SOPHIAProtector.
Contents
1. Falls in diesem Dialogfeld keine IP Adresse des Standardgateway angegeben ist z B weil IP Adresse automatisch beziehen aktiviert ist dann geben Sie eine IP Adressen manuell ein Dazu aktivieren S e zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 DO Auf keinen Fall dem Konfigura Subnetzmaske 255 255 255 0 tions Rechner eine Adresse wie Standardgateway 192 168 1 1 1 1 1 2 geben Auf DOS Ebene Men Start Alle Programme Zubeh r Eingabeauffor derung geben Sie ein arp s lt IP des Standardgateway gt aa aa aa aa aa aa Beispiel S e haben als Standardgateway Adresse ermittelt oder festgelegt 192 168 1 1 Dann lautet der Befehl arp s 192 168 1 1 aa aa aa aa aa aa Zur Konfiguration stellen Sie jetzt die Konfigurationsverbindung her siehe Lokale Konfigurationsverbindung herstellen auf Seite 13 Nach der Konfiguration stellen Sie das Standardgateway wieder zur ck Dazu entweder den Konfigurations Rechner neu starten oder auf DOS Ebene folgendes Kommando eingeben arp d DO Je nach dem wie Sie den Protector konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen Konfiguration 5 2 Lokale Konfigurationsverbindung herstellen Web basierte Administrator oberfl che IP Adresse des Protec tor im Stealth Modus https 1 1 1 12. 248 240 224 192 128 OO OO OO OO O OO OO OO OO O OO OO OO OO O 255 254 252 248 240 224 192 128 OO OO OO OO O bin r 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 0
3. Read request for file lt install p s gt Mode octet 26 11 09 41 19 774 lt Install pz sent 4 blkz 2048 bytes in 1 2 0 blk resent 26711 09 41 20 786 Connection received from 192 168 170 200 on port 1024 26 11 09 43 17 053 Read request for file lt jffs2 img ps gt Mode octet 26 11 09 43 17 053 jfifs2 img orfs sent 14614 blks 7482368 bytes in 17 3 O blk resent 26 17 09 43 28 008 Curent Acton lt iffs2 ima p7s gt sent 14614 bk 7462368 bytes in 11 es O blk resent 4 Wechseln Sie auf die Registerkarte Tftp Server bzw DHCP Server und klik ken Sie dann die Schaltfl che Settings um m dann angezeigten Dialogfeld die Parameter wie folgt zu setzen Tftpd32 by Ph Jounin Teles Curent Directory Em Browse Server interface 1132 168 101 Show Dir Tftp Server DACP server IF pool starting address f g2 168 10 200 Size of pool 30 lt gt Tftpd32 Settings x Base Directory Em Browse Global Settings Syslog server e TFTP Server Syslog Server IT TETP Client M DHCP Server T Save syslog message File Pe TFTP Security M TFTF configuration 5 None Boot File 3 Standard en se WINS DNS Sewer a000 i las Retransmit j e E High a Default router 0 0 0 0 C Read Only Mask 255 255 255 0 r dvanced TFTP Options Domain Name Jh Option negotiation Hide SE S startup About Settings Help M Show Progress bar 1 Create dr txt files rer lon
4. im Router oder PPPoE Modus https 192 168 1 1 BO Falls Sie die konfigu rierte Adresse verges sen haben Der Protector wird per Web Browser konfiguriert der auf dem Konfigurations Rechner ausgef hrt wird z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 DO Der Web Browser muss SSL d h https unterst tzen Je nach dem in welchem Netzwerk Modus Betriebsart der Protector sich be findet ist er gem Werkseinstellung unter einer der folgenden Adressen er reichbar Werkseinstellung Stealth Modus Auslieferungszustand https 1 1 1 1 Router PPPoE PPPT Modus https 192 168 1 1 Gehen Sie wie folgt vor 1 Starten Sie einen Web Browser Z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 der Web Browser muss SSL d h https unterst tzen 2 Achten Sie darauf dass der Browser beim Starten nicht automatisch eine Verbindung w hlt weil sonst sonst die Verbindungsaufnahme zum Protector erschwert werden k nnte Im MS Internet Explorer nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter DF und VPN Einstellungen muss Keine Verbindung w hlen akti viert sein 3 In der Adresszeile des Web Browsers geben Sie die Adresse des Protector vollst ndig ein Im Stealth Modus Werkseinstellung lautet diese fest https 1 1 1 1 Sollte das Ger t schon einmal konf
5. Redirection f r POP3 Verbindungen auf den POP3 Proxy angelegt gt Wird der Virenfilter w hrend einer aktiven Verbindung aktiviert oder deakti viert so gilt die alte Einstellung bis das laufende Protokoll dieser Verbindung 39 von 90 Konfiguration beendet ist BDO Tip Bei einer POP3 Verbindung werden durch die meisten E Mail Clients alle E Mails ber eine Verbindung abgerufen so da die neue Einstellung erst gilt wenn die letzte Mail der aktuellen Verbindung von diesem Server abge rufen wurde Um also w hrend eines laufenden E Mail Transfers Einstellun gen zu ver ndern sollte der Transfer zun chst abgebrochen werden scannen bis zur Gr sse von default 1MB Hier geben Sie die Maximalg6Be in MBytes der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreiten der Gr enbegrenzung eine Fehlermeldung an den E Mail Client gesendet und die E Mail nicht empfangen oder automatisch in den Durchla modus geschaltet Wenn die Speicherkapazitat des