Whitelist verglichen.

  • Seite 313: Bild 81 Webfilter: Konfiguration Der Url-Filterung

    9 Web Security 9.1 Webfilter Bild 81 Webfilter: Konfiguration der URL-Filterung Sie können die folgenden Einstellungen vornehmen: Zulassen/Blockieren-Auswahl: Legen Sie fest, ob Ihre Auswahl an Website-Kategorien zugelassen oder blockiert werden soll. Die folgenden Optionen sind möglich: Inhalt zulassen, der die unten stehenden Kriterien nicht erfüllt: Wenn Sie diese Option wählen, werden Ihre ausgewählten Website-Kategorien blockiert, während alle anderen Kategorien (die nicht ausgewählten) zugelassen werden.
  • Seite 314 9.1 Webfilter 9 Web Security Inhalt blockieren, der die unten stehenden Kriterien nicht erfüllt: Wenn Sie diese Option wählen, werden alle Website- Kategorien blockiert, außer jenen, die Sie ausgewählt haben. Die Standardoption ist Zulassen. Wenn Sie zu Blockieren wechseln, beachten Sie, dass dadurch die unten stehenden Optionen in ihrer Bedeutung „umgedreht“...
  • Seite 315 9 Web Security 9.1 Webfilter Schwellenwerts werden blockiert. Beachten Sie, dass diese Option nur verfügbar ist, wenn die erste Option auf dieser Seite auf Zulassen gestellt ist. Weitere Informationen zum Ruf von Websites finden Sie unter http://www.trustedsource.org. Diese Website-Kategorien blockieren: Wählen Sie die Website- Kategorien, die blockiert werden sollen.

  • Seite 316: Url-Filterkategorien

    9.1 Webfilter 9 Web Security http://www\.wikipedia\.org). Beachten Sie, dass Ausdrücke wie wikipedia\.org nicht nur auf die URL zutreffen, sondern auch auf Suchergebnisse und Teile von ähnlichen URLs, was zu versehentlich blockierten Seiten führen kann. Beachten Sie, dass sich diese Option zu Weitere zugelassene URLs/Sites ändert, wenn die erste Option auf dieser Seite auf Blockieren gestellt ist.
  • Seite 317 9 Web Security 9.1 Webfilter die auf der Registerkarte URL-Filterung ausgewählt werden können.Astaro Security Gateway kann 60 unterschiedliche Kategorien von Websites identifizieren und den Zugriff auf sie blockieren. Ausgeklügelte URL-Klassifizierungsmethoden stellen die Genauigkeit und Vollständigkeit bei der Einschätzung fragwürdiger Websites sicher. Wenn ein Benutzer eine Website aufruft, die nicht in der Datenbank vorliegt, wird die URL an Webcrawler gesendet und automatisch klassifiziert.

  • Seite 318: Ausnahmen

    9.1 Webfilter 9 Web Security 4. Klicken Sie auf Save. Die Gruppe wird mit Ihren Einstellungen aktualisiert. Um eine Kategorie zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen. 9.1.5 Ausnahmen Auf der Registerkarte Web Security > Webfilter > Ausnahmen können Sie Netzwerke, Benutzer/Gruppen und Domänen definieren, die nicht gefiltert/blockiert werden sollen, d.
  • Seite 319 9 Web Security 9.1 Webfilter 1. Klicken Sie auf der Registerkarte Ausnahmen auf Neue Ausnahmenliste.Das Dialogfenster Ausnahmenliste erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese Ausnahme ein. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
  • Seite 320 9.1 Webfilter 9 Web Security Gründen nicht mit transparenten Webfilter-Modi funktioniert. Wenn Sie einen transparenten Proxy-Modus verwenden, benutzen Sie stattdessen das Feld für Transparenzmodus-Ausnahmen (siehe Abschnitt Erweitert). Im Standard-Modus können Ausnahmen nur basierend auf dem Zielhost oder der IP-Adresse gemacht werden, abhängig davon, was der Client übermittelt.

  • Seite 321: Erweitert

    9 Web Security 9.1 Webfilter entsprechenden Hosts oder Netzwerke in das Feld Hosts/Netzwerke ein, das nach Auswahl der Bedingung geöffnet wird. Diese URLs betreffend: Wählen Sie diese Option, um Zieldomänen hinzufügen, die von den Sicherheitsprüfungen dieser Ausnahmeregel ausgenommen werden sollen. Fügen Sie die entsprechenden Domänen zum Feld Zieldomänen hinzu, das nach Auswahl der Bedingung geöffnet wird.
  • Seite 322 The hostname can also be written as a variable called ${asg_hostname}. This is especially useful when you want to deploy the same PAC file to several ASGs using Astaro Command Center. The variable will then be instantiated with the hostname ASG V8 Administrationshandbuch...
  • Seite 323 9 Web Security 9.1 Webfilter of the respective ASG. Using the variable in the example above would look like the following: function FindProxyForURL(url, host) { return "PROXY ${asg_hostname}:8080; DIRECT"; } Um eine PAC-Datei für Ihr Netzwerk bereitzustellen, haben Sie die folgenden Möglichkeiten: Bereitstellung über Browserkonfiguration: Wenn Sie die Option Automatische Proxy-Konfiguration aktivieren wählen, wird die PAC-Datei...
  • Seite 324 Dienste mit Ports enthalten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutzt werden: HTTP (Port 80), HTTPS (Port 443), FTP (Port 21), LDAP (Port 389), LDAP-SSL (Port 636), Webfilter (Port 8080), Astaro Spam Release (Ports 3840–4840) und Astaro WebAdmin (Port 4444).
  • Seite 325 9 Web Security 9.1 Webfilter und meint damit wiki.intranet.beispiel.de. Die URL kann jedoch nur aufgelöst werden, wenn Sie intranet.beispiel.de in das Feld Suchdomäne eingeben. Authentifizierungs-Zeitüberschreitung: Diese Option ermöglicht es Ihnen, die Zeit in Minuten anzugeben, die zwischen zwei Benutzer- Authentifizierungsaufforderungen liegt, wenn die transparente Benutzerauthentifizierung eingeschaltet ist.
  • Seite 326 (weitere Informationen finden Sie im Kapitel Webfilter-Profile > Filteraktionen). Übergeordnete Proxies und Website-Kategorisierung Wenn Sie über den übergeordneten Proxy Datenbankaktualisierungen und Kategorisierungs-Lookups durchführen möchten, müssen Sie zunächst die folgenden Hosts für diesen übergeordneten Proxy festlegen: list.smartfilter.com (mit lokaler Kategorisierungsdatenbank) cffs*.astaro.com (mit TCP-Kategorisierung) ASG V8 Administrationshandbuch...
  • Seite 327 9 Web Security 9.1 Webfilter Wenn Sie einen übergeordneten Proxy konfiguriert haben, der alle Hosts umfasst (*), müssen Sie diese Hosts nicht angeben. Beachten Sie, dass Sie auch unterschiedliche übergeordnete Proxies für bestimmte Hosts festlegen können und dass der letzte übergeordnete Proxy für alle Hosts zuständig sein soll (*). Dann wird nur jener Datenverkehr über den letzten Proxy geroutet, der nicht zu den anderen übergeordneten Proxies passt.

  • Seite 328: Https-Cas

    9.1 Webfilter 9 Web Security 9.1.7 HTTPS-CAs Auf der Registerkarte Web Security > Webfilter > HTTPS-CAs können Sie die Signierungs- und Verifizierungs-Zertifizierungsstellen (CAs, Certificate Authorities) für HTTPS-Verbindungen verwalten. S i gn i e r u n gs - C A In diesem Abschnitt können Sie Ihr Signierungs-CA-Zertifikat hochladen, das Signierungs-CA-Zertifikat neu erstellen oder das vorhandene Signierungs-CA- Zertifikat herunterladen.
  • Seite 329 9 Web Security 9.1 Webfilter 1. Klicken Sie auf die Schaltfläche Neu erstellen. Das Dialogfenster Create New Signing CA (Neue Signierungs-CA erstellen) wird geöffnet. 2. Ändern Sie die Informationen. Ändern Sie die angegebenen Informationen nach Ihren Bedürfnissen und klicken Sie auf Save. Das neue Signierungs-CA-Zertifikat wird erstellt.
  • Seite 330 9.1 Webfilter 9 Web Security Hinweis – Falls der Proxy nicht im Transparenzmodus arbeitet, muss der Proxy im Browser des Benutzers aktiviert werden. Sonst kann der Download-Link nicht erreicht werden. Wenn das Benutzerportal aktiviert ist, können Benutzer alternativ das Proxy-CA- Zertifikat auch aus dem Benutzerportal, Registerkarte HTTPS-Proxy, herunterladen.
  • Seite 331 9 Web Security 9.1 Webfilter 8. Öffnen Sie im Konsolenstamm links Zertifikate > Vertrauenswürdige Stammzertifizierungsstellen, klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie Alle Aufgaben > Importieren aus dem Kontextmenü. Der Import-Assistent wird geöffnet. 9. Klicken Sie auf Weiter. Der nächste Schritt wird angezeigt.

  • Seite 332: Webfilter-Profile

    Webfilters klicken, wird ein Anmeldedialog angezeigt. Nur Benutzer mit Admin- Rechten können Ausnahmen anlegen. 9.2 Webfilter-Profile Astaro Security Gateway verfügt über einen Webfilter, der dafür ausgelegt und optimiert ist zu kontrollieren, welche Internetinhalte für welchen Teil des Netzwerks zugänglich sind. Dadurch hindert er Benutzer daran, Inhalte zu sehen, die Sie vielleicht ablehnen.

  • Seite 333: Übersicht

    Benutzerauthentifizierungsmethoden. In diesem Kapitel wird beschrieben, wie Sie Filteraktionen hinzufügen und diese mit Webfilter-Profilen von Astaro Security Gateway verwenden. Es ist hierbei sinnvoll, die Registerkarten der Webfilter-Profile von hinten nach vorne zu konfigurieren. Das bedeutet, dass Sie damit beginnen sollten, Filteraktionen zu definieren, welche dann in den sogenannten Filterzuweisungen bestimmten Benutzern und Benutzergruppen zugeordnet werden.

  • Seite 334: Proxy-Profile

    9.2 Webfilter-Profile 9 Web Security Registerkarte Web Security > Webfilter > Allgemein konfiguriert werden, entsprechen den Quellnetzwerken eines Webfilter-Profils. Die Einstellungen im Feld Benutzer/Gruppen (Registerkarte Web Security > Webfilter > Allgemein, wenn der Betriebsmodus Einfache Benutzerauthentifizierung ausgewählt ist) werden zum Standardprofil. Dahingegen entsprechen die Einstellungen auf der Registerkarte Web Security >...

  • Seite 335: Bild 83 Webfilter-Profile: Liste Der Profile

    9 Web Security 9.2 Webfilter-Profile Bild 83 Webfilter-Profile: Liste der Profile Um ein Proxy-Profil anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche Neues Proxy-Profil. Das Dialogfenster Proxy-Profil erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für dieses Profil ein.
  • Seite 336 9.2 Webfilter-Profile 9 Web Security Filterzuweisungen: Wählen Sie eine Filterzuweisung aus. Eine Filterzuweisung ist eine Menge von Web-Security- Konfigurationseinstellungen, die verwendet werden können, um verschiedene Schutzstufen verschiedenen Benutzern/Gruppen zu beliebiger Zeit zuweisen zu können (weitere Informationen finden Sie unter Web Security >...
  • Seite 337 9 Web Security 9.2 Webfilter-Profile Betriebsmodus: Für jedes Proxy-Profil können Sie zwischen mehreren Methoden zur Benutzerauthentifizierung wählen. Verschiedene Proxy-Profile können unterschiedliche Authentifizierungsmethoden haben, aber pro Proxy-Profil kann nur eine Benutzerauthentifizierungsmethode verwendet werden. Sie können sogar einen anderen Betriebsmodus auswählen als den auf der Registerkarte Webfilter >...
  • Seite 338 9.2 Webfilter-Profile 9 Web Security Authentifizierungsmethoden finden Sie unter Definitionen & Benutzer > Authentifizierungsserver.In diesem Modus muss der Webfilter in der Browser-Konfiguration jedes Clients als HTTP-Proxy angegeben sein. eDirectory SSO: Wählen Sie diese Option, wenn Sie eDirectory auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver >...

  • Seite 339: Filterzuweisungen

    9 Web Security 9.2 Webfilter-Profile Transparent mit Authentifizierung: Benutzen Sie diesen Modus, damit Benutzer sich authentifizieren müssen, während der Proxy transparent arbeitet. Wenn Benutzer eine Website zum ersten Mal öffnen, wird ihnen eine Webseite ähnlich dem Benutzerportal präsentiert, auf der sie Benutzername und Kennwort eingeben müssen.

  • Seite 340: Bild 84 Webfilter-Profile: Liste Der Filterzuweisungen

    9.2 Webfilter-Profile 9 Web Security Bild 84 Webfilter-Profile: Liste der Filterzuweisungen Hinweis – Die verschiedenen Einstellungen, die Sie auf der Registerkarte Web Security > Webfilter > Antivirus/Schadsoftware konfiguriert haben (Antiviren- Scan, Dateierweiterungenfilter, MIME-Typ-Filter, Entfernung von Inhalt) und die Einstellungen auf der Registerkarte URL-Filterung (Kategorien, blockierte URLs) werden als Standard-Filteraktion gespeichert, welche aus der Auswahlliste Filteraktion ausgewählt werden kann.

  • Seite 341: Filteraktionen

    9 Web Security 9.2 Webfilter-Profile Filteraktion: Wählen Sie die Filteraktion, die Sie den oben gewählten Benutzern und Benutzergruppen zuweisen wollen. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3. Klicken Sie auf Save. Die neue Filterzuweisung wird in der Liste Filterzuweisungen angezeigt. Um eine Filterzuweisung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
  • Seite 342 9.2 Webfilter-Profile 9 Web Security 1. Klicken Sie auf die Schaltfläche Neue Filteraktion. Das Dialogfenster Neue Filteraktion erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese Aktion ein. Modus: Legen Sie fest, ob Ihre Auswahl an Websites blockiert oder zugelassen werden soll.
  • Seite 343 Andererseits werden dynamische Inhalte aus dem eingehenden HTTP/S-Verkehr entfernt, wie etwa ActiveX, Flash oder Java- Applets. Antiviren-Scan verwenden: Wenn Sie diese Option wählen, wird eingehender Datenverkehr nach schädlichem Inhalt gescannt.Astaro Security Gateway bietet mehrere Antiviren-Mechanismen für höchste Sicherheit. ASG V8 Administrationshandbuch...
  • Seite 344 9.2 Webfilter-Profile 9 Web Security Max. Scangröße: Legen Sie die Maximalgröße von Dateien fest, die von den Antiviren-Mechanismen gescannt werden sollen. Dateien, die größer sind, werden nicht gescannt. Die beiden folgenden Optionen sind nützlich, wenn es Personen oder Mitglieder z. B. des Betriebsrates gibt, deren Aktivitäten keinesfalls protokolliert werden dürfen: Besuchte Seiten protokollieren: Deaktivieren Sie diese Option, um besuchte Seiten von der Protokollierung und Berichterstellung...

  • Seite 345: Übergeordnete Proxies

    9 Web Security 9.2 Webfilter-Profile 9.2.5 Übergeordnete Proxies Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist. Auf der Registerkarte Web Security > Webfilter-Profile > Übergeordnete Proxies können Sie die Verwendung von übergeordneten Proxies (Parent Proxies) konfigurieren, global sowie profilbasiert.

  • Seite 346: Application Control

    9.3 Application Control 9 Web Security Port: Der Standardport für die Verbindung zum übergeordneten Proxy ist 8080. Wenn Ihr übergeordneter Proxy einen anderen Port erfordert, können Sie diesen hier ändern. Proxy erfordert Authentifizierung: Falls der übergeordnete Proxy Authentifizierung erfordert, geben Sie den Benutzernamen und das Kennwort hier ein.

  • Seite 347: Netzwerksichtbarkeit

    9 Web Security 9.3 Application Control zweiten Schritt können Sie bestimmte Anwendungen blockieren und andere zulassen. Dies erreichen Sie mit Hilfe von Regeln, die auf der Seite Application- Control-Regeln erstellt werden können. Zudem können Sie festlegen, dass Datenverkehr bestimmter Anwendungen bevorzugt behandelt wird. Die Konfiguration erfolgt über Astaros Dienstqualität-Funktion (QoS).
  • Seite 348 9.3 Application Control 9 Web Security 1. Klicken Sie auf der Registerkarte Application-Control-Regeln auf Neue Regel. Das Dialogfenster Neue Regel erstellen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name (optional): Sie können einen Namen für die Regel eingeben. Wenn Sie das Feld leer lassen, generiert das System einen Namen für die Regel.
  • Seite 349 Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten Risikowert wieder. Hinweis – Einige Anwendungen können nicht blockiert werden. Dies ist erforderlich für einen reibungslosen Betrieb von Astaro Security Gateway. Bei solchen Anwendungen wird im Dialogfenster Anwendung auswählen in der Anwendungstabelle kein Auswahlkästchen angezeigt. Dies trifft u. a.
  • Seite 350 9.3 Application Control 9 Web Security Im oberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann: Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst alle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt;...

  • Seite 351: Erweitert

    AppAccuracy-Programm von Astaro teilnehmen. Das System erfasst Daten in Form anonymer Anwendungsprofile und sendet diese an das Forschungsteam von Astaro. Dort werden die Profile genutzt, um nicht klassifizierte Anwendungen zu identifizieren und die Netzwerksichtbarkeits- und Application-Control-Bibliothek zu verbessern und zu erweitern.

  • Seite 352: Allgemein

    9.4 FTP 9 Web Security 9.4.1 Allgemein Auf der Registerkarte Web Security > FTP > Allgemein können Sie die Grundeinstellungen für den FTP-Proxy vornehmen. Bild 86 FTP-Proxy: Aktivierung des FTP-Proxy Um den FTP-Proxy zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie den FTP-Proxy auf der Registerkarte Allgemein. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.

  • Seite 353: Antivirus

    9 Web Security 9.4 FTP Nicht transparent: Für diesen Modus müssen Sie die FTP-Clients konfigurieren. Benutzen Sie die IP-Adresse des Gateways und Port 2121. Beide: Dieser Modus ermöglicht Ihnen, für einige Clients den transparenten Modus zu verwenden und für andere den nicht transparenten Modus.

  • Seite 354: Bild 87 Ftp-Proxy: Konfiguration Der Antiviren-Einstellungen

    9 Web Security Bild 87 FTP-Proxy: Konfiguration der Antiviren-Einstellungen Antiviren-Scan verwenden: Wenn Sie diese Option wählen, wird der gesamte FTP-Datenverkehr auf schädlichen Inhalt gescannt.Astaro Security Gateway bietet mehrere Antiviren-Mechanismen für höchste Sicherheit. Einfachscan: Standardeinstellung; bietet maximale Leistung. Zweifachscan: Bietet maximale Erkennungsrate, da der gesamte FTP- Verkehr von zwei verschiedenen Virenscannern gescannt wird.

  • Seite 355: Ausnahmen

    9 Web Security 9.4 FTP oder solche Erweiterungen aus der Liste löschen, die nicht blockiert werden sollen. Um eine Dateierweiterung hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte Erweiterungen und geben Sie die Dateierweiterung ein, die blockiert werden soll, zum Beispiel exe (ohne den Punkt als Trennzeichen). Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

  • Seite 356: Erweitert

    9.4 FTP 9 Web Security kann, um Dateiübertragungen basierend auf Dateierweiterungen zu blockieren. Zugelassene Server: Wählen Sie diese Option, um Prüfungen für zugelassene Server zu deaktivieren, die auf der Registerkarte Erweitert angegeben werden können. Für diese Clienthosts/-netzwerke: Wenn Sie diese Option wählen, wird das Feld Clienthosts/-netzwerke geöffnet.

  • Seite 357: Bild 89 Ftp-Proxy: Erweiterte Einstellungen

    9 Web Security 9.4 FTP Bild 89 FTP-Proxy: Erweiterte Einstellungen F TP - P r ox y - Au s n a h m e n Hier aufgeführte Hosts und Netzwerke sind von der transparenten Überwachung des FTP-Verkehrs ausgenommen. Um jedoch FTP-Verkehr für diese Hosts und Netzwerke zuzulassen, wählen Sie die Option FTP-Verkehr für aufgeführte Hosts/Netze zulassen.

  • Seite 359: Mail Security

    Im Menü Mail Security > SMTP können Sie den SMTP-Proxy konfigurieren. SMTP ist die Abkürzung für Simple Mail Transfer Protocol, ein Protokoll, das zum Ausliefern von E-Mails an einen Mailserver verwendet wird.Astaro Security Gateway besitzt ein Gateway auf Anwendungsebene für SMTP, das dazu genutzt werden kann, Ihren internen Mailserver vor Angriffen aus dem Internet zu schützen.

  • Seite 360: Allgemein

    10.1 SMTP 10 Mail Security 10.1.1 Allgemein Auf der Registerkarte Mail Security > SMTP > Allgemein können Sie festlegen, ob Sie den Einfachen Modus für die Konfiguration von SMTP verwenden wollen oder den Profilmodus. Bild 90 SMTP-Proxy: Aktivierung des SMTP-Proxy 1.

  • Seite 361: Routing

    10 Mail Security 10.1 SMTP Menü SMTP-Profile anlegen. Einstellungen, die im Menü SMTP vorgenommen wurden, gelten trotzdem noch für die ihnen zugeteilten Domänen und dienen außerdem als Standardeinstellungen für Profile. Im Profilmodus finden Sie zusätzliche Hinweise zu einigen Einstellungen mit Hinblick auf Empfehlungen für den Profilmodus und das Verhalten der ASG.
  • Seite 362 Wenn die Zustellung an den ersten Host fehlschlägt, werden die Mails zum nächsten Host geroutet. Die (statische) Reihenfolge der Hosts kann in der aktuellen Version von Astaro Security Gateway jedoch nicht festgelegt werden und ist etwas zufällig. Um die Zustellung zufällig auf eine Gruppe von Hosts zu verteilen, um dadurch zusätzlich einen...

  • Seite 363: Antivirus

    10 Mail Security 10.1 SMTP wählen, wird der Mail-Transfer-Agent von Astaro Security Gateway eine DNS-Anfrage starten, um den MX-Eintrag vom Domänennamen des Empfängers zu erfragen. Das ist der Teil der E-Mail-Adresse, die nach dem „@“-Zeichen steht. Stellen Sie sicher, dass das Gateway nicht der primäre MX-Server für die oben angegebene Domäne ist, da...

  • Seite 364: Bild 92 Smtp-Proxy: Konfiguration Der Antiviren-Einstellungen

    B. Viren, Trojanische Pferde oder verdächtige Dateitypen. Nachrichten mit schädlichem Inhalt werden blockiert oder in der E-Mail- Quarantäne gespeichert. Benutzer können ihre unter Quarantäne stehenden E- Mails ansehen und freigeben, entweder über das Astaro Benutzerportal oder den täglichen Quarantänebericht.
  • Seite 365 Benutzerportal oder den täglichen Quarantänebericht eingesehen werden. Beachten Sie, dass Nachrichten mit schädlichem Inhalt nur vom Administrator aus der Quarantäne freigegeben werden können. Astaro Security Gateway bietet mehrere Antiviren-Mechanismen für höchste Sicherheit. Einfachscan: Standardeinstellung; bietet maximale Leistung. Zweifachscan: Bietet maximale Erkennungsrate, indem alle E-Mails von zwei verschiedenen Virenscannern gescannt werden.

  • Seite 366: Bild 93 Smtp-Proxy: Dateierweiterungenfilter

    10.1 SMTP 10 Mail Security Bild 93 SMTP-Proxy: Dateierweiterungenfilter MI ME-Ty p- F i l te r Der MIME-Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie können festlegen, wie mit den verschiedenen MIME-Typen umgegangen werden soll. Audioinhalte in Quarantäne: Wenn Sie diese Option wählen, werden Audioinhalte wie mp3- oder wav-Dateien unter Quarantäne gestellt.
  • Seite 367 10 Mail Security 10.1 SMTP auf das Plussymbol im Feld Inhaltstypen auf Whitelist und geben Sie den MIME- Typ ein. MIME-Typ MIME-Typ-Klasse audio/* Audiodateien video/* Videodateien application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe Anwendungen vms/exe application/x-winexe application/msdos-windows application/x-msdos-program Tabelle 2: MIME-Typen, die dem MIME-Typ-Filter bekannt sind Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

  • Seite 368: Antispam

    Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt. Bild 94 SMTP-Proxy: Fußzeile über Antivirenprüfung 10.1.4 Antispam Astaro Security Gateway kann so konfiguriert werden, dass es unerwünschte Spam-E-Mails entdeckt und Spam-Übermittlungen von bekannten oder ASG V8 Administrationshandbuch...

  • Seite 369: Bild 95 Smtp-Proxy: Konfiguration Der Antispam-Einstellungen

    10 Mail Security 10.1 SMTP verdächtigten Spam-Versendern identifiziert. Die Konfigurationsoptionen auf der Registerkarte Antispam ermöglichen die Konfiguration von SMTP- Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Netzwerk vor dem Empfang von unerwünschten kommerziellen E-Mails zu schützen. Hinweis - Ausgehende E-Mails werden gescannt, wenn das Auswahlfeld Relay- Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.
  • Seite 370 Standardmäßig werden die folgenden RBLs abgefragt: Commtouch IP Reputation (ctipd.org) cbl.abuseat.org Hinweis – Die RBLs, die von Astaro Security Gateway genutzt werden, können sich ohne Ankündigung ändern. Astaro übernimmt keine Gewähr für den Inhalt dieser Datenbanken. Sie können weitere RBL-Sites hinzufügen, um die Antispam-Fähigkeiten von Astaro Security Gateway zu verbessern.
  • Seite 371 10 Mail Security 10.1 SMTP Umschlag) und eine interne Datenbank mit heuristischen Tests und Eigenschaften. Die Spamfilter-Option bewertet Nachrichten basierend auf ihrem Inhalt und SMTP-Envelope-Informationen. Höhere Werte deuten auf eine höhere Spam-Wahrscheinlichkeit hin. Mit den folgenden beiden Optionen können Sie festlegen, was mit Nachrichten geschehen soll, denen ein gewisser Spam-Wert zugewiesen wurde.

  • Seite 372: Bild 96 Smtp-Proxy: Erweiterung Der Absender-Blacklist

    Bild 97 SMTP-Proxy: Hinzufügen von Ausdrücken zum Ausdruckfilter Er w e i te r te An ti s pa m - F u n k ti on e n Dieser Abschnitt enthält weitere Optionen, die die Antispam-Fähigkeiten von Astaro Security Gateway verbessern. ASG V8 Administrationshandbuch...
  • Seite 373 10 Mail Security 10.1 SMTP Ungültige HELO/fehlende RDNS ablehnen: Wählen Sie diese Option, wenn Sie Hosts ablehnen wollen, die ungültige HELO-Einträge senden oder bei denen RDNS-Einträge fehlen. Wenn Sie Hosts von dieser Prüfung ausnehmen wollen, benutzen Sie die entsprechende Option auf der Registerkarte Ausnahmen. Strikte RDNS-Prüfung durchführen: Wählen Sie diese Option, wenn Sie zusätzlich E-Mails von Hosts mit ungültigen RDNS-Einträgen ablehnen wollen.
  • Seite 374 10.1 SMTP 10 Mail Security BATV verwenden: BATV (Bounce Address Tag Validation) ist ein Entwurf des Standardisierungsgremiums Internet Engineering Task Force (IETF), bei dem der Versuch unternommen wird, die legitime Benutzung von E-Mail-Adressen von unautorisierter Benutzung zu unterscheiden. BATV bietet eine Methode, den Envelope-Sender von ausgehenden Mails zu signieren, indem ein einfacher geteilter Schlüssel hinzugefügt wird, der einen Hash der Adresse und zeitvariante Informationen kodiert, sowie einige zufällige Daten.

  • Seite 375: Bild 98 Smtp-Proxy: Erweiterte Antispam-Funktionen

    Benutzerprogramme (User Agents) ein Problem damit haben, wenn Empfänger während der SMTP-Übertragung abgelehnt werden. Gewöhnlich (der Backend-Mailserver lehnt unbekannte Empfänger während der SMTP- Übertragung ab) wird Astaro Security Gateway E-Mails nur in den folgenden Fällen ablehnen (bounce): Wenn eine vertrauenswürdige Quelle oder ein Relay-Host eine Nachricht zu einem nicht verfügbaren Empfänger sendet.

  • Seite 376: Ausnahmen

    Netzwerke, Absender und Empfänger definieren, die dann von Antivirus-, Antispam- und anderen Sicherheitsprüfungen ausgenommen werden. Hinweis – Da E-Mails mehrere Empfänger haben können und Astaro Security Gateway den Scan für das SMTP-Protokoll inline ausführt, wird die Überprüfung einer E-Mail gänzlich ausgesetzt, sobald einer der Empfänger der E-Mail im Feld Empfänger aufgeführt ist.
  • Seite 377 10 Mail Security 10.1 SMTP Ausnahmeregel von den Sicherheitsprüfungen ausgenommen werden sollen. Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokale Nachrichten standardmäßig nicht gescannt werden. Wenn Sie diese Option wählen, wird das Feld Host/Netzwerke geöffnet. Hier können Sie einen Host oder ein Netzwerk eingeben, indem Sie auf das Plussymbol oder das Ordnersymbol klicken.

  • Seite 378: Relaying

    10.1 SMTP 10 Mail Security 10.1.6 Relaying Der SMTP-Proxy kann als Mail-Relay konfiguriert werden. Ein Mail-Relay ist ein SMTP-Server, der so konfiguriert ist, dass er bestimmten Benutzern, Benutzergruppen oder Hosts erlaubt, E-Mails durch ihn an Domänen hindurchzuleiten, die lokal nicht erreichbar sind. U ps tr e a m - H os t-L i s te Ein Upstream-Host ist ein Host, der E-Mails an Sie weiterleitet, z.
  • Seite 379 10 Mail Security 10.1 SMTP Um einen Upstream-Host hinzuzufügen, klicken Sie entweder auf das Plussymbol oder auf das Ordnersymbol, um Hosts direkt aus der Netzwerke-Objektleiste zu ziehen. Wenn Sie ausschließlich Upstream-Hosts zulassen möchten, wählen Sie die Option Nur Upstream/Relay-Hosts zulassen. Der SMTP-Zugriff wird dann auf die definierten Upstream-Hosts begrenzt.

  • Seite 380: Erweitert

    10.1 SMTP 10 Mail Security H os t-/Ne tzw e r k - B l a c k l i s t Hier können Sie Hosts und Netzwerke bestimmen, die vom SMTP-Proxy blockiert werden sollen. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern. Bild 101 SMTP-Proxy: Aktivierung der Blacklist für Hosts/Netzwerke I n h a l ts s c a n f ü...
  • Seite 381 10 Mail Security 10.1 SMTP Ü be r ge or dn e te r P r ox y Ein übergeordneter Proxy (auch Parent oder Upstream Proxy) wird in Ländern benötigt, in denen der Zugang zum Internet nur über einen staatlich kontrollierten Proxy erlaubt ist.
  • Seite 382 Sie die Fußzeile der Antivirenprüfung. Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte E-Mail-Verschlüsselungsfunktion von Astaro Security Gateway einsetzen. E-Mail-Verschlüsselung, die auf dem Gateway durchgeführt ASG V8 Administrationshandbuch...
  • Seite 383 10 Mail Security 10.1 SMTP wird, bedeutet, dass die Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt. Er w e i te r te Ei n s te l l u n ge n Hier können Sie unter anderem den SMTP-Hostnamen und die Postmaster-Adresse einstellen.

  • Seite 384: Smtp-Profile

    Geben Sie einen Benutzernamen und ein Kennwort in die entsprechenden Textfelder ein. 10.2 SMTP-Profile Der SMTP-Proxy von Astaro Security Gateway ermöglicht es Ihnen, alternative SMTP-Profile anzulegen, die dann verschiedenen Domänen zugeordnet werden können. Auf diese Weise können Sie Domänen bestimmen, die ein anderes Profil...

  • Seite 385: Bild 103 Smtp-Profile: Konfiguration Eines Smtp-Profils

    10 Mail Security 10.2 SMTP-Profile verwenden sollen als das Standardprofil, das unter Mail Security > SMTP konfiguriert ist. Die Reihenfolge der Funktionen, die in Form von Registerkarten dargestellt sind, spiegelt die Abfolge einzelner Schritte während der SMTP-Zeit wider. Bild 103 SMTP-Profile: Konfiguration eines SMTP-Profils Um ein SMTP-Profil anzulegen, gehen Sie folgendermaßen vor: 1.
  • Seite 386 Hinweis – Verschlüsselte E-Mails, deren Absenderadresse einen Domänennamen enthält, der hier konfiguriert ist, können nicht entschlüsselt werden, wenn Sie die E-Mail-Verschlüsselungs- /Entschlüsselungsfunktion von Astaro Security Gateway verwenden. Aus diesem Grund sollten Sie keine Profile für externe E-Mail-Domänen anlegen. Alle Einstellungen, die Sie hier vornehmen können, können unter Mail Security >...
  • Seite 387 Dadurch erhöhen Sie die Wahrscheinlichkeit, dass Ihre Quarantäne mit unerwünschten Nachrichten „überflutet“ wird. Weitere Informationen finden Sie unter Mail Security > SMTP > Routing. Astaro RBLs und Einwahlblockierung: Hier können Sie IP-Adressen blockieren, die mit Spamversand in Verbindung gebracht werden. Empfohlene RBLs verwenden Einwahl-/Privathosts blockieren Weitere Informationen finden Sie unter Mail Security >...
  • Seite 388 10.2 SMTP-Profile 10 Mail Security Extra-RBLs: Sie können weitere RBL-Sites hinzufügen, um die Antispam-Fähigkeiten von Astaro Security Gateway zu verbessern. Weitere Informationen finden Sie unter Mail Security > SMTP > Antispam. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügen...
  • Seite 389 10 Mail Security 10.2 SMTP-Profile für Spam als auch für bestätigten Spam können Sie zwischen den folgenden Optionen wählen: Warnen Quarantäne Verwerfen Weitere Informationen finden Sie unter Mail Security > SMTP > Antispam. Absender-Blacklist: Der Envelope-Absender eingehender SMTP- Sitzungen wird mit den Adressen auf dieser Blacklist verglichen. Wenn der Envelope-Absender auf der Blacklist gefunden wird, wird die Nachricht verworfen.
  • Seite 390 10.2 SMTP-Profile 10 Mail Security Blockierte Erweiterungen: Mit dem Dateierweiterungenfilter können Sie E-Mails unter Quarantäne stellen (mit Warnung), die bestimmte Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z. B. ausführbare Dateien). Weitere Informationen finden Sie unter Mail Security > SMTP > Antivirus. Beachten Sie, dass Sie als dritte Option die globalen Einstellungen zu Ihren individuellen Einstellungen hier hinzufügen können.

  • Seite 391: Pop3

    10 Mail Security 10.3 POP3 10.3 POP3 Im Menü Mail Security > POP3 können Sie den POP3-Proxy für eingehende E-Mails konfigurieren. Das Post Office Protocol 3 ist ein Internet-Standardprotokoll auf Anwendungsebene, das es ermöglicht, E-Mails von einem entfernten Server abzuholen. Der POP3-Proxy arbeitet im Transparenzmodus, das heißt alle POP3- Anfragen, die über Port 110 aus dem internen Netzwerk kommen, werden abgefangen und, unsichtbar für den Client, durch den Proxy geleitet.

  • Seite 392: Bild 104 Pop3-Proxy: Aktivierung Des Pop3-Proxy

    10.3 POP3 10 Mail Security Bild 104 POP3-Proxy: Aktivierung des POP3-Proxy Um den POP3-Proxy zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie den POP3-Proxy. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt POP3-Einstellungen kann nun bearbeitet werden.

  • Seite 393: Antivirus

    Mails ansehen und freigeben, entweder über das Astaro Benutzerportal oder den täglichen Quarantänebericht. Nachrichten, die schädlichen Inhalt enthalten, können jedoch nur vom Administrator über den Mail-Manager aus der Quarantäne freigegeben werden. Astaro Security Gateway bietet mehrere Antiviren-Mechanismen für höchste Sicherheit. ASG V8 Administrationshandbuch...

  • Seite 394: Antispam

    Netzwerk vor Schadsoftware aus verschlüsselten zip-Dateien zu schützen, sollten Sie in Betracht ziehen, zip-Dateien gänzlich zu blockieren. 10.3.3 Antispam Astaro Security Gateway kann so konfiguriert werden, dass es unerwünschte Spam-E-Mails entdeckt und Spam-Übermittlungen von bekannten oder verdächtigten Spam-Versendern identifiziert. Die Konfigurationsoptionen auf der Registerkarte Antispam ermöglichen die Konfiguration von POP3-...

  • Seite 395: Bild 106 Pop3-Proxy: Konfiguration Der Antispam-Einstellungen

    10 Mail Security 10.3 POP3 S pa m f i l te r Astaro Security Gateway includes a heuristic check of incoming e-mails for characteristics suggestive of spam. Es benutzt dafür SMTP-Envelope- Informationen (envelope = Umschlag) und eine interne Datenbank mit heuristischen Tests und Eigenschaften.
  • Seite 396 10.3 POP3 10 Mail Security Spam-Aktion: Hier können Sie festlegen, was mit Nachrichten geschieht, die als möglicher Spam eingestuft wurden. Beachten Sie, dass es Fehlfunde geben kann, z. B. Newsletter, dadurch können durch Verwerfen E-Mails verloren gehen. Aktion bei bestätigtem Spam: Hier können Sie festlegen, was mit Nachrichten geschieht, die sicher Spam sind.

  • Seite 397: Ausnahmen

    10 Mail Security 10.3 POP3 wird, wird die Nachricht unter Quarantäne gestellt und mit Other in der Betreffzeile markiert. Um ein neues Adressmuster zur Blacklist hinzuzufügen, klicken Sie auf das Plussymbol im Feld Adressmuster auf Blacklist, geben Sie eine (oder einen Teil einer) Adresse ein und klicken Sie auf Übernehmen.

  • Seite 398: Erweitert

    10.3 POP3 10 Mail Security Hinweis – Für Localhost muss keine Ausnahmeregel angelegt werden, da lokale Nachrichten standardmäßig nicht gescannt werden. Wenn Sie diese Option wählen, wird das Feld Host/Netzwerke geöffnet. Hier können Sie einen Host oder ein Netzwerk eingeben, indem Sie auf das Plussymbol oder das Ordnersymbol klicken.

  • Seite 399: Bild 108 Pop3-Proxy: Erweiterte Einstellungen

    10 Mail Security 10.3 POP3 Bild 108 POP3-Proxy: Erweiterte Einstellungen Tr a n s pa r e n zm odu s -Au s n a h m e n Diese Option ist nur von Bedeutung, wenn der POP3-Proxy im Transparenzmodus arbeitet.
  • Seite 400 10.3 POP3 10 Mail Security POP3-Server: Geben Sie die POP3-Server an, die in Ihrem Netzwerk bzw. von Ihren Benutzern verwendet werden. Wenn kein POP3-Server angegeben wird und E-Mails vom Proxy abgefangen werden, ersetzt der Proxy die E-Mails sofort mit einer Benachrichtigung an den Empfänger, die ihn davon in Kenntnis setzt, dass die E-Mails unter Quarantäne gestellt wurden.
  • Seite 401 Das nächste Mal, wenn der Proxy Nachrichten für dieses POP3- Konto vorab holt, wird er die Nachrichten vom Server löschen. Das bedeutet, so lange kein Client Nachrichten von Astaro Security Gateway abholt und kein Löschbefehl konfiguriert ist, werden keine Nachrichten auf dem POP3-Server...
  • Seite 402 Hinweis – Der E-Mail-Client muss sich mindestens einmal erfolgreich mit dem POP3-Server verbunden haben, bevor das Vorabholen funktioniert. Das liegt daran, dass Astaro Security Gateway den Namen des POP3-Servers, den Benutzernamen und das Benutzerkennwort in einer Datenbank speichern muss, um POP3-Nachrichten anstelle des Benutzers abholen zu können. Das kann jedoch nicht erreicht werden, wenn das POP3-Konto im Astaro Benutzerportal eingerichtet wird (weitere Informationen finden Sie unter Benutzerportal).

  • Seite 403: Verschlüsselung

    10 Mail Security 10.4 Verschlüsselung B e v or zu gte r Ze i c h e n s a tz In diesem Abschnitt können Sie einen anderen Zeichensatz als UTF-8 wählen, der für jene Mail-Header verwendet werden soll, die irgendwie von der ASG verändert wurden (z.
  • Seite 404 Das Bedürfnis nach E-Mail-Verschlüsselung hat eine Reihe von Standards für die Public-Key-Kryptografie hervorgebracht, vor allem S/MIME und OpenPGP, die beide von Astaro Security Gateway unterstützt werden. S/MIME (Secure Multipurpose Internet Mail Extensions) ist ein Standard für asymmetrische Verschlüsselung und das Signieren von MIME-strukturierten E-Mails. Dieses Protokoll wird üblicherweise innerhalb einer Public-Key-Infrastruktur (PKI)
  • Seite 405 10 Mail Security 10.4 Verschlüsselung OpenPGP (Pretty Good Privacy), der andere Standard, nutzt eine asymmetrische Verschlüsselung, die üblicherweise in einem sogenannten Web of Trust (WOT, dt. Netz des Vertrauens) eingesetzt wird. Das bedeutet, dass öffentliche Schlüssel digital von anderen Benutzern signiert werden, welche durch diese Handlung die Zusammengehörigkeit von Schlüssel und Benutzer bestätigen.

  • Seite 406: Allgemein

    Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte E-Mail-Verschlüsselungsfunktion von Astaro Security Gateway einsetzen. E-Mail-Verschlüsselung, die auf dem Gateway durchgeführt wird, bedeutet, dass die Fußzeile zur Nachricht hinzugefügt wird, bevor die digitale Signatur erzeugt wird, wodurch die Signatur intakt bleibt.

  • Seite 407: Bild 109 E-Mail-Verschlüsselung: Mit Zwei Astaro Security Gateways

    Explorer 6 befinden sich diese Einstellungen im Menü Extras > Internetoptionen > Sicherheit. Aktivieren Sie beim Internet Explorer 7 zusätzlich im Fenster Sicherheitseinstellungen die Funktion Automatische Eingabeaufforderung für Dateidownloads. Bild 109 E-Mail-Verschlüsselung: Mit zwei Astaro Security Gateways ASG V8 Administrationshandbuch...

  • Seite 408: Bild 110 E-Mail-Verschlüsselung: Aktivierung

    10.4 Verschlüsselung 10 Mail Security Bild 110 E-Mail-Verschlüsselung: Aktivierung Um E-Mail-Verschlüsselung zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie die E-Mail-Verschlüsselung auf der Registerkarte Allgemein. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Zertifizierungsstelle (CA) für E-Mail-Verschlüsselung kann nun bearbeitet werden.

  • Seite 409: Optionen

    Einstellungen im Menü Verschlüsselung in den Auslieferungszustand zurückzusetzen. 10.4.2 Optionen Auf der Registerkarte Verschlüsselung > Optionen können Sie die Standardrichtlinie für die Public-Key-Verschlüsselung von Astaro Security Gateway festlegen. Bild 111 E-Mail-Verschlüsselung: Optionen Standardrichtlinie: Legen Sie die Standardrichtlinie bezüglich der Verschlüsselung fest.

  • Seite 410: Interne Benutzer

    CA, die auf dem Gerät vorhanden ist und deshalb unter Mail Security > Verschlüsselung > S/MIME-CAs angezeigt wird. Zudem muss die Zeit- und Datumsanzeige von Astaro Security Gateway innerhalb der Gültigkeitsdauer des Zertifikats liegen, da die automatische Extraktion der Zertifikate sonst nicht funktioniert.

  • Seite 411: Bild 112 E-Mail-Verschlüsselung: Liste Der Internen Benutzer

    10 Mail Security 10.4 Verschlüsselung individuelles S/MIME-Schlüssel/Zertifikat-Paar erstellen als auch ein OpenPGP- Schlüsselpaar. Bild 112 E-Mail-Verschlüsselung: Liste der internen Benutzer Um einen internen E-Mail-Benutzer hinzufügen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Interne Benutzer auf Neuer E- Mail-Verschlüsselungsbenutzer.
  • Seite 412 10.4 Verschlüsselung 10 Mail Security Verifizierung: Für die Verifizierung stehen die folgenden Optionen zur Auswahl: Standardrichtlinie verwenden: Die Richtlinie, wie sie auf der Registerkarte Optionen definiert ist, wird verwendet. Ein: E-Mails werden mit dem öffentlichen Schlüssel des Absenders verifiziert. Aus: E-Mails werden nicht verifiziert. Entschlüsselung: Für die Entschlüsselung stehen die folgenden Optionen zur Auswahl: Standardrichtlinie verwenden: Die Richtlinie, wie sie auf der...

  • Seite 413: S/Mime-Cas

    10 Mail Security 10.4 Verschlüsselung 3. Klicken Sie auf Save. Der neue Benutzer wird in der Liste Interne Benutzer angezeigt. Verwenden Sie die Statusampel, um die Benutzung von einem oder beiden Schlüssel abzuschalten ohne die Schlüssel löschen zu müssen. Hinweis – Aus Sicherheitsgründen kann nur das S/MIME-Zertifikat beziehungsweise der öffentliche Schlüssel aus dem OpenPGP-Schlüsselpaar heruntergeladen werden.

  • Seite 414: Bild 113 E-Mail-Verschlüsselung: Liste Der S/Mime-Cas

    10.4 Verschlüsselung 10 Mail Security Bild 113 E-Mail-Verschlüsselung: Liste der S/MIME-CAs Um eine externe S/MIME-Zertifizierungsstelle zu importieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte S/MIME-CAs auf Neue externe Das Dialogfenster Externe CA hinzufügen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Format: Wählen Sie das Format der CA.

  • Seite 415: S/Mime-Zertifikate

    Trustcenter S-TRUST Thawte VeriSign GeoTrust Zusätzlich können Sie die CA eines anderen Astaro Security Gateway installieren. Dadurch ermöglichen Sie eine transparente E-Mail-Verschlüsselung zwischen beiden Astaro Security Gateways. 10.4.5 S/MIME-Zertifikate Auf der Registerkarte Verschlüsselung > S/MIME-Zertifikate können Sie externe S/MIME-Zertifikate importieren. E-Mails an Empfänger, deren Zertifikate auf dieser Registerkarte aufgeführt sind, werden automatisch verschlüsselt.

  • Seite 416: Bild 114 E-Mail-Verschlüsselung: Liste Der S/Mime-Zertifikate

    10.4 Verschlüsselung 10 Mail Security Hinweis – Wenn Sie ein S/MIME-Zertifikat manuell hochladen, wird Nachrichten von E-Mail-Adressen, die mit diesem Zertifikat verknüpft sind, immer vertraut. Selbst wenn kein CA-Zertifikat verfügbar ist, mit dem die Identität der Person auf dem Zertifikat überprüft werden könnte. Das bedeutet also, dass manuell hochgeladene S/MIME-Zertifikate immer als vertrauenswürdig gelten.

  • Seite 417: Openpgp-Schlüssel

    OpenPGP ab). Wenn Sie einen Schlüssel importieren möchten, der mehrere E- Mail-Adressen besitzt, so müssen Sie vorher die unerwünschten Adressen mit OpenPGP oder einem anderen Programm entfernen, bevor Sie den Schlüssel in Astaro Security Gateway importieren. Bild 115 E-Mail-Verschlüsselung: Liste der öffentlichen OpenPGP-Schlüssel ASG V8 Administrationshandbuch...

  • Seite 418: Quarantänebericht

    Hinweis – Dem Schlüssel muss eine E-Mail-Adresse zugeordnet sein, ansonsten schlägt die Installation fehl. 10.5 Quarantänebericht Astaro Security Gateway besitzt eine E-Mail-Quarantäne, die alle Nachrichten enthält (SMTP und POP3), die aus verschiedenen Gründen blockiert und unter Quarantäne gestellt wurden. Das schließt Nachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten, die mit schädlicher Software infiziert sind,...

  • Seite 419: Bild 116 Quarantänebericht Von Astaro Security Gateway

    Um das Risiko zu minimieren, dass Nachrichten irrtümlicherweise zurückgehalten werden (sogenannte Fehlfunde oder engl. false positives), versendet Astaro Security Gateway täglich einen Quarantänebericht an jeden Benutzer, der die Benutzer über Nachrichten informiert, die sich in Quarantäne befinden. Benutzer mit mehreren E-Mail-Adressen erhalten einen individuellen Quarantänebericht für jede konfigurierte E-Mail-Adresse.

  • Seite 420: Allgemein

    Quarantänebericht > Ausnahmen. E-Mails, die an eine SMTP-E-Mail-Adresse geschickt wurden, für die kein Benutzer auf Astaro Security Gateway konfiguriert ist, können vom Administrator über den Quarantänebericht oder den Mail-Manager freigegeben (aber nicht auf die Whitelist gesetzt) werden. Da der Benutzer nicht konfiguriert ist, ist jedoch kein Zugriff über das Benutzerportal...

  • Seite 421: Bild 117 Quarantänebericht: Aktivierung Des Quarantäneberichts

    10 Mail Security 10.5 Quarantänebericht Bild 117 Quarantänebericht: Aktivierung des Quarantäneberichts Um die Einstellungen für den Quarantänebericht zu bearbeiten, aktivieren Sie den Quarantänebericht: Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird grün. Ze i tpu n k t f ü r de n B e r i c h tv e r s a n d Hier können Sie festlegen, wann der tägliche Quarantänebericht versendet werden soll.

  • Seite 422: Ausnahmen

    10.5 Quarantänebericht 10 Mail Security Hinweis – Es ist nicht möglich, HTML-Tags im Feld für den Nachrichtentext zu verwenden. Hinweis – Anpassungen sind nicht möglich, wenn Sie eine Home-Use-Lizenz verwenden. 10.5.2 Ausnahmen Auf der Registerkarte Quarantänebericht > Ausnahmen können Ausnahmelisten für interne E-Mail-Adressen definiert werden, um sie von den Quarantäneberichten auszunehmen.
  • Seite 423 10 Mail Security 10.5 Quarantänebericht Hinweis – Diese Ausnahmen gelten nur für den SMTP-Quarantänebericht. Wenn für einen Benutzer ein POP3-Konto angelegt ist, wird der POP3- Quarantänebericht auch versendet. I n te r n e Ve r te i l e r l i s te n de f i n i e r e n Wenn die E-Mail-Adresse einer Verteilerliste im Feld Adressmuster von Verteilerlisten konfiguriert ist (z.

  • Seite 424: Erweitert

    10.5 Quarantänebericht 10 Mail Security Letztlich, wenn die E-Mail-Adresse der Verteilerliste weder in einem Benutzerkonto als zusätzliche Adresse noch im Feld Adressmuster von Verteilerlisten eingetragen ist, dann wird eine an diese Verteilerliste gesendete Spam-E-Mail wie eine normale E-Mail behandelt, d. h. wenn einer der Empfänger der Verteilerliste die Spam-E-Mail aus der Quarantäne freigibt, wird diese gleichzeitig auch an alle anderen Empfänger der Verteilerlisten geschickt.
  • Seite 425 10 Mail Security 10.5 Quarantänebericht Er w e i te r te Opti on e n de s Qu a r a n tä n e be r i c h ts Hostname: Standardmäßig ist der Hostname des Gateways voreingestellt, wie er auf der Registerkarte Verwaltung >...

  • Seite 426: Mail-Manager

    10.6 Mail-Manager 10 Mail Security 10.6 Mail-Manager Der Mail-Manager ist ein administratives Werkzeug, mit dem alle E-Mails verwaltet und organisiert werden, die derzeit auf dem System gespeichert sind. Das schließt Nachrichten ein, die auf ihre Zustellung warten, ebenso wie Nachrichten in Quarantäne, die mit schädlicher Software infiziert sind, verdächtige Anhänge enthalten, als Spam identifiziert wurden oder einfach unerwünschte Ausdrücke enthalten.

  • Seite 427: Mail-Manager-Fenster

    10 Mail Security 10.6 Mail-Manager 10.6.1 Mail-Manager-Fenster Bild 120 Mail-Manager von Astaro Security Gateway Um das Fenster mit dem Mail-Manager zu öffnen, klicken Sie auf die Schaltfläche Mail-Manager in neuem Fenster öffnen auf der Registerkarte Mail Security > Mail- Manager > Allgemein. Der Mail-Manager ist in fünf verschiedene Registerkarten unterteilt: SMTP Quarantine: Die SMTP-Quarantäne zeigt alle Nachrichten an, die...

  • Seite 428: Smtp-/Pop3-Quarantäne

    10.6 Mail-Manager 10 Mail Security 10.6.1.1 SMTP-/POP3-Quarantäne Nachrichten in der SMTP- und POP3-Quarantäne können so angezeigt werden, dass der Grund für ihren Quarantäneaufenthalt deutlich wird: Schadsoftware Spam Ausdruck Dateierweiterung MIME-Typ (nur SMTP) Unscannbar Andere Verwenden Sie die Auswahlkästchen, um die Quarantäneursache auszuwählen. Doppelklicken Sie das Auswahlkästchen einer Ursache, um ausschließlich diese Ursache auszuwählen.

  • Seite 429: Smtp-Spool

    Spam-Scan-Programm gemeldet. Beachten Sie, dass nur der Administrator alle Nachrichten aus der Quarantäne freigeben kann. Benutzer, die ihre Nachrichten im Astaro Benutzerportal einsehen, können nur Nachrichten freigeben, für die ihnen das explizit gestattet ist. Die Autorisierungseinstellungen dafür finden Sie auf der Registerkarte Mail Security >...
  • Seite 430 10.6 Mail-Manager 10 Mail Security Profil/Domäne: Wählen Sie ein Profil oder eine Domäne aus, um nur dessen/deren Nachrichten zu sehen. Abs./Empf./Betr.-Teilausdruck: Hier können Sie einen Absender, Empfänger oder Betreff eingeben (oder einen Wortteil davon), nach dem in den Nachrichten im Spool gesucht werden soll. Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten Zeitraums eingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über das Kalendersymbol.

  • Seite 431: Smtp-Protokoll

    10 Mail Security 10.6 Mail-Manager 10.6.1.3 SMTP-Protokoll Das SMTP-Protokoll (SMTP Log) zeigt die Protokollmeldungen für alle über SMTP verarbeiteten Nachrichten. Ergebnisfilter: Wählen Sie aus, welche Arten von Nachrichten angezeigt werden, indem Sie die entsprechenden Auswahlkästchen markieren. Zugestellt: Erfolgreich zugestellte Nachrichten. Abgelehnt: Nachrichten, die von der ASG abgelehnt wurden.

  • Seite 432: Allgemein

    10.6 Mail-Manager 10 Mail Security Eingangsdatum: Um nur Nachrichten anzuzeigen, die während eines bestimmten Zeitraums eingegangen sind, geben Sie ein Datum ein oder wählen Sie ein Datum über das Kalendersymbol. Sortieren nach: Nachrichten können nach Ereignisdatum, Absenderadresse und Nachrichtengröße sortiert werden. und zeige: Sie können wählen, ob 20, 50, 100, 250, 500 oder 1000 Einträge pro Seite angezeigt werden sollen oder alle Nachrichten auf einmal.
  • Seite 433 10 Mail Security 10.6 Mail-Manager Daten sind unterteilt in Nachrichten, die über SMTP und solche, die über POP3 zugestellt wurden. Für beide Arten werden die folgenden Informationen angezeigt: Warten auf Auslieferung (Spooled) (nur SMTP): Hierbei handelt es sich um Mails, die sich in Spool befinden, z. B. weil sie gescannt wurden und bis jetzt noch nicht ausgeliefert werden konnten.

  • Seite 434: Konfiguration

    10.6 Mail-Manager 10 Mail Security besitzen. Spam in Quarantäne/abgelehnt: Nachrichten, die unter Quarantäne gestellt oder abgelehnt wurden, weil sie als Spam identifiziert wurden. Ablehnungen durch Blacklist: Nachrichten, die abgelehnt wurden, weil ihr Absender auf der Blacklist geführt wird. Ablehnungen nach Adressüberprüfung: Nachrichten, die abgelehnt wurden, weil ihre Absenderadresse nicht verifiziert werden konnte.

  • Seite 435: Bild 122 Mail-Manager: Konfiguration

    10 Mail Security 10.6 Mail-Manager Bild 122 Mail-Manager: Konfiguration Die Voreinstellungen sehen folgendermaßen aus: Das Datenbankprotokoll wird nach drei Tagen geleert. Die maximal erlaubte Anzahl an Tagen beträgt 30 Tage. Nachrichten in Quarantäne werden nach 14 Tagen gelöscht. Die maximal erlaubte Anzahl an Tagen beträgt 999 Tage.

  • Seite 437: Wireless Security

    11 Wireless Security Über das Menü Wireless Security können Sie kabellose Access Points für die Astaro Security Gateway, zugehörige kabellose Netzwerke und Clients, die kabellosen Zugang verwenden, konfigurieren und verwalten. Die Access Points werden automatisch auf Ihrer ASG konfiguriert, so dass sie nicht manuell konfiguriert werden müssen.

  • Seite 438: Allgemeine Einstellungen

    11.1 Allgemeine Einstellungen 11 Wireless Security 11.1 Allgemeine Einstellungen Auf den Seiten Wireless Security > Allgemeine Einstellungen können Sie Wireless Security aktivieren, Netzwerkschnittstellen für Wireless Security konfigurieren ebenso wie WPA/WPA2-Enterprise-Authentifizierung. 11.1.1 Allgemeine Einstellungen Auf der Registerkarte Wireless Security > Allgemeine Einstellungen > Allgemeine Einstellungen können Sie Wireless Security aktivieren oder deaktivieren.
  • Seite 439 11 Wireless Security 11.1 Allgemeine Einstellungen Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable. Die Statusampel wird gelb und der Abschnitt Zugangskontrolle kann nun bearbeitet werden. Wenn Sie Wireless Security das erste Mal aktivieren, wird der Abschnitt Ersteinrichtung angezeigt.

  • Seite 440: Erweitert

    11.1 Allgemeine Einstellungen 11 Wireless Security 11.1.2 Erweitert Auf der Registerkarte Wireless Security > Allgemeine Einstellungen > Erweitert können Sie Ihre Access Points so konfigurieren, dass sie WPA/WPA2-Enterprise- Authentifizierung verwenden, oder Sie können die Verwendung von VLAN aktivieren. Enterprise-Authentifizierung Dazu müssen Sie einige Informationen zu Ihrem RADIUS-Server angeben. Beachten Sie, dass die APs nicht selbst mit dem RADIUS-Server für die Authentifizierung kommunizieren, sondern nur die ASG.
  • Seite 441 11 Wireless Security 11.1 Allgemeine Einstellungen Um die Verwendung von VLAN für Ihre Access Points in Ihr Netzwerk einzuführen, führen Sie die folgenden Schritte durch: 1. Aktivieren Sie VLAN und geben Sie die VLAN-ID ein. 2. Verbinden Sie den AP mit der ASG über das Standard-LAN für mindestens eine Minute.

  • Seite 442: Kabellose Netzwerke

    11.2 Kabellose Netzwerke 11 Wireless Security Hinweis – Wenn Sie VLAN deaktivieren, werden alle kabellosen Netzwerke, die die Option In VLAN bridgen verwenden, auf In AP-LAN bridgen zurückgesetzt. 11.2 Kabellose Netzwerke Auf der Seite Wireless Security > Kabellose Netzwerke können Sie Ihre kabellosen Netzwerke definieren, z. B.
  • Seite 443 11 Wireless Security 11.2 Kabellose Netzwerke Verschlüsselungsmethode: Wählen Sie eine Verschlüsselungsmethode aus der Auswahlliste. Der Standard ist WPA2 Personal. Aus Sicherheitsgründen raten wir davon ab, WEP zu verwenden, es sei denn, Ihr kabelloses Netzwerk wird von Clients genutzt, die keine andere Methode unterstützen.
  • Seite 444 11.2 Kabellose Netzwerke 11 Wireless Security Hinweis – Wenn VLAN aktiviert ist, werden die WLAN-Clients in das VLAN-Netzwerk des Access Point gebridged. In VLAN bridgen: Wenn VLAN aktiviert ist, können Sie bestimmen, dass der Verkehr von diesem kabellosen Netzwerk in ein VLAN Ihrer Wahl gebridged wird.

  • Seite 445: Access Points

    APs löschen oder gruppieren und APs oder AP-Gruppen kabellose Netzwerke zuweisen. Arten von Access Points Momentan bietet Astaro drei verschiedene Access Points an: AP 10: Standards 802.11b/g/n, Frequenzband 2,4 GHz AP 30: Standards 802.11b/g/n, Frequenzband 2,4 GHz AP 50: Standards 802.11a/b/g/n, Frequenzbänder 2,4/5 GHz Dualband/Dualfunk Es gibt zwei verschiedene AP-50-Modelle, bei denen sich die verfügbaren...

  • Seite 446: Übersicht

    11.3.1 Übersicht Die Seite Wireless Security > Access Points > Übersicht gibt einen Überblick über die Access Points (AP), die dem System bekannt sind. Die Astaro Security Gateway unterscheidet zwischen aktiven, inaktiven und ausstehenden APs. Um sicherzustellen, dass sich nur originale APs mit Ihrem Netzwerk verbinden, müssen die APs zunächst autorisiert werden.
  • Seite 447 11 Wireless Security 11.3 Access Points Wenn ein AP physikalisch von Ihrem Netzwerk getrennt wird, können Sie ihn hier durch einen Klick auf die Schaltfläche Löschen entfernen. Solange der AP mit Ihrem Netzwerk verbunden bleibt, wird er nach dem Löschen automatisch im Status Ausstehend wieder erscheinen.

  • Seite 448: Gruppierung

    11.3 Access Points 11 Wireless Security 2,4-GHz-Kanal: Sie können die Standardeinstellung Auto beibehalten, welche automatisch einen Übermittlungskanal auswählt. Alternativ können Sie einen festgelegten Kanal auswählen. 5-GHz-Kanal: (Nur verfügbar mit AP 50.) Sie können die Standardeinstellung Auto beibehalten, welche automatisch einen Übermittlungskanal auswählt.

  • Seite 449: Bild 126 Wireless Security: Gruppierung Von Access Points Und Ssids

    11 Wireless Security 11.3 Access Points Bild 126 Wireless Security: Gruppierung von Access Points und SSIDs Die Seite zeigt eine Matrix von kabellosen Netzwerken, Access Points und Access- Point-Gruppen (falls vorhanden) und ihre Beziehungen zueinander. Hinter jedem AP bzw. jeder AP-Gruppe wird ein Bearbeitungs- bzw. Papierkorbsymbol angezeigt.

  • Seite 450: Wlan-Clients

    11.4 WLAN-Clients 11 Wireless Security Tipp – Sie können auch auf das Edit-Dialogfenster zugreifen, indem Sie auf den Namen eines AP oder einer Gruppe klicken. Sie können einer Gruppe weitere APs hinzufügen, indem Sie auf das Bearbeitungssymbol eines AP klicken und die entsprechende Gruppe aus der Auswahlliste Gruppe auswählen.
  • Seite 451 11 Wireless Security 11.4 WLAN-Clients Ein Neustart des Wireless-Security-Dienstes löscht alle Zeitstempel von Zuletzt gesehen. Hinweis – IP-Adressen, die Clients zugewiesen sind, können nur angezeigt werden, wenn die ASG als DHCP-Server für das entsprechende kabellose Netzwerk fungiert. Außerdem wird für statische DHCP-Zuweisungen momentan die IP-Adresse 0.0.0.0 angezeigt.

  • Seite 453: Web Application Security

    12 Web Application Security In diesem Kapitel wird beschrieben, wie Sie die Web Application Firewall von Astaro Security Gateway konfigurieren, die Ihre Webserver vor Angriffen und schädigendem Verhalten schützt. Dieses Kapitel enthält Informationen zu den folgenden Themen: Web Application Firewall Zertifikatverwaltung 12.1 Web Application Firewall...

  • Seite 454: Virtuelle Webserver

    12.1 Web Application Firewall 12 Web Application Security 1. Erstellen Sie mindestens einen echten Webserver und einen virtuellen Webserver. Weitere Informationen finden Sie in den Unterkapiteln Echte Webserver Virtuelle Webserver. 2. Aktivieren Sie die Web Application Firewall. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 455 12 Web Application Security 12.1 Web Application Firewall Domänen (nur bei HTTP): Geben Sie die Domänen, für die der Webserver verantwortlich ist, als FQDN an, z. B. shop.example.com. Zertifikat (nur bei HTTPS): Wählen Sie aus der Auswahlliste das Zertifikat des Webservers. Das Zertifikat muss vorher angelegt worden sein. Domäne: Dieses Feld enthält den Hostnamen, für den das Zertifikat erstellt wurde.
  • Seite 456 12.1 Web Application Firewall 12 Web Application Security Option jedoch nicht zu aktivieren, wenn ihrefirma.com auf Ihrem Webserver konfiguriert ist oder wenn interne Links auf Ihren Webseiten immer als relative Links geschrieben sind. Es wird empfohlen, die Option zu verwenden, wenn Sie Microsoft Outlook Web Access und/oder Sharepoint Portal Server einsetzen.

  • Seite 457: Echte Webserver

    12 Web Application Security 12.1 Web Application Firewall 12.1.3 Echte Webserver Auf der Registerkarte Web Application Firewall > Echte Webserver können Sie die Webserver hinzufügen, die durch WAF geschützt werden sollen. Sie können Webserver entweder automatisch oder manuell hinzufügen. Um Webserver hinzuzufügen, gehen Sie folgendermaßen vor: 1.

  • Seite 458: Firewall-Profile

    12.1 Web Application Firewall 12 Web Application Security Port: Geben Sie eine Portnummer für die Kommunikation zwischen der ASG und dem Webserver ein. Der Standard ist Port 80 bei HTTP und Port 443 bei HTTPS. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
  • Seite 459 12 Web Application Security 12.1 Web Application Firewall durch einen Parser und andere Methoden auf HTML- und CSS-Befehle überprüft. Cookie-Signing aktivieren: Schützt einen Webserver vor manipulierten Cookies. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie zum ersten Cookie hinzugefügt, welcher einen Hash enthält, der aus dem Namen und dem Wert des ersten Cookies und einem Schlüssel besteht, wobei dieser Schlüssel nur der WAF bekannt ist.
  • Seite 460 übermittelt wird, geändert hat. Antiviren-Scan verwenden: Wählen Sie diese Option, um einen Webserver vor Viren zu schützen. AV-Mechanismen: Astaro Security Gateway bietet mehrere Antiviren- Mechanismen für höchste Sicherheit. Einfachscan: Standardeinstellung; bietet maximale Leistung. Zweifachscan: Bietet maximale Erkennungsrate, indem alle E- Mails von zwei verschiedenen Virenscannern gescannt werden.

  • Seite 461: Weitere Informationen Zu Url-Hardening Und Form-Hardening

    12 Web Application Security 12.1 Web Application Firewall A2: Satellitenanbieter sind ISPs, die Benutzern auf der ganzen Welt Internetzugang über Satellit zur Verfügung stellen, oftmals von Hochrisiko-Ländern aus. Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 3. Optional können Sie die folgenden erweiterten Einstellungen vornehmen: WAF-Regeln überspringen: Fügen Sie diesem Feld Nummern von WAF- Regeln hinzu, die für das aktuelle Profil übersprungen werden sollen, z. B.

  • Seite 462: Ausnahmen

    12.1 Web Application Firewall 12 Web Application Security integriert, die an den Webserver gesendet wird, wodurch die URL-Signatur ungültig wird. Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server die Anfrage akzeptiert, wenn entweder Form-Hardening oder URL- Hardening die Anfrage für gültig befindet.

  • Seite 463: Erweitert

    12 Web Application Security 12.1 Web Application Firewall Auf diesem virtuellen Server: Wählen Sie den virtuellen Webserver aus der Auswahlliste, der von den gewählten Prüfungen ausgenommen werden soll. Für alle Anfragen: Wählen Sie aus der Auswahlliste eine Anfragedefinition aus. Beachten Sie, dass Sie zwei Anfragedefinitionen durch entweder „and“ (und) oder „or“...

  • Seite 464: Zertifikatverwaltung

    Über das Menü Web Application Security > Zertifikatverwaltung, das dieselben Konfigurationsoptionen enthält wie das Menü Site-to-Site-VPN > Zertifikatverwaltung, können Sie alle zertifikatbezogenen Vorgänge von Astaro Security Gateway verwalten. Das beinhaltet unter anderem das Anlegen und Importieren von X.509-Zertifikaten ebenso wie das Hochladen sogenannter Zertifikatsperrlisten (CRLs).

  • Seite 465: Red-Verwaltung

    13 RED-Verwaltung In diesem Kapitel wird beschrieben, wie Sie Astaro RED konfigurieren. RED ist die Abkürzung für Remote Ethernet Device (entferntes Ethernet-Gerät) und bezeichnet eine Methode, räumlich getrennte Zweigniederlassungen und dergleichen mit Ihrer Hauptniederlassung zu verbinden, so als ob die Zweigniederlassung Teil Ihres lokalen Netzwerks sei.

  • Seite 466: Übersicht

    RED - L i v e - P r otok ol l öf f n e n Sie können das Live-Protokoll verwenden, um die Verbindung zwischen Ihrem Astaro Security Gateway und dem RED-Gerät zu überwachen. Klicken Sie auf die Schaltfläche Open RED Live Log, um das Live-Protokoll in einem neuen Fenster zu öffnen.

  • Seite 467: Clientverwaltung

    Die Statusampel wird grün und die RED-Unterstützung wird aktiviert. Ihre ASG registriert sich nun beim RED Provisioning Service (RPS, dt. RED- Bereitstellungsdienst) von Astaro, um als RED-Hub zu agieren. Sie können nun fortfahren, indem Sie ein oder mehrere RED-Geräte auf der...

  • Seite 468: Einrichtung Eines Red-Tunnels Zwischen Zwei Asgs

    13.3 Clientverwaltung 13 RED-Verwaltung Die Markierung [Server] vor dem Seitennamen gibt an, dass diese Seite nur konfiguriert werden muss, wenn die ASG als Server fungieren soll (RED-Hub). Hinweis – Damit sich RED-Geräte verbinden können, müssen Sie zunächst die RED-Unterstützung auf der Seite Allgemein aktivieren. Einrichtung eines RED-Tunnels zwischen zwei ASGs Um einer anderen ASG zu ermöglichen, sich mit Ihrer lokalen ASG über einen...
  • Seite 469 Entsperrcode. (Wenn Sie nicht im Besitz des Entsperrcodes sind, ist der einzige Weg, das RED-Gerät zu entsperren, den Astaro Support zu kontaktieren.) ASG-Hostname: Sie müssen eine öffentliche IP-Adresse oder einen Hostnamen eingeben, über den die ASG erreichbar ist.
  • Seite 470 Security > Firewall > Regeln). 2) Das Anlegen der notwendigen Maskierungsregeln (Network Security > NAT > Maskierung). 3. Klicken Sie auf Save. Das RED-Gerät wird angelegt und die ASG registriert sich am Astaro RED- Bereitstellungsdienst (RED Provisioning Service, RPS). ASG V8 Administrationshandbuch...

  • Seite 471: Löschung Eines Red-Geräts

    RED-Gerät am entfernten Standort mit dem Internet verbunden werden. Sobald es hochgefahren ist, holt es sich seine Konfiguration vom Astaro RED Provisioning Service (RPS). Danach wird die Verbindung zwischen Ihrer ASG und dem RED-Gerät aufgebaut. Sie können den Gerätestatus aller konfigurierten RED-Geräte auf der RED-Übersichtsseite von WebAdmin...
  • Seite 472 13.4 Einrichtungshilfe 13 RED-Verwaltung Felder ausfüllen, falls notwendig auch Felder, die als optional markiert sind, und dann auf die Schaltfläche RED einrichten klicken. Die Markierung [Server] vor dem Seitennamen gibt an, dass diese Seite nur konfiguriert werden muss, wenn die ASG als Server fungieren soll (RED-Hub). Hinweis –...
  • Seite 473 13 RED-Verwaltung 13.4 Einrichtungshilfe Getrennte Netzwerke aufgeführt sind, zu Ihrer lokalen ASG umgeleitet wird. Technisch ausgedrückt besteht eine Bridge zwischen der lokalen Schnittstelle des RED-Geräts und dessen Uplink-Schnittstelle zu Ihrer lokalen ASG in diesem Modus. Verkehr, der nicht von den aufgeführten getrennten Netzwerken stammt, wird direkt ins Internet geroutet.

  • Seite 474: Tunnelverwaltung

    13.5 Tunnelverwaltung 13 RED-Verwaltung Hinweis – Bei Verwendung der Einrichtungshilfe ist der Uplink-Modus des RED-Geräts in jedem Betriebsmodus DHCP-Client. Wenn es notwendig ist, stattdessen eine statische IP-Adresse zu benutzen, müssen Sie das RED-Gerät über die Registerkarte Clientverwaltung konfigurieren. 13.5 Tunnelverwaltung Auf der Seite RED-Verwaltung >...
  • Seite 475 13 RED-Verwaltung 13.5 Tunnelverwaltung Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu. 5. Klicken Sie auf Save. Der RED-Tunnel wird aufgebaut und in der Liste Tunnelverwaltung angezeigt. ASG V8 Administrationshandbuch...

  • Seite 477: Site-To-Site-Vpn

    14 Site-to-Site-VPN In diesem Kapitel wird die Konfiguration der Site-to-Site-VPN-Einstellungen von Astaro Security Gateway beschrieben. Site-to-Site-VPNs werden in Astaro Security Gateway über sogenannte Virtual Private Networks (VPNs, dt. virtuelle private Netzwerke) realisiert. Diese sind ein kostengünstiger und sicherer Weg für räumlich getrennte Netzwerke, um miteinander über ein öffentliches Netzwerk wie...

  • Seite 478: Amazon Vpc

    Netzwerk verbunden und zentral über IPsec-Tunnel verwaltet werden können. Sie können Ihre Amazon VPC mit Ihrer Astaro Security Gateway verbinden, falls die ASG eine statische öffentliche IP-Adresse besitzt. Die gesamte Konfiguration der VPN-Verbindungen muss in der Amazon-Umgebung durchgeführt werden.

  • Seite 479: Bild 130 Amazon Vpc: Verbindungsliste

    14 Site-to-Site-VPN 14.1 Amazon VPC Bild 130 Amazon VPC: Verbindungsliste Hier können Sie die Verbindungen aktivieren und deaktivieren. Um Verbindungen zur Amazon VPC zu aktivieren, gehen Sie folgendermaßen vor: 1. Wählen Sie auf der Seite Einrichtung mindestens eine VPC- Verbindung. 2.

  • Seite 480: Einrichtung

    Um eine Verbindung zu schließen oder aus der Liste zu löschen, klicken Sie auf das rote Löschen-Symbol der jeweiligen Verbindung. Hinweis – Da die Verbindungen auf der Amazon-VPC-Seite konfiguriert werden, können Sie eine gelöschte Verbindung in Astaro Security Gateway mit den ursprünglichen Daten neu importieren. 14.1.2 Einrichtung Auf der Seite Site-to-Site-VPN >...
  • Seite 481 14 Site-to-Site-VPN 14.1 Amazon VPC Hinweis – Alle vorhandenen Verbindungen, die auf der Registerkarte Status aufgeführt sind, werden während des Imports gelöscht. Um Verbindungen zu importieren, gehen Sie folgendermaßen vor: 1. Nehmen Sie die folgenden Einstellungen vor: Access Key: Geben Sie die Amazon Access-Key-ID ein. Dabei handelt es sich um eine Folge von 20 alphanumerischen Zeichen.

  • Seite 482: Ipsec

    IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden Tunnelendpunkte jedoch um ein Astaro Security Gateway handelt, muss der Tunnelmodus verwendet werden. Die IPsec-VPN- Verbindungen auf dieser ASG arbeiten immer im Tunnelmodus.
  • Seite 483 Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-Algorithmus etwas höher. Die Berechnungsgeschwindigkeit hängt natürlich von der Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf Astaro Security Gateway verwendet werden. Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.

  • Seite 484: Nat-Traversal (Nat-T)

    Advanced Encryption Standard (AES) Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit.Astaro Security Gateway unterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der SHA-1-Algorithmus verwendet werden.

  • Seite 485: Verbindungen

    Type-of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird. Bei der IPsec-Implementierung von Astaro Security Gateway wird der TOS-Wert immer kopiert. 14.2.1 Verbindungen Auf der Registerkarte Site-to-Site-VPN > IPsec > Verbindungen können Sie IPsec- Verbindungen anlegen und bearbeiten.
  • Seite 486 14.2 IPsec 14 Site-to-Site-VPN Entferntes Gateway: Wählen Sie eine Gateway-Definition für das entfernte Gateway. Entfernte Gateways werden auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways definiert. Lokale Schnittstelle: Wählen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt für den IPsec-Tunnel dienen soll. Richtlinie: Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus.

  • Seite 487: Entfernte Gateways

    14 Site-to-Site-VPN 14.2 IPsec Live-Protokoll öffnen: Das IPsec-VPN-Live-Protokoll dient zur Überwachung der aufgebauten IPsec-Verbindungen. Klicken Sie auf die Schaltfläche, um das Live- Protokoll in einem neuen Fenster zu öffnen. 14.2.2 Entfernte Gateways Auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways können Sie die entfernten Gateways (engl.
  • Seite 488 14.2 IPsec 14 Site-to-Site-VPN Nur antworten: Wählen Sie diesen Typ aus, wenn die IP-Adresse des entfernten Endpunkts unbekannt ist oder nicht über DynDNS aufgelöst werden kann. Das Gateway ist nicht in der Lage, eine Verbindung zu dem entfernten Gateway aufzubauen und wartet deshalb auf eingehende Verbindungen, auf die es lediglich antworten muss.
  • Seite 489 14 Site-to-Site-VPN 14.2 IPsec ausgestellt, der der Besitzer vertraut. Während des Schlüsselaustauschs werden die Zertifikate ausgetauscht und mit Hilfe lokal gespeicherter CA-Zertifikate authentifiziert. Wählen Sie diese Authentifizierungsmethode aus, wenn das X.509-Zertifikat des entfernten VPN-Gateways auf dem lokalen System gespeichert ist. Remote-X.509-Zertifikat: Wählen Sie diese Authentifizierungsmethode aus, wenn das X.509-Zertifikat des entfernten VPN-Gateways nicht auf dem lokalen System gespeichert...
  • Seite 490 14.2 IPsec 14 Site-to-Site-VPN 3. Nehmen Sie gegebenenfalls erweiterte Einstellungen vor. Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen die Auswirkungen bekannt sind: Pfad-MTU-Ermittlung zulassen:PMTU (Path Maximum Transmission Unit) bezeichnet die Größe der übermittelten Datenpakete. Die gesendeten IP- Datenpakete sollten so groß...

  • Seite 491: Richtlinien

    Exchange) und die IPsec-Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eine IPsec-Richtlinie. Note - Astaro Security Gateway only supports the main mode in IKE phase 1. Der „Aggressive Mode“ wird nicht unterstützt. Bild 133 Site-to-Site-VPN IPsec: Liste der Richtlinien Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor:...
  • Seite 492 14.2 IPsec 14 Site-to-Site-VPN IKE-Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den Algorithmus fest, der für die Verschlüsselung der IKE-Nachrichten verwendet wird. Die folgenden Algorithmen werden unterstützt: DES (56 Bit) 3DES (168 Bit) AES 128 (128 Bit) AES 192 (192 Bit) AES 256 (256 Bit) Blowfish (128 Bit) Twofish (128 Bit) Serpent (128 Bit)
  • Seite 493 14 Site-to-Site-VPN 14.2 IPsec die Anzahl der Pool Bits. Je mehr Pool Bits, umso länger ist die zufällige Zahlenkette – je größer die Zahlenkette, umso schwerer kann der Diffie- Hellman-Algorithmus geknackt werden. Folglich bedeuten mehr Pool Bits höhere Sicherheit, was allerdings auch bedeutet, dass mehr CPU-Leistung für die Generierung benötigt wird.
  • Seite 494 14.2 IPsec 14 Site-to-Site-VPN 86400 Sekunden (1 Tag). Als Standardwert sind 7800 Sekunden voreingestellt. IPsec-PFS-Gruppe:Perfect Forward Secrecy (PFS) ist eine Eigenschaft von Verschlüsselungsverfahren, die sicherstellt, dass aus einem geknackten Schlüssel nicht auf vorhergehende oder nachfolgende Sitzungsschlüssel einer Kommunikationsverbindung geschlossen werden kann. Damit PFS besteht, darf der zum Schutz der IPsec-SA-Verbindung genutzte Schlüssel nicht von demselben zufällig erzeugten Verschlüsselungsmaterial hergeleitet worden sein wie die Schlüssel für die IKE-SA-Verbindung.

  • Seite 495: Lokaler Rsa-Schlüssel

    Verbindung aufgebaut wird. Wenn Sie diese Authentifizierungsmethode verwenden wollen, müssen Sie eine VPN-ID definieren und einen lokalen RSA-Schlüssel generieren. Der öffentliche RSA-Schlüssel des Gateways muss anschließend den IPsec-Geräten der Gegenstelle zugänglich gemacht werden, die IPsec-RSA-Authentifizierung für Astaro Security Gateway verwenden. ASG V8 Administrationshandbuch...

  • Seite 496: Bild 134 Site-To-Site-Vpn Ipsec: Konfiguration Des Lokalen Rsa-Schlüssels

    14.2 IPsec 14 Site-to-Site-VPN Bild 134 Site-to-Site-VPN IPsec: Konfiguration des lokalen RSA-Schlüssels Ak tu e l l e r l ok a l e r öf f e n tl i c h e r RS A- S c h l ü s s e l In diesem Feld wird der öffentliche Teil des aktuell installierten RSA- Schlüsselpaares angezeigt.

  • Seite 497: Erweitert

    14 Site-to-Site-VPN 14.2 IPsec Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern. Änderungen haben keine Auswirkungen auf den RSA-Schlüssel. L ok a l e n RS A- S c h l ü s s e l n e u e r s te l l e n Um einen neuen RSA-Schlüssel zu generieren, wählen Sie die gewünschte Schlüssellänge aus und klicken auf die Schaltfläche Übernehmen.

  • Seite 498: Bild 135 Site-To-Site-Vpn Ipsec: Erweiterte Einstellungen

    14.2 IPsec 14 Site-to-Site-VPN Bild 135 Site-to-Site-VPN IPsec: Erweiterte Einstellungen L ok a l e s X.5 0 9 - Ze r ti f i k a t Bei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüssel der VPN-Endpunkte zu überprüfen. Wenn Sie diese Authentifizierungsmethode verwenden wollen, müssen Sie im Abschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der Auswahlliste wählen.
  • Seite 499 14 Site-to-Site-VPN 14.2 IPsec Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines im Menü Zertifikatverwaltung hinzufügen, entweder indem Sie ein neues erzeugen oder indem Sie eines über die Upload-Funktion importieren. Nachdem Sie das Zertifikat ausgewählt haben, geben Sie das Kennwort ein, mit dem der private Schlüssel geschützt ist.

  • Seite 500: Fehlersuche

    14.2 IPsec 14 Site-to-Site-VPN Zertifikate einer Zertifizierungsstelle, die für ungültig erklärt werden und deren regulärer Gültigkeitszeitraum noch nicht abgelaufen ist. Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedem Fall keine Gültigkeit mehr und muss daher auch nicht weiter auf der Zertifikatsperrliste geführt werden.

  • Seite 501: Ssl

    14 Site-to-Site-VPN 14.3 SSL Control: Kontrollnachrichten zum IKE-Status Emitting: Inhalte von ausgehenden IKE-Nachrichten Parsing: Inhalte von eingehenden IKE-Nachrichten Raw: Nachrichten werden im Rohformat angezeigt Crypt: Verschlüsselungs- und Entschlüsselungvorgänge 14.3 SSL Site-to-Site-VPN-Tunnel können über eine SSL-Verbindung aufgebaut werden. SSL-VPN-Verbindungen benutzen dabei eindeutige Rollen: Die Tunnelendpunkte agieren entweder als Client oder als Server.

  • Seite 502: Bild 136 Site-To-Site Ssl-Vpn: Konfiguration Der Serververbindung

    14.3 SSL 14 Site-to-Site-VPN Bild 136 Site-to-Site SSL-VPN: Konfiguration der Serververbindung Um eine Serverkonfiguration anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL- Verbindung. Das Dialogfenster SSL-Verbindung hinzufügen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Verbindungstyp: Wählen Sie Server aus der Auswahlliste aus.
  • Seite 503 14 Site-to-Site-VPN 14.3 SSL Lokale Netzwerke: Fügen Sie ein oder mehrere Netzwerke hinzu, die für den Fernzugriff zugelassen sein sollen. Entfernte Netzwerke: Fügen Sie ein oder mehrere Netzwerke der Gegenstelle hinzu, die sich mit dem/den lokalen Netzwerk(en) verbinden dürfen. Hinweis – Sie können die lokalen Netzwerke und die entfernten Netzwerke auch später noch konfigurieren, ohne dass Sie den Client neu konfigurieren müssten.

  • Seite 504: Bild 137 Site-To-Site Ssl-Vpn: Konfiguration Der Client-Verbindung

    14.3 SSL 14 Site-to-Site-VPN Bild 137 Site-to-Site SSL-VPN: Konfiguration der Client-Verbindung Um eine Client-Konfiguration anzulegen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL- Verbindung. Das Dialogfenster SSL-Verbindung hinzufügen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Verbindungstyp: Wählen Sie Client aus der Auswahlliste aus.

  • Seite 505: Einstellungen

    14 Site-to-Site-VPN 14.3 SSL Proxy-Authentifizierung verwenden (optional): Wählen Sie diese Option, wenn sich der Client am Proxy authentifizieren muss, und geben Sie Benutzername und Kennwort ein. Peer-Hostnamen übergehen (optional): Wählen Sie diese Option und geben Sie einen Hostnamen ein, wenn der reguläre Hostname des Serversystems (oder sein DynDNS-Hostname) nicht vom Clienthost aufgelöst werden kann.

  • Seite 506: Bild 138 Site-To-Site Ssl-Vpn: Einstellungen

    14.3 SSL 14 Site-to-Site-VPN Bild 138 Site-to-Site SSL-VPN: Einstellungen S e r v e r e i n s te l l u n ge n Sie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen: Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application Firewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresse angeben, die auf SSL-Verbindungen lauscht.

  • Seite 507: Erweitert

    14 Site-to-Site-VPN 14.3 SSL voreingestellten Wert nur, wenn der reguläre Hostname (oder DynDNS- Hostname) nicht unter diesem Namen aus dem Internet erreichbar ist. Vi r tu e l l e r I P - P ool Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressen aus einem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.

  • Seite 508: Bild 139 Site-To-Site Ssl-Vpn: Erweiterte Einstellungen

    14.3 SSL 14 Site-to-Site-VPN Bild 139 Site-to-Site SSL-VPN: Erweiterte Einstellungen Kr y ptogr a f i s c h e Ei n s te l l u n ge n Diese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL- VPN-Fernzugriff-Clients: Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den Algorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch den VPN-Tunnel gesendet werden.

  • Seite 509: Zertifikatverwaltung

    14.4 Zertifikatverwaltung Das Menü Site-to-Site-VPN > Zertifikatverwaltung ist der zentrale Ort, an dem alle zertifikatbezogenen Vorgänge verwaltet werden, die bei Astaro Security Gateway auftreten. Das beinhaltet unter anderem das Anlegen und Importieren von X.509- Zertifikaten ebenso wie das Hochladen sogenannter Zertifikatsperrlisten (CRLs).

  • Seite 510: Bild 140 Zertifikatverwaltung: Zertifikatliste

    14.4 Zertifikatverwaltung 14 Site-to-Site-VPN öffentlichen Schlüssel mit einem bestimmten Distinguished Name (DN) in X.500- Schreibweise verknüpfen. Alle Zertifikate, die Sie auf dieser Registerkarte erzeugen, sind selbst von der Zertifizierungsstelle (CA) signiert, die automatisch mit den Informationen erstellt wurde, die Sie während der ersten Anmeldung an WebAdmin angegeben haben. Bild 140 Zertifikatverwaltung: Zertifikatliste Um ein Zertifikat neu zu generieren, gehen Sie folgendermaßen vor: 1.
  • Seite 511 14 Site-to-Site-VPN 14.4 Zertifikatverwaltung IP-Adresse Distinguished Name VPN-ID: Tragen Sie abhängig von der gewählten Identifikationsart (VPN-ID) den passenden Wert in das Feld ein. Beispiel: Wenn Sie IP- Adresse aus der Liste VPN-ID-Typ gewählt haben, geben Sie eine IP- Adresse in dieses Textfeld ein. Beachten Sie, dass dieses Textfeld nicht angezeigt wird, wenn Sie Distinguished Name aus der Liste VPN-ID- Typ gewählt haben.
  • Seite 512 14.4 Zertifikatverwaltung 14 Site-to-Site-VPN Dateityp: Wählen Sie den Dateityp des Zertifikats aus. Sie können Zertifikate der folgenden Dateitypen hochladen: PKCS#12 Container: PKCS bezieht sich auf eine Gruppe von Public Key Cryptography Standards (dt. etwa Standards für die Kryptografie öffentlicher Schlüssel), die von den RSA Laboratories entwickelt und veröffentlicht wurden.

  • Seite 513: Zertifizierungsstelle

    14 Site-to-Site-VPN 14.4 Zertifikatverwaltung 14.4.2 Zertifizierungsstelle Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > Zertifizierungsstelle können Sie neue Zertifizierungsstellen importieren. Eine Zertifizierungsstelle (CA, engl. Certificate Authority) ist eine Instanz, die digitale Zertifikate für die Benutzung durch andere Parteien ausstellt. Eine CA attestiert, dass der im Zertifikat enthaltene öffentliche Schlüssel zur der Person, Organisation, Host oder anderen Instanz gehört, die im Zertifikat aufgeführt ist.
  • Seite 514 14.4 Zertifikatverwaltung 14 Site-to-Site-VPN 1. Klicken Sie auf der Registerkarte Zertifizierungsstelle auf CA importieren. Das Dialogfenster CA importieren wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese CA ein. Typ: Wählen Sie den CA-Typ, den Sie importieren werden. Sie können zwischen Verifizierungs-CA und Signierungs-CA wählen.

  • Seite 515: Sperrlisten (Crls)

    14 Site-to-Site-VPN 14.4 Zertifikatverwaltung 14.4.3 Sperrlisten (CRLs) Eine Zertifikatsperrliste (CRL, engl. Certificate Revocation List) (auch Widerrufsliste) ist eine Liste von Zertifikaten (genauer: ihren Seriennummern), die widerrufen wurden, d. h. die nicht länger gültig und aus diesem Grund nicht vertrauenswürdig sind. Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung >...

  • Seite 516: Erweitert

    14.4 Zertifikatverwaltung 14 Site-to-Site-VPN 14.4.4 Erweitert Auf der Registerkarte Site-to-Site-VPN > Zertifikatverwaltung > Erweitert können Sie die VPN-Signierungs-CA neu generieren, die während der ersten Anmeldung am Sicherheitssystem automatisch generiert wurde. Mit der VPN-Signierungs-CA werden die Zertifikate für die Fernzugriffs- und Site-to-Site-VPN-Verbindungen digital signiert.

  • Seite 517: Fernzugriff

    15 Fernzugriff In diesem Kapitel wird beschrieben, wie Sie den Fernzugriff (engl. Remote Access) für Astaro Security Gateway konfigurieren. Der Fernzugriff wird in Astaro Security Gateway mittels virtuellen privaten Netzwerken (engl. Virtual Private Networks, VPNs) realisiert. Diese sind ein kostengünstiger und sicherer Weg, entfernten Benutzern wie Angestellten, die von unterwegs und von zu Hause aus arbeiten, den Zugang zum Firmennetzwerk zu ermöglichen.

  • Seite 518: Ssl 15 Fernzugriff

    Cisco VPN Client Erweitert Zertifikatverwaltung 15.1 SSL Die Fernzugriff-SSL-Funktion von Astaro Security Gateway wird durch OpenVPN realisiert, einer umfassenden SSL-VPN-Lösung. Sie bietet die Möglichkeit, zwischen entfernten Mitarbeitern und dem Unternehmensnetzwerk Punkt-zu- Punkt-verschlüsselte Tunnel aufzubauen, wobei SSL-Zertifikate und eine Benutzer-Kennwort-Kombination benötigt werden, um sich für den Zugriff auf interne Ressourcen zu authentifizieren.

  • Seite 519: Bild 145 Fernzugriff -Ssl: Aktivierung Des Ssl-Fernzugriffs

    15 Fernzugriff 15.1 SSL Ressourcen im VPN zugreifen kann. Split-Tunneling kann jedoch auch umgangen werden, indem Sie Alle als lokales Netzwerk definieren (siehe unten). Dadurch wird der gesamte Verkehr durch den VPN-SSL-Tunnel geroutet. Ob Benutzer dann noch auf ein öffentliches Netzwerk zugreifen dürfen oder nicht, hängt von Ihren Firewall-Einstellungen ab.

  • Seite 520: Einstellungen

    15.1 SSL 15 Fernzugriff Hinweis – Das SSL-VPN-Client-Software-Paket im Benutzerportal ist nur für Benutzer verfügbar, die im Feld Benutzer und Gruppen ausgewählt wurden und für die ein Benutzerkonto auf der ASG existiert (siehe Definitionen & Benutzer > Benutzer & Gruppen > Benutzer). Dennoch haben sie Zugang zum Benutzerportal.

  • Seite 521: Bild 146 Fernzugriff-Ssl: Einstellungen

    15 Fernzugriff 15.1 SSL Bild 146 Fernzugriff-SSL: Einstellungen S e r v e r e i n s te l l u n ge n Sie können die folgenden Einstellungen für die SSL-VPN-Verbindung vornehmen: Schnittstellen-Adresse: Der Standardwert lautet Any. Wenn Sie die Web Application Firewall verwenden, müssen Sie für diesen Dienst eine bestimmte Schnittstellenadresse angeben, die auf SSL-Verbindungen lauscht.

  • Seite 522: Erweitert

    15.1 SSL 15 Fernzugriff voreingestellten Wert nur, wenn der reguläre Hostname (oder DynDNS- Hostname) nicht unter diesem Namen aus dem Internet erreichbar ist. Vi r tu e l l e r I P - P ool Pool-Netzwerk: Das ist der virtuelle IP-Adressenpool, der verwendet wird, um IP-Adressen aus einem bestimmten IP-Adressbereich SSL-Clients zuzuweisen.

  • Seite 523: Bild 147 Fernzugriff-Ssl: Erweiterte Einstellungen

    15 Fernzugriff 15.1 SSL Bild 147 Fernzugriff-SSL: Erweiterte Einstellungen Kr y ptogr a f i s c h e Ei n s te l l u n ge n Diese Einstellungen kontrollieren die Verschlüsselungsparameter für alle SSL- VPN-Fernzugriff-Clients: Verschlüsselungsalgorithmus: Der Verschlüsselungsalgorithmus legt den Algorithmus fest, der für die Verschlüsselung der Daten verwendet wird, die durch den VPN-Tunnel gesendet werden.

  • Seite 524: Pptp 15 Fernzugriff

    Netzwerkdienste. PPTP ist einfach einzurichten und benötigt auf Microsoft Windows-Systemen keine spezielle Software. PPTP ist in Microsoft Windows ab Version 95 enthalten. Um PPTP mit Astaro Security Gateway verwenden zu können, muss der Client das MSCHAPv2- Authentifizierungsprotokoll unterstützen. Benutzer von Windows 95 und 98 müssen ein Update aufspielen, damit dieses Protokoll unterstützt wird.

  • Seite 525: Allgemein

    15 Fernzugriff 15.2 PPTP 15.2.1 Allgemein Bild 148 Fernzugriff PPTP: Aktivierung von PPTP-Fernzugriff Um die allgemeinen Optionen für PPTP zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie den PPTP-Fernzugriff auf der Registerkarte Allgemein. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 526 Feld Benutzer und Gruppen eingetragen sind und für die eine Benutzerdefinition auf der ASG existiert. Autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, finden einen Link zu einer Installationsanleitung, die in der Astaro Knowledgebase verfügbar ist. RADIUS: RADIUS kann nur ausgewählt werden, wenn zuvor ein RADIUS-Server konfiguriert wurde.

  • Seite 527: Ios-Geräte

    15 Fernzugriff 15.2 PPTP Textfeld Pool-Netzwerk klicken. DHCP-Server: Wenn Sie DHCP-Server auswählen, geben Sie auch die Netzwerkschnittstelle an, über die der DHCP-Server erreichbar ist. Der DHCP-Server muss nicht direkt mit der Schnittstelle verbunden sein – er kann auch über einen Router erreichbar sein. Beachten Sie, dass der lokale DHCP-Server nicht unterstützt wird;...

  • Seite 528: Erweitert

    15.2 PPTP 15 Fernzugriff Hinweis – Der Verbindungsname muss für alle iOS-Verbindungseinstellungen (PPTP, L2TP over IPsec, Cisco VPN Client) einzigartig sein. Hostnamen übergehen: Im Falle, dass der Systemhostname vom Client nicht öffentlich aufgelöst werden kann, können Sie hier einen Server-Hostnamen eingeben, der die interne Präferenz übergeht, bei der der DynDNS-Hostname dem System-DNS-Hostnamen vorgezogen wird.

  • Seite 529: L2Tp Über Ipsec

    15 Fernzugriff 15.3 L2TP über IPsec F e h l e r s u c h e - Modu s Fehlersuche-Modus aktivieren: Diese Option kontrolliert die Menge an Fehlersuchemeldungen, die im PPTP-Protokoll erzeugt wird. Aktivieren Sie diese Option, wenn Sie Verbindungsprobleme haben und detaillierte Informationen über beispielsweise die Aushandlung der Client-Parameter benötigen.

  • Seite 530: Bild 151 Fernzugriff L2Tp: Aktivierung Des L2Tp-Fernzugriffs

    15.3 L2TP über IPsec 15 Fernzugriff Bild 151 Fernzugriff L2TP: Aktivierung des L2TP-Fernzugriffs Um L2TP über IPsec zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie L2TP über IPsec auf der Registerkarte Allgemein. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 531 15 Fernzugriff 15.3 L2TP über IPsec ausgetauscht werden. Um zu kommunizieren, weisen beide Gegenstellen nach, dass sie das Kennwort kennen. Der verteilte Schlüssel ist ein Kennwort, das dazu benutzt wird, den Datenverkehr mit dem Verschlüsselungsalgorithmus von L2TP zu verschlüsseln. Um die höchstmögliche Sicherheit zu gewährleisten, sollten Sie sich an den gängigen Maßstäben für die Stärke des Kennwortes orientieren.
  • Seite 532 15.3 L2TP über IPsec 15 Fernzugriff IP-Adressen zuweisen durch: IP-Adressen können Sie entweder aus einem festgelegen IP-Adressenpool zuweisen oder von einem DHCP-Server verteilen lassen: Pool-Netzwerk: Standardmäßig ist IP-Adressenpool für die IP- Adressenzuweisung ausgewählt, wobei die Netzwerkdefinition VPN Pool (L2TP) als Pool-Netzwerk voreingestellt ist. Der VPN Pool (L2TP) ist ein zufällig generiertes Netzwerk aus dem IP-Adressbereich 10.x.x.x für private Netzwerke, für das ein Klasse-C-Subnetz verwendet wird.
  • Seite 533 Authentifizierungsanfragen an den RADIUS-Server weitergeleitet. Das L2TP- Modul sendet die folgende NAS-ID an den RADIUS-Server: l2tp. Der Authentifizierungsalgorithmus wird automatisch zwischen dem Client und dem Server ausgehandelt. Für lokale Benutzer unterstützt Astaro Security Gateway die folgenden Authentifizierungsprotokolle: MSCHAPv2 Standardmäßig handelt ein Windows-Client MSCHAPv2 aus.

  • Seite 534: Ios-Geräte

    15.3 L2TP über IPsec 15 Fernzugriff 15.3.2 iOS-Geräte Sie können ermöglichen, dass Benutzern von iOS-Geräten eine automatische L2TP-über-IPsec-Konfiguration im Benutzerportal angeboten wird. Bild 152 Fernzugriff-L2TP: iOS-Geräteeinstellungen Allerdings werden nur Benutzer, die im Feld Benutzer und Gruppen auf der Registerkarte Allgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.Der iOS-Geräte-Status ist standardmäßig aktiviert.

  • Seite 535: Erweitert

    15 Fernzugriff 15.4 IPsec 15.3.3 Erweitert Bild 153 Fernzugriff L2TP: Erweiterte Einstellungen F e h l e r s u c h e - Modu s Fehlersuche-Modus aktivieren: Diese Option kontrolliert die Menge an Fehlersuchemeldungen, die im L2TP-über-IPsec-Protokoll erzeugt wird. Aktivieren Sie diese Option, wenn Sie Verbindungsprobleme haben und detaillierte Informationen über beispielsweise die Aushandlung der Client-Parameter benötigen.
  • Seite 536 IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden Tunnelendpunkte jedoch um ein Astaro Security Gateway handelt, muss der Tunnelmodus verwendet werden. Die IPsec-VPN- Verbindungen auf dieser ASG arbeiten immer im Tunnelmodus.
  • Seite 537 Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-Algorithmus etwas höher. Die Berechnungsgeschwindigkeit hängt natürlich von der Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf Astaro Security Gateway verwendet werden. Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit der Absender-Authentifizierung und der Verifizierung von Paketinhalten.
  • Seite 538 Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header. Die Bits werden Type-of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird. Bei der IPsec-Implementierung von Astaro Security Gateway wird der TOS-Wert immer kopiert. ASG V8 Administrationshandbuch...

  • Seite 539: Verbindungen

    15 Fernzugriff 15.4 IPsec 15.4.1 Verbindungen Auf der Registerkarte IPsec > Verbindungen können Sie IPsec-Verbindungen anlegen und bearbeiten. Bild 154 Fernzugriff IPsec: Liste der Verbindungen Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec- Fernzugriffsregel.
  • Seite 540 Feld Zugelassene Benutzer ausgewählt sind und für die eine Benutzerdefinition auf der ASG existiert. Autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, finden den Astaro IPsec Client (AIC) vor, dessen Konfigurationsdatei, die PKCS#12-Datei sowie einen Link zur Installationsanleitung, die in der Astaro Knowledgebase.

  • Seite 541: Richtlinien

    Methode (IKE, Internet Key Exchange) und die IPsec-Antragsparameter für eine IPsec-Verbindung fest. Jede IPsec-Verbindung benötigt eine IPsec-Richtlinie. Note - Astaro Security Gateway only supports the main mode in IKE phase 1. Der „Aggressive Mode“ wird nicht unterstützt. ASG V8 Administrationshandbuch...

  • Seite 542: Bild 155 Fernzugriff Ipsec: Liste Der Richtlinien

    15.4 IPsec 15 Fernzugriff Bild 155 Fernzugriff IPsec: Liste der Richtlinien Um eine IPsec-Richtlinie zu erstellen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf der Registerkarte Richtlinien auf Neue IPSec- Richtlinie. Das Dialogfenster IPsec-Richtlinie hinzufügen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese Richtlinie ein.
  • Seite 543 15 Fernzugriff 15.4 IPsec IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus legt fest, welcher Algorithmus verwendet wird, um die Intaktheit der IKE- Nachrichten zu prüfen. Die folgenden Algorithmen werden unterstützt: MD5 (128 Bit) SHA1 (160 Bit) SHA2 256 (256 Bit) SHA2 384 (384 Bit) SHA2 512 (512 Bit) IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden, für die die IKE-SA (Security Association, dt.
  • Seite 544 15.4 IPsec 15 Fernzugriff Hinweis – Gruppe 1 (MODP 768) wird allgemein als sehr schwach eingestuft und wird hier nur aus Kompatibilitätsgründen unterstützt. IPsec-Verschlüsselungsalgorithmus: Die gleichen Verschlüsselungsalgorithmen wie für IKE. IPsec-Authentifizierungsalgorithmus: Die gleichen Authentifizierungsalgorithmen wie für IKE. Zusätzlich werden noch folgende Algorithmen unterstützt: SHA2 256 (96 Bit) SHA2 384 (96 Bit)
  • Seite 545 15 Fernzugriff 15.4 IPsec mehr Zeit bei der Aushandlung. Es wird davon abgeraten, PFS auf langsamer Hardware einzusetzen. Hinweis – PFS ist nicht immer gänzlich kompatibel mit den verschiedenen Herstellern. Wenn Sie Probleme während der Aushandlung feststellen, schalten Sie diese Funktion aus. Strikte Richtlinie: Wenn ein IPsec-Gateway eine Anfrage hinsichtlich eines Verschlüsselungsalgorithmus und der Verschlüsselungsstärke unternimmt, kann es vorkommen, dass das Gateway des Empfängers diese Anfrage...

  • Seite 546: Erweitert

    15.4 IPsec 15 Fernzugriff 15.4.3 Erweitert Auf der Registerkarte Fernzugriff > IPsec > Erweitert können Sie die erweiterten Einstellungen für IPsec-VPN vornehmen. Abhängig von Ihrer bevorzugten Authentifizierungsmethode können Sie unter anderem das lokale Zertifikat (für X.509-Authentifizierung) und den lokalen RSA-Schlüssel (für RSA- Authentifizierung) festlegen.
  • Seite 547 15 Fernzugriff 15.4 IPsec Authentifizierungsmethode verwenden wollen, müssen Sie im Abschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der Auswahlliste wählen. Das ausgewählte Zertifikat bzw. Schlüssel wird anschließend dafür genutzt, um das Gateway gegenüber Gegenstellen zu authentifizieren, falls X.509- Authentifizierung ausgewählt ist. Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhanden ist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.
  • Seite 548 15.4 IPsec 15 Fernzugriff C RL - H a n dh a bu n g Es sind Situationen denkbar, in denen ein Zertifikataussteller noch während der Gültigkeitsdauer eines Zertifikats die darin gegebene Bestätigung für ungültig erklären möchte, z. B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vom Zertifikatnehmer unter Angabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifizierten öffentlichen Schlüssel gehörende private Schlüssel einem Angreifer in die Hände gefallen ist.

  • Seite 549: Fehlersuche

    Crypt: Verschlüsselungs- und Entschlüsselungvorgänge 15.5 Cisco VPN Client Astaro Security Gateway unterstützt IPsec-Fernzugriff über Cisco VPN Client. Der Cisco VPN Client ist ein ausführbares Programm von Cisco Systems, das es ermöglicht, entfernte Computer auf sichere Weise mit einem virtuellen privaten Netzwerk (VPN, Virtual Private Network) zu verbinden.

  • Seite 550: Bild 157 Cisco Vpn Client: Aktivierung Des Fernzugriffs Über Cisco Vpn

    15 Fernzugriff Bild 157 Cisco VPN Client: Aktivierung des Fernzugriffs über Cisco VPN Client Um Astaro Security Gateway so zu konfigurieren, dass Cisco-VPN-Client- Verbindungen zulässig sind, gehen Sie folgendermaßen vor: 1. Aktivieren Sie Cisco VPN Client auf der Registerkarte Allgemein.

  • Seite 551: Ios-Geräte

    15 Fernzugriff 15.5 Cisco VPN Client Pool-Netzwerk: Wählen Sie einen Netzwerk-Pool, dessen virtuelle Netzwerkadressen den Clients zugewiesen werden sollen, wenn sie sich verbinden.VPN Pool (Cisco) ist vorausgewählt. Benutzer und Gruppen: Wählen Sie Benutzer und/oder Gruppen, die sich mit ASG über Cisco VPN Client verbinden dürfen. Es ist jedoch nicht möglich, Backend-Mitgliedschaftsgruppen in das Feld zu ziehen, weil zum Zeitpunkt der IPsec-Konfiguration ein Benutzerzertifikat benötigt wird.

  • Seite 552: Bild 158 Cisco Vpn Client: Ios-Einstellungen

    15.5 Cisco VPN Client 15 Fernzugriff Bild 158 Cisco VPN Client: iOS-Einstellungen Allerdings werden nur Benutzer, die im Feld Benutzer und Gruppen auf der Registerkarte Allgemein aufgeführt sind, die Konfigurationsdateien auf ihrer Benutzerportal-Seite finden.Der iOS-Geräte-Status ist standardmäßig aktiviert. Verbindungsname: Geben Sie einen aussagekräftigen Namen für die CiscoIPsec- Verbindung ein, sodass iOS-Benutzer die Verbindung identifizieren können, die sie im Begriff sind aufzubauen.

  • Seite 553: Fehlersuche

    15 Fernzugriff 15.6 Erweitert und lehnt die Verbindung ab, wenn es keine Übereinstimmung gibt. Wenn das Serverzertifikat einen Distinguished Name als VPN-ID verwendet, vergleicht das iOS-Gerät den Server-Hostnamen stattdessen mit dem Feld Allgemeiner Name (Common Name). Sie müssen sicherstellen, dass das Server-Zertifikat diese Bedingungen erfüllt.

  • Seite 554: Zertifikatverwaltung

    Domäne gehören. 15.7 Zertifikatverwaltung Über das Menü Fernzugriff > Zertifikatverwaltung, das dieselben Konfigurationsoptionen enthält wie das Menü Site-to-Site-VPN > Zertifikatverwaltung, können Sie alle zertifikatbezogenen Vorgänge von Astaro Security Gateway verwalten. Das beinhaltet unter anderem das Anlegen und ASG V8 Administrationshandbuch...

  • Seite 555: Zertifikate

    15 Fernzugriff 15.7 Zertifikatverwaltung Importieren von X.509-Zertifikaten ebenso wie das Hochladen sogenannter Zertifikatsperrlisten (CRLs). 15.7.1 Zertifikate Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung > Zertifikate. 15.7.2 Zertifizierungsstelle Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung > Zertifizierungsstelle. 15.7.3 Sperrlisten (CRLs) Gehen Sie zu Site-to-Site-VPN > Zertifikatverwaltung > Sperrlisten (CRLs).

  • Seite 557: Protokolle & Berichte

    Berichte Dieses Kapitel beschreibt die Protokollierungs- und Berichtsfunktionen von Astaro Security Gateway. Astaro Security Gateway bietet umfangreiche Protokollfunktionen, indem es die verschiedenen Ereignisse betreffend den Schutz des Systems und des Netzwerks dauernd überwacht. Aufgrund der detaillierten historischen Informationen und den aktuellen Analysen der verschiedenen Netzwerkaktivitäten können potenzielle Sicherheitsbedrohungen identifiziert oder aufkommende Probleme verhindert werden.

  • Seite 558: Bild 160 Berichte: Beispiel Eines Flash-Basierten Liniendiagramms

    16 Protokolle & Berichte Protokolleinstellungen Berichteinstellungen Flash-basierte Berichte Ab Version 8 zeigt Astaro Security Gateway Berichtsdaten-Diagramme ® ® standardmäßig als Adobe Flash Animationen an. Diese Flash-Diagramme ermöglichen einen detaillierteren Zugang zu den Informationen, die die Grundlage für ein Diagramm bilden, als die vorher verwendeten statischen Bilder. Wenn Sie jedoch die Art der Darstellung aus V7 vorziehen, können Sie zur statischen...

  • Seite 559: Protokollansicht

    16 Protokolle & Berichte 16.1 Protokollansicht Tortendiagramme Ähnlich wie bei den Flash-Liniendiagrammen können Sie mit den Tortendiagrammen interagieren: Richten Sie den Mauszeiger auf ein Stück eines Tortendiagramms. Dieses Stück wird sofort vom Rest des Tortendiagramms hervorgehoben und der Tooltip zeigt Informationen zum hervorgehobenen Stück. Bild 161 Berichte: Beispiel eines Flash-basierten Tortendiagramms 16.1 Protokollansicht Im Menü...

  • Seite 560: Archivierte Protokolldateien

    Protokolldateien können Sie das Protokollarchiv verwalten. Alle Protokolldateien werden täglich archiviert. Um auf eine archivierte Protokolldatei zuzugreifen, wählen Sie das Teilsystem von Astaro Security Gateway aus, für das die Protokolle erstellt werden, sowie ein Jahr und einen Monat. ASG V8 Administrationshandbuch...

  • Seite 561: Protokolldateien Durchsuchen

    16 Protokolle & Berichte 16.1 Protokollansicht Bild 163 Protokollierung: Archivierte Protokolldateien Alle verfügbaren Protokolldateien, die Ihrer Auswahl entsprechen, werden in chronologischer Reihenfolge angezeigt. Sie können die archivierte Protokolldatei anzeigen oder als Datei im zip-Format herunterladen. Mit der Auswahlliste unterhalb der Tabelle können Sie vorher ausgewählte Protokolldateien entweder als zip-Datei herunterladen oder alle auf einmal löschen.

  • Seite 562: Hardware

    16.2 Hardware 16 Protokolle & Berichte Zeiträumen durchsuchen. Wählen Sie zunächst eine Protokolldatei, die Sie durchsuchen wollen. Geben Sie dann einen Suchbegriff ein und wählen Sie einen Zeitraum. Wenn Sie Benutzerdefinierter Zeitraum unter Zeitraum auswählen, können Sie ein Start- und Enddatum angeben. Nachdem Sie auf die Schaltfläche Suche starten geklickt haben, wird ein neues Fenster geöffnet, in dem die Ergebnisse Ihrer Suche angezeigt werden.

  • Seite 563: Bild 165 Berichte: Diagramm Der Cpu-Auslastung

    16 Protokolle & Berichte 16.2 Hardware CPU Usage: Das Diagramm zeigt die aktuelle Auslastung des Prozessors in Prozent an. Bild 165 Berichte: Diagramm der CPU-Auslastung Memory/Swap Usage: Das Diagramm zeigt die Auslastung von Speicher und Swap in Prozent an. Die Swap-Auslastung hängt stark von Ihrer Systemkonfiguration ab.

  • Seite 564: Wöchentlich

    Bild 167 Berichte: Diagramm der Auslastung der Speicherpartition Root: Die Root-Partition ist die Partition, in der sich das Root-Verzeichnis von Astaro Security Gateway befindet. Hier werden auch die Aktualisierungspakete und Backups gespeichert. Log: Die Protokollpartition ist die Partition, in der Protokolldateien und Berichtsdaten gespeichert werden.

  • Seite 565: Jährlich

    Täglich beschrieben. 16.3 Netzwerknutzung Das Menü Protokolle & Berichte > Netzwerknutzung bieten einen statistischen Überblick über den Datenverkehr, der jede Schnittstelle von Astaro Security Gateway passiert, für verschiedene Zeiträume. Zur Darstellung werden die folgenden Maßeinheiten verwendet: u (Mikro, 10e m (Milli, 10e...

  • Seite 566: Wöchentlich

    16.3 Netzwerknutzung 16 Protokolle & Berichte Bild 168 Berichte: Diagramm des Datendurchsatzes einer Ethernet- Schnittstelle Jedes Diagramm enthält zwei grafische Darstellungen: Inbound: Eingehender Datenverkehr auf dieser Schnittstelle in Bits pro Sekunde. Outbound: Ausgehender Datenverkehr auf dieser Schnittstelle in Bits pro Sekunde.

  • Seite 567: Monatlich

    16 Protokolle & Berichte 16.3 Netzwerknutzung 16.3.3 Monatlich Die Registerkarte Netzwerknutzung > Monatlich bietet umfangreiche statistische Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten vier Wochen. Die Diagramme werden im Abschnitt Täglich beschrieben. 16.3.4 Jährlich Die Registerkarte Netzwerknutzung > Jährlich bietet umfangreiche statistische Informationen zum Datendurchsatz jeder konfigurierten Schnittstelle in den letzten zwölf Monaten.
  • Seite 568 16.3 Netzwerknutzung 16 Protokolle & Berichte bestätigen. Bei den Ansichten By Service (Nach Dienst) können Sie ein Protokoll und einen Dienst angeben, mit Komma getrennt (z. B. TCP,SMTP, UDP,6000). Wenn Sie kein Protokoll angeben, wird TCP angenommen (HTTP ist z. B. auch gültig). Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw.

  • Seite 569: Network Security

    16 Protokolle & Berichte 16.4 Network Security 16.4 Network Security Das Menü Protokolle & Berichte > Network Security bietet einen statistischen Überblick über relevante Ereignisse in der Netzwerksicherheit von Astaro Security Gateway. 16.4.1 Täglich Die Registerkarte Network Security > Täglich bietet umfangreiche statistische Informationen zu den folgenden Ereignissen in den letzten 24 Stunden: Firewallverstöße...

  • Seite 570: Wöchentlich

    16.4 Network Security 16 Protokolle & Berichte Bild 171 Berichte: Balkendiagramm der Angriffschutz-Ereignisse (Monatlich) 16.4.2 Wöchentlich Die Registerkarte Network Security > Wöchentlich bietet umfangreiche statistische Informationen zu Firewallverstößen und Angriffschutz-Ereignissen in den letzten sieben Tagen. Die Diagramme werden im Abschnitt Täglich beschrieben.

  • Seite 571: Ips

    16 Protokolle & Berichte 16.4 Network Security angeben sowie Netzwerkbereiche (z. B. 192.168.1.0/24 oder 10/8) und diese Einstellungen durch einen Klick auf die Schaltfläche Update anwenden. Bei den Ansichten By Service (Nach Dienst) können Sie ein Protokoll und einen Dienst angeben, mit Komma getrennt (z. B. TCP,SMTP, UDP,6000). Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw.

  • Seite 572: Web Security

    16.5 Web Security 16 Protokolle & Berichte 16.5 Web Security Das Menü Protokolle & Berichte > Web Security bietet einen statistischen Überblick über die aktivsten Internetnutzer und die am häufigsten aufgerufenen Websites. 16.5.1 Internetnutzung Die Seite Protokolle & Berichte > Web Security > Internetnutzung bietet Ihnen vielseitige Funktionen, mit denen Sie sich gezielt über Ihren Netzwerkverkehr und die Nutzung des Internets durch Ihre Benutzer informieren können.
  • Seite 573 16 Protokolle & Berichte 16.5 Web Security Standard: Es stehen fünf Berichtstypen zur Verfügung; ausführlichere Informationen hierzu finden Sie weiter unten. Gespeicherte Webberichte: Hier können Sie gespeicherte Webberichte auswählen, die Sie bereits erstellt haben. Löschen: Klicken Sie auf dieses Symbol, um einen gespeicherten Webbericht zu löschen.
  • Seite 574 16.5 Web Security 16 Protokolle & Berichte Hinweis – Bei aktivierter Anonymisierung werden die Benutzer nicht mit Namen oder IP-Adresse, sondern nummeriert angezeigt. Je nach ausgewähltem Berichtstyp enthält die Tabelle verschiedene Informationen: Benutzer Kategorien Sites Domäne URLs Verkehr Dauer Seiten Anfragen Kategorien* Aktion*...

  • Seite 575: Definition Von Filtern

    16 Protokolle & Berichte 16.5 Web Security Aktion: Zeigt an, ob die Website an den Client übermittelt wurde (zugelassen bzw. engl. passed) oder ob sie durch eine Application-Control-Regel blockiert (bzw. engl. blocked) wurde. Ursache: Zeigt an, warum eine Website-Anfrage blockiert wurde. Beispiel: Ein Benutzer versucht, eine msi-Datei herunterzuladen.

  • Seite 576: Suchmaschinen

    16.5 Web Security 16 Protokolle & Berichte entweder Informationen über Domänen, Benutzer, welche die Site besucht haben, oder Kategorien, denen die Site angehört, anzeigen. Sie sehen, dass zahlreiche Benutzer amazon.com besucht haben und möchten mehr über diese Website erfahren, also aktivieren Sie das Feld Benutzer. Das Fenster wird geschlossen. Sie sehen in der Kopfzeile, dass der Berichtstyp in Benutzer geändert wurde und in der Filterleiste, dass die Informationen in der Ergebnistabelle für Benutzer nach der von Ihnen ausgewählten Website (amazon.com) gefiltert sind.
  • Seite 577 16 Protokolle & Berichte 16.5 Web Security Berichtstyp-Einstellung ab. Hinweis – Wenn Sie Filter verwenden und anschließend die Berichte durchgehen, sehen Sie, dass die Einstellung Verfügbare Berichte automatisch geändert wurde. Sie zeigt stets die jeweils aktuelle Berichtsgrundlage an. Standard: Es stehen drei Berichtstypen zur Verfügung; ausführlichere Informationen hierzu finden Sie weiter unten.
  • Seite 578 16.5 Web Security 16 Protokolle & Berichte Abteilungen: Verwenden Sie die Auswahlliste, um die Ergebnisse in der Tabelle auf bestimmte Abteilungen einzugrenzen oder zu erweitern. Auf der Seite Abteilungen können Sie Abteilungen erstellen. Ergebnistabelle Zuletzt gibt es die Ergebnistabelle. Was darin angezeigt wird, hängt erstens vom ausgewählten Berichtstyp (die jeweils aktuelle Einstellung wird in der Liste Verfügbare Berichte angezeigt) und zweitens von gegebenenfalls definierten Filtern ab.

  • Seite 579: Abteilungen

    16 Protokolle & Berichte 16.5 Web Security Suchmaschine ausgewählt ist. Klicken Sie auf Save, um den Filter zu speichern und gleichzeitig auf die Ergebnistabelle anzuwenden. Definition über die Tabelle: Durch Klicken in die Tabelle öffnet sich das Dialogfenster Berichtaufschlüsselung, wenn für den von Ihnen angeklickten Eintrag mehr als ein Berichtstyp zur Verfügung steht.

  • Seite 580: Geplante Berichte

    16.5 Web Security 16 Protokolle & Berichte 1. Klicken Sie auf der Registerkarte Abteilungen auf Abteilung hinzufügen. Das Dialogfenster Neue Abteilung hinzufügen wird geöffnet. 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für diese Abteilung ein. 3.

  • Seite 581: Application Control

    16 Protokolle & Berichte 16.5 Web Security 2. Nehmen Sie die folgenden Einstellungen vor: Name: Geben Sie einen aussagekräftigen Namen für den geplanten Bericht ein. Intervall: Wählen Sie aus der Auswahlliste ein Zeitintervall zum Versenden der Berichte. Berichte: Alle gespeicherten Berichte sind hier aufgeführt. Markieren Sie das Auswahlkästchen vor jedem Bericht, der im ausgewählten Zeitintervall versendet werden soll.

  • Seite 582: Entanonymisierung

    Beachten Sie, dass Sie das Prozentzeichen (%) als Platzhalter verwenden können. Wenn Sie das Prozentzeichen am Ende Ihres Suchbegriffs platzieren, signalisiert das dem Astaro Security Gateway, nach exakten Übereinstimmungen oder Teilübereinstimmungen zu suchen. Beachten Sie, dass das Filterfeld zwischen Groß- und Kleinschreibung unterscheidet. Beispiel: Wenn Sie in das Feld Anwendung den Suchbegriff „Google%“...

  • Seite 583: Mail Security

    16 Protokolle & Berichte 16.6 Mail Security Bild 172 Berichte: Entanonymisierung einzelner Benutzer Hier ist es möglich, die Anonymisierung für bestimmte Benutzer im Hinblick auf Web-Security-Berichte auszusetzen. Gehen Sie folgendermaßen vor: 1. Geben Sie beide Kennwörter ein. Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der Anonymisierung angegeben wurden.

  • Seite 584: Mail-Nutzung

    16.6 Mail Security 16 Protokolle & Berichte Täglich Wöchentlich Monatlich Jährlich Bild 173 Berichte: Diagramm des E-Mail-Verkehrs 16.6.2 Mail-Nutzung Die Registerkarte Mail Security > Mail-Nutzung bietet umfangreiche statistische Informationen zu den am häufigsten genutzten E-Mail-Adressen und Adressdomänen für verschiedene Zeiträume. Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche Update.

  • Seite 585: Blockierte Mails

    16 Protokolle & Berichte 16.6 Mail Security 16.6.3 Blockierte Mails Die Registerkarte Mail Security > Blockierte Mails bietet umfangreiche statistische Informationen zu allen blockierten E-Mail-Anfragen, basierend auf Antivirus und Antispam. Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche Update. Wenn es pro Seite mehr als 20 Ergebnisse gibt, können Sie vorwärts und rückwärts blättern, indem Sie die Schaltflächen für die nächste (>>) bzw.

  • Seite 586: Fernzugriff

    16.7 Fernzugriff 16 Protokolle & Berichte 1. Geben Sie beide Kennwörter ein. Geben Sie das erste und das zweite Kennwort ein, die zur Aktivierung der Anonymisierung angegeben wurden. 2. Nehmen Sie die folgenden Einstellungen vor: Adressen entanonymisieren: Sie können E-Mail-Adressen hinzufügen, die Sie entanonymisieren wollen.

  • Seite 587: Sitzung

    16 Protokolle & Berichte 16.7 Fernzugriff 16.7.2 Sitzung Die Registerkarte Fernzugriff > Sitzung bietet umfangreiche statistische Informationen zu abgeschlossenen Sitzungen, fehlgeschlagenen Anmeldungen und momentanen Benutzern für verschiedene Zeiträume. Bild 176 Berichte: Abgeschlossene Sitzungsverbindungen der letzten 30 Tage Sie können die Tabellendaten filtern. Am schnellsten filtern Sie Daten durch einen Klick in eine Tabellenkopfzelle.

  • Seite 588: Web Application Firewall

    16.8 Web Application Firewall 16 Protokolle & Berichte Sie können die Daten im PDF- oder Excel-Format herunterladen, indem Sie auf die entsprechende Schaltfläche in der rechten oberen Ecke der Registerkarte klicken. Der Bericht wird aus der aktuell gewählten Ansicht generiert. Zusätzlich können Sie ein Kreisdiagramm anzeigen lassen, indem Sie auf das Kreisdiagramm-Symbol –...

  • Seite 589: Details

    16 Protokolle & Berichte 16.9 Gesamtbericht Bild 177 Berichte: Diagramm der monatlichen Aktivitäten der Web Application Firewall 16.8.2 Details Die Registerkarte Web Application Firewall > Details bietet umfangreiche statistische Informationen zu den aktivsten Clients, virtuellen Hosts, Backends, Antwort-Codes und verschiedenen Angriffen über verschiedene Zeiträume. Bestätigen Sie Änderungen immer durch einen Klick auf die Schaltfläche Update.

  • Seite 590: Bericht Anzeigen

    16.9 Gesamtbericht 16 Protokolle & Berichte in grafischer Form die Netzwerknutzung für eine Reihe von Diensten anzeigt. 16.9.1 Bericht anzeigen Auf der Registerkarte Protokolle & Berichte > Gesamtbericht > Bericht anzeigen können Sie einen kompletten Gesamtbericht erstellen, der aus den einzelnen Berichten auf den Registerkarten und Seiten des Menüs Berichte zusammengestellt wird.

  • Seite 591: Protokolleinstellungen

    16 Protokolle & Berichte 16.10 Protokolleinstellungen Bild 178 Berichte: Konfiguration des täglichen Gesamtberichts 16.10 Protokolleinstellungen Im Menü Protokolle & Berichte > Protokolleinstellungen können Sie die Grundeinstellungen für die lokale und die entfernte Protokollierung festlegen. 16.10.1 Lokale Protokollierung Auf der Registerkarte Protokolle & Berichte > Protokolleinstellungen > Lokale Protokollierung werden die Einstellungen für die lokale Protokollierung vorgenommen.

  • Seite 592: Bild 179 Protokollierung: Aktivierung Der Lokalen Protokollierung

    16.10 Protokolleinstellungen 16 Protokolle & Berichte Bild 179 Protokollierung: Aktivierung der lokalen Protokollierung Falls sie deaktiviert wurde, können Sie sie folgendermaßen wieder einschalten: 1. Aktivieren Sie die lokale Protokollierung auf der Registerkarte Lokale Protokollierung. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.

  • Seite 593: Remote-Syslog-Server

    16 Protokolle & Berichte 16.10 Protokolleinstellungen S c h w e l l e n w e r te Hier können Sie Schwellenwerte für die lokale Protokollierung festlegen. Diese Schwellenwerte sind an bestimmte Aktionen gekoppelt, welche ausgeführt werden, wenn ein Schwellenwert erreicht ist. Die folgenden Aktionen sind möglich: Nichts: Es werden keine Aktionen gestartet.

  • Seite 594: Bild 180 Protokollierung: Konfiguration Eines Remote-Syslog-Servers

    16.10 Protokolleinstellungen 16 Protokolle & Berichte Bild 180 Protokollierung: Konfiguration eines Remote-Syslog-Servers Um einen Remote-Syslog-Server zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie Remote-Syslog auf der Registerkarte Remote-Syslog- Server. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.

  • Seite 595: Ausgelagerte Protokollarchive

    16 Protokolle & Berichte 16.10 Protokolleinstellungen Server: Wählen Sie den Host oder fügen Sie einen Host hinzu, der die Protokolldaten vom Gateway entgegen nehmen soll. Warnung – Wählen Sie keine Netzwerkschnittstelle des Gatewaysaus, um sie als Remote-Syslog-Host zu verwenden – das würde zu einer Protokollierungsschleife führen.

  • Seite 596: Bild 181 Protokollierung: Konfiguration Der Ausgelagerten Protokollierung

    16.10 Protokolleinstellungen 16 Protokolle & Berichte Bild 181 Protokollierung: Konfiguration der ausgelagerten Protokollierung Um ein ausgelagertes Protokollarchiv zu konfigurieren, gehen Sie folgendermaßen vor: 1. Aktivieren Sie die Funktion Ausgelagerte Protokollarchive. Sie können entweder auf die Statusampel klicken oder auf die Schaltfläche Enable.
  • Seite 597 SCP-Servers hinzugefügt werden. Auf einem Linux-System können Sie den SSH-DSA-Schlüssel einfach über die Zwischenablage in die Datei ~/.ssh/authorized_keys des dafür konfigurierten Benutzerkontos kopieren. Während der Installation erzeugt Astaro Security Gateway einen neuen SSH-DSA-Schlüssel. Aus Sicherheitsgründen ist dieser SSH-DSA-Schlüssel nicht in den Backups enthalten. Nach einer Neuinstallation oder der Installation eines Backups müssen Sie daher...

  • Seite 598: Berichteinstellungen

    16.11 Berichteinstellungen 16 Protokolle & Berichte Für die SCP-Methode müssen die folgenden Einstellungen vorgenommen werden: Host: Wählen Sie die Hostdefinition für den SCP-Server aus. Benutzername: Geben Sie den Benutzernamen für das SCP- Serverkonto ein. Pfad: Geben Sie den vollständigen Pfad ein, in dem die Protokolldateien gespeichert werden sollen.
  • Seite 599 16 Protokolle & Berichte 16.11 Berichteinstellungen Accounting (Netzwerkstatistik) Application Control Authentifizierung Mail Security Firewall Remote Access (Fernzugriff) Web Application Firewall Web Security Verwenden Sie die Auswahlkästchen auf der linken Seite, um die Berichtsfunktion für einen bestimmten Themenbereich ein- oder auszuschalten. Standardmäßig ist die Berichtsfunktion für alle Themenbereiche eingeschaltet.

  • Seite 600: Ausnahmen

    16.11 Berichteinstellungen 16 Protokolle & Berichte werden angezeigt, wenn sie erzwungen sind, z. B. example.co.uk. Komplette Domäne: Die Berichte zeigen die komplette Domäne an, z. B. www.beispiel.de oder shop.example.com 1 URL-Ebene: Die Berichte zeigen zusätzlich das erste (virtuelle) Verzeichnis einer URL an, z. B. www.beispiel.de/de/. 2 URL-Ebenen: Die Berichte zeigen zusätzlich die ersten beiden (virtuellen) Verzeichnisse einer URL an, z.

  • Seite 601: Anonymisierung

    16 Protokolle & Berichte 16.11 Berichteinstellungen Network Security: IP-Adressen Definieren Sie die Ausnahmen im jeweiligen Feld und klicken Sie auf Übernehmen. Beachten Sie die Import-Funktion, mit der Sie mehrere Einträge auf einmal definieren können. 16.11.3 Anonymisierung Die Registerkarte Berichteinstellungen > Anonymisierung ermöglicht Ihnen, Daten –...
  • Seite 602 16.11 Berichteinstellungen 16 Protokolle & Berichte Das Vier-Augen-Prinzip ist nur gewährleistet, wenn zwei verschiedene Personen ein Kennwort eingeben, das der jeweils anderen Person unbekannt ist. 3. Klicken Sie auf Übernehmen. Ihre Einstellungen werden gespeichert. Um Anonymisierung (global) wieder zu deaktivieren, sind beide Kennwörter erforderlich.

  • Seite 603: Support

    17 Support Dieses Kapitel beschreibt die Support-Tools (dt. Werkzeuge), die Astaro Security Gateway zur Verfügung stellt. Die Seiten des Menüs Support enthalten viele Funktionen, die den Benutzer unterstützen, von Weblinks über Kontaktinformationen bis hin zu nützlichen Netzwerk-Tools zur Bestimmung wichtiger Netzwerkeigenschaften, ohne dass auf die Kommandozeilen-Schnittstelle des Gatewayzugegriffen werden muss.

  • Seite 604: Handbuch

    PDF-Format heruntergeladen werden. Wählen Sie die Sprache aus und klicken Sie auf die Schaltfläche Herunterladen. Um die Datei zu öffnen, benötigen Sie ein spezielles Programm wie Adobe Reader oder Xpdf. Bild 183 Support: Herunterladen des Administrationshandbuchs von Astaro Security Gateway Hinweis –Um Problemen beim Herunterladen von Dateien mit dem Internet Explorer 6 vorzubeugen, fügen Sie die URL des Gateways (z. B.

  • Seite 605: Support Kontaktieren

    Art des Kontakts zum Support und der zugesicherten Reaktionszeit durch die Astaro Service-Abteilung und/oder Astaro- zertifizierte Partner. Alle Supportfälle, die Astaro Security Gateway betreffen, werden über das Astaro Partner Portal abgewickelt. Sie können über das Webformular einen Supportfall öffnen, indem Sie auf die Schaltfläche Open Support Case klicken.

  • Seite 606: Bild 184 Support: Test Der Erreichbarkeit Eines Hosts Mittels Ping

    17.4 Tools 17 Support funktioniert so, dass es ICMP-Echo-Anfrage-Pakete an den Zielhost schickt und auf Antworten in Form von ICMP-Echo-Antwort-Paketen lauscht. Aus Zeitintervallen und Antworthäufigkeiten schätzt Ping die Dauer des Paketumlaufs und die Paketverlustrate zwischen den Hosts. Bild 184 Support: Test der Erreichbarkeit eines Hosts mittels Ping Um eine Ping-Prüfung durchzuführen, gehen Sie folgendermaßen vor: 1.

  • Seite 607: Traceroute

    17 Support 17.4 Tools 17.4.2 Traceroute Das Programm Traceroute ist ein Computer-Netzwerkwerkzeug zur Bestimmung der Route, die von Paketen in einem IP-Netzwerk genommen werden. Es listet die IP-Adressen der Router auf, über die das versendete Paket transportiert wurde. Sollte der Pfad der Datenpakete kurzfristig nicht bestimmbar sein, wird ein Stern (*) an Stelle der IP-Adresse angezeigt.

  • Seite 608: Dns-Lookup

    17.4 Tools 17 Support 1. Geben Sie den Hostnamen oder die IP-Adresse ein. Geben Sie den Hostnamen oder die IP-Adresse eines Hosts ein, dessen Route Sie bestimmen wollen. 2. Hop-Adressen (Abschnitte) numerisch statt symbolisch und numerisch ausgeben (optional). Wenn Sie diese Option wählen, wird für jedes Gateway im Pfad eine Adresse- zu-Name-Auflösung durch einen Namensserver durchgeführt und gespeichert.

  • Seite 609: Erweitert

    17 Support 17.5 Erweitert Bild 186 Support: Nachschlagen eines DNS-Eintrags mit Hilfe von dig Um ein DNS-Lookup durchzuführen, gehen Sie folgendermaßen vor: 1. Geben Sie den Hostnamen oder die IP-Adresse ein. Geben Sie den Hostnamen oder die IP-Adresse eines Hosts ein, für den Sie DNS-Informationen erhalten wollen.

  • Seite 610: Prozessliste

    Schnittstellen und deren Eigenschaften angezeigt. 17.5.5 Konfigurations-Abbild Für die Fehlersuche und für Wiederherstellungszwecke ist es nützlich, so viele Informationen wie möglich über Ihre Installation von Astaro Security Gateway zusammenzutragen. Auf der Registerkarte Support > Erweitert > Konfigurations- ASG V8 Administrationshandbuch...

  • Seite 611: Protokollimport

    Sicherheitseinstellungen die Funktion Automatische Eingabeaufforderung für Dateidownloads. 17.5.6 Protokollimport Nach der Aktualisierung der Astaro Security Gateway auf Version 8.2 oder eine neuere Version sind ältere Web-Security-Berichte aufgrund einer neuen Datenbankstruktur nicht automatisch verfügbar. Jedoch können Sie die Web- Security-Berichte aus Protokolldateien, die aus der Zeit vor Version 8.2 stammen, vom System neu generieren lassen.

  • Seite 612: Ref_ Auflösen

    17.5 Erweitert 17 Support Das Auswählen von Protokollen, die bereits Teil Ihrer aktuellen Berichte sind, verzögert den Importvorgang nicht, weil die Astaro Security Gateway redundante Protokolle ignoriert. 2. Klicken Sie auf Übernehmen. Die Protokolle werden nicht sofort importiert, da dieser Vorgang eine lange Zeit in Anspruch nehmen kann und zusätzliche Systemlast verursacht.

  • Seite 613: Log Off

    18 Log Off Sie können sich von WebAdmin durch einen Klick auf den Menüpunkt Log Off abmelden. Wenn Sie sich nicht richtig von WebAdmin abmelden oder der Browser mit einer offenen Sitzung geschlossen wird, kann es passieren, dass Sie sich für die folgenden 30 Sekunden nicht anmelden können.
  • Seite 615 Advanced Configuration and Power Interface ACPI ist ein offener Industriestandard und stellt Schnittstellen zur Hardwareerkennung, Gerätekonfiguration und zum Energiemanagement von Computern zur Verfügung. Advanced Programmable Interrupt Controller APIC ist eine Architektur für die Verteilung von Interrupts in Multiprozessor-Computersystemen. Advanced Encryption Standard Astaro Flow Classifier...
  • Seite 616 ASCII American Standard Code for Information Interchange Astaro Security Gateway Astaro Command Center Software für die Überwachung und Verwaltung von mehreren Astaro Gateway-Produkten über eine einzige Software-Oberfläche. Astaro Security Gateway Software für Unified Threat Management, die Mail- und Internetsicherheit umfasst.
  • Seite 617 Glossar Autonomes System Ein AS ist ein IP-Netz, welches als Einheit verwaltet wird und ein gemeinsames (oder auch mehrere) interne Routing-Protokolle verwendet. Astaro Web Gateway Amazon Web Services BATV Bounce Address Tag Validation Border Gateway Protocol Bounce Address Tag Validation BATV ist der Name einer Methode zur Bestimmung, ob die Antwort- Adresse einer E-Mail gültig ist.
  • Seite 618 Glossar Certificate Authority (Zertifizierungsstelle) Eine CA (dt. Zertifizierungsstelle) ist eine Entität oder Organisation, die digitale Zertifikate herausgibt. CHAP Challenge Handshake Authentication Protocol Cipher Block Chaining In der Kryptografie bezeichnet CBC eine Betriebsart, in der Blockchiffrierungsalgorithmen arbeiten. Vor dem Verschlüsseln eines Klartextblocks wird dieser erst mit dem im letzten Schritt erzeugten Geheimtextblock per XOR (exklusives Oder) verknüpft.
  • Seite 619 Glossar Distinguished Encoding Rules Destination Network Address Translation DNAT ist ein spezieller Fall von NAT (Network Address Translation), bei dem die Zieladressinformationen in Datenpaketen durch andere ersetzt werden. DHCP Dynamic Host Configuration Protocol Digital Signature Algorithm DSA ist ein Standard der US-Regierung für digitale Signaturen. Digital Subscriber Line DSL ist eine Technologie zur digitalen Datenübertragung über herkömmliche Telefonleitungen.
  • Seite 620 Glossar Domain Name Service Domain of Interpretation Domain Name Service DNS ist ein hierarchisches System von Namen im Internet und dient zur Auflösung dieser Namen in IP-Adressen. Denial of Service Digital Signature Algorithm DSCP Differentiated Services Code Point Digital Subscriber Line DUID DHCP Unique Identifier Dynamic Host Configuration Protocol...
  • Seite 621 Glossar ablehnen oder markieren, die von einer Gegenstelle stammen, die auf einer oder mehreren schwarzen Listen geführt ist. Encapsulating Security Payload ESP ist ein IPsec-Protokoll, das für die Authentifizierung, Integrität und Vertraulichkeit von IP-Paketen sorgt. Encapsulating Security Payload File Allocation Table File Transfer Protocol FTP ist ein Netzwerkprotokoll zur Dateiübertragung über TCP/IP- Netzwerke.
  • Seite 622 Glossar Gerätebaum Befindet sich unterhalb des Hauptmenüs und bietet Zugriff auf alle Astaro Gateway-Geräte, die mit dem ACC verbunden sind. Geteilter Schlüssel Ein geteilter Schlüssel (shared secret) ist ein Kennwort, das von zwei Gegenstellen zur sicheren Kommunikation geteilt wird. Generic Routing Encapsulation H.323...
  • Seite 623 Glossar HTTP Hypertext Transfer Protocol HTTP/S Hypertext Transfer Protocol Secure HTTPS Hypertext Transfer Protocol Secure Hypertext Transfer Protocol HTTP ist ein Protokoll für die Übermittlung von Informationen im Internet. Hypertext Transfer Protocol over Secure Socket Layer HTTPS ermöglicht eine sicherere HTTP-Kommunikation. IANA Internet Assigned Numbers Authority ICMP...
  • Seite 624 Glossar Internet Explorer Internet Explorer Version 7 Internet Key Exchange Instant Messaging (Sofortnachrichten) Internet Control Message Protocol ICMP ist ein Teil der Internetprotokollfamilie und dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen. Internet Protocol IP ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und bildet die erste vom Übertragungsmedium unabhängige Schicht der Internetprotokollfamilie.
  • Seite 625 Glossar erlaubt. Intrusion Prevention System (Angriffschutzsystem) IPsec Internet Protocol Security Internet Relay Chat Internetdienstanbieter L2TP Layer 2 Tunneling Protocol Link Aggregation Group (Linkbündelungsgruppe) Local Area Network LDAP Lightweight Directory Access Protocol Link State Advertisement LSA ist ein elementares Kommunikationsprinzip innerhalb des OSPF Routing-Protokolls.
  • Seite 626 Glossar Media Access Control MAC-Adresse Eine MAC-Adresse (Media Access Control) ist die Hardware-Adresse jedes einzelnen Netzwerkadapters, die zur eindeutigen Identifikation des Geräts im Netzwerk dient. Managed Security Service Provider MSSPs bieten Sicherheitsdienste für Firmen an. Management Information Base Eine MIB ist eine Informationsstruktur zum Verwalten von Netzwerkgeräten (z. B.
  • Seite 627 Glossar MPPE Microsoft Point-to-Point Encryption MSCHAP Microsoft Challenge Handshake Authentication Protocol MSCHAPv2 Microsoft Challenge Handshake Authentication Protocol Version 2 MSSP Managed Security Service Provider Maximum Tansmission Unit Multipurpose Internet Mail Extensions MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E- Mails und anderer Internetnachrichten festlegt.
  • Seite 628 Glossar Network Address Translation System zur Wiederverwendung von IP-Adressen. Network Time Protocol NTP ist ein Protokoll für die Zeitsynchronisation von Computern in einem Netzwerk. Network Interface Card (Netzwerkkarte) Not-So-Stubby-Area Eine NSSA ist ein Bereichstyp (area type) im Routingprotokoll OSPF. NSSA Not-So-Stubby-Area NTLM NT LAN Manager (Microsoft Windows)
  • Seite 629 Glossar OSPF Open Shortest Path First Organisational Unit Proxy Auto Configuration (Automatische Proxy-Konfiguration) Password Authentication Protocol Peripheral Component Interconnect Privacy Enhanced Mail Pretty Good Privacy PKCS Public Key Cryptography Standards Public Key Infrastructure PMTU Path Maximum Transmission Unit POP3 Post Office Protocol Version 3 ASG V8 Administrationshandbuch...
  • Seite 630 Glossar Port Ports sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden, um Datenpakete den richtigen Diensten (Protokollen) zuzuordnen. Genauer gesagt, dient ein Port als zusätzliche Identifikation – bei TCP und UDP ist es eine Zahl zwischen 0 und 65535 – die es einem Computer ermöglicht, zwischen mehreren verschiedenen gleichzeitigen Verbindungen zwischen zwei Computern zu unterscheiden.
  • Seite 631 Glossar Prozessor Hauptprozessor Preshared Key (Vorvereinbarter Schlüssel) Quality of Service (Dienstqualität) RADIUS Remote Authentication Dial In User Service RAID Redundant Array of Independent Disks Random Access Memory Remote Access Server Realtime Blackhole List (Echtzeit-Blackhole-Liste) Relative Distinguished Name RDNS Reverse Domain Name Service Random Early Detection ASG V8 Administrationshandbuch...
  • Seite 632 Glossar Redundant Array of Independent Disks Ein RAID-System dient zur Organisation mehrerer physikalischer Festplatten eines Computers zu einem logischen Laufwerk. Remote Authentication Dial In User Service RADIUS ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.
  • Seite 633 Glossar SCSI Small Computer System Interface Secure Shell SSH ist ein Protokoll bzw. Implementierung dieses Protokolls, mit dem sich eine verschlüsselte Netzwerkverbindung zu einem entfernten Computer aufbauen lässt. Secure Sockets Layer SSL und sein Nachfolger Transport Layer Security (TLS) sind Verschlüsselungsprotokolle für die sichere Datenübertragung im Internet.
  • Seite 634 Glossar Simple Mail Transfer Protocol SMTP ist ein Protokoll der Internetprotokollfamilie, das zum Austausch von E-Mails in Computernetzen dient. Single Sign-On SSO bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Hosts und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen.
  • Seite 635 Glossar Source Network Address Translation SNAT ist ein Spezialfall von Network Address Translation (NAT), bei dem die Quell-IP-Adresse ersetzt wird. Sender Policy Framework Security Parameter Index Secure Shell SSID Service Set Identifier Secure Sockets Layer Single Sign-On Subnetzmaske Die Subnetzmaske (auch Netzwerkmaske oder Netzmaske genannt) eines Netzwerks legt fest, welche Adressen Teil des lokalen Netzwerks sind und welche nicht.
  • Seite 636 Glossar TACACS Terminal Access Controller Access Control System Transmission Control Protocol TFTP Trivial File Transfer Protocol Time-to-live TTL ist der Name eines 8-Bit-langen Header-Felds des Internetprotokolls (IP) und gibt an, wie lange ein Paket auf dem Weg vom Ziel zum Sender unterwegs sein darf, bevor es verworfen wird, und soll verhindern, dass unzustellbare Pakete unendlich lange weitergeroutet werden.
  • Seite 637 Unterbrechungsfreie Stromversorgung Ein Gerät zur unterbrechungsfreien Stromversorgung (USV) wird eingesetzt, um bei Störungen der Stromversorgung einen durchgehenden Betrieb zu ermöglichen. Up2Date Ein Dienst, der es erlaubt, relevante Aktualisierungspakete vom Astaro- Server herunterzuladen. Uniform Resource Locator Universal Serial Bus User Datagram Protocol UDP ist ein Protokoll für den verbindungslosen Datenaustausch, das...
  • Seite 638 Glossar VDSL Very High Speed Digital Subscriber Line Virtuelles Privates Netzwerk Ein VPN (Virtual Private Network) ist eine verschlüsselte Verbindung zwischen zwei Standorten, die zum Transport privater Daten ein öffentliches Netz wie das Internet nutzt. VLAN Virtual LAN Voice over IP Mit VoIP wird sprachbasierte Kommunikation (Telefonieren) über Computernetzwerke geroutet.
  • Seite 639 Glossar WebAdmin Webbasierte grafische Benutzeroberfläche von Astaro-Produkten wie ACC, ASG, AWG und AMG. Wired Equivalent Privacy Windows Internet Naming Service WINS ist ein von Microsoft entwickeltes System zur dynamischen Auflösung von NetBIOS-Namen. WINS Windows Internet Naming Service Wi-Fi Protected Access X.509...
  • Seite 641 Bild 25 Anpassungen: HTTP-Statusmeldung Schritt 3 von 3 Bild 26 Anpassungen: Blockierte POP3-Proxy-Nachricht Bild 27 SNMP: Konfiguration von SNMP-Anfragen Bild 28 Zentrale Verwaltung: Dashboard von Astaro Command Center Bild 29 Zentrale Verwaltung: Verwendung eines ACC-V2-Servers Bild 30 Hochverfügbarkeit: Statusseite Bild 31 Hochverfügbarkeit: Ressourcennutzung der einzelnen HA- oder...
  • Seite 642 Bild 34 Definitionen: Liste der Dienstdefinitionen Bild 35 Definitionen: Liste der Zeitraumdefinitionen Bild 36 Benutzer: Benutzerliste Bild 37 Gruppen: Gruppenliste Bild 38 Gruppen: eDirectory-Browser von Astaro Security Gateway Bild 39 Authentifizierung: Konfiguration von eDirectory Bild 40 Authentifizierung: Konfiguration der Active-Directory- Benutzerauthentifizierung...
  • Seite 643 Abbildungsverzeichnis Bild 66 DHCP: IPv6-Lease-Tabelle Bild 67 Firewall: Regelwerk Bild 68 Firewall: Live-Protokoll Bild 69 NAT: Maskierungsregeln Bild 70 NAT: Liste der DNAT-/SNAT-Regeln Bild 71 Angriffschutz: Aktivierung des Angriffschutzsystems Bild 72 Angriffschutz: Angriffsmuster Bild 73 Angriffschutz: Konfiguration des Portscan-Schutzes Bild 74 Angriffschutz: Ausnahmenliste Bild 75 Server-Lastverteilung: Liste der Verteilungsregeln Bild 76 VoIP SIP: Aktivieren von VoIP SIP Bild 77 VoIP H.323: Aktivieren von VoIP H.323...
  • Seite 644 Bild 105 POP3-Proxy: Konfiguration der Antiviren-Einstellungen Bild 106 POP3-Proxy: Konfiguration der Antispam-Einstellungen Bild 107 POP3-Proxy: Ausnahmenliste Bild 108 POP3-Proxy: Erweiterte Einstellungen Bild 109 E-Mail-Verschlüsselung: Mit zwei Astaro Security Gateways Bild 110 E-Mail-Verschlüsselung: Aktivierung Bild 111 E-Mail-Verschlüsselung: Optionen Bild 112 E-Mail-Verschlüsselung: Liste der internen Benutzer Bild 113 E-Mail-Verschlüsselung: Liste der S/MIME-CAs...
  • Seite 645 Abbildungsverzeichnis Bild 137 Site-to-Site SSL-VPN: Konfiguration der Client-Verbindung Bild 138 Site-to-Site SSL-VPN: Einstellungen Bild 139 Site-to-Site SSL-VPN: Erweiterte Einstellungen Bild 140 Zertifikatverwaltung: Zertifikatliste Bild 141 Zertifikatverwaltung: Liste der Zertifizierungsstellen Bild 142 Zertifikatverwaltung: Liste der Sperrlisten (CRLs) Bild 143 Zertifikatverwaltung: Erweiterte Einstellungen Bild 144 Benutzerportal: Installationsdateien für den Fernzugriff Bild 145 Fernzugriff -SSL: Aktivierung des SSL-Fernzugriffs Bild 146 Fernzugriff-SSL: Einstellungen...
  • Seite 646 Bild 180 Protokollierung: Konfiguration eines Remote-Syslog-Servers Bild 181 Protokollierung: Konfiguration der ausgelagerten Protokollierung Bild 182 Berichte: Aktivierung der Anonymisierung von Benutzerdaten Bild 183 Support: Herunterladen des Administrationshandbuchs von Astaro Security Gateway Bild 184 Support: Test der Erreichbarkeit eines Hosts mittels Ping...

Inhaltsverzeichnis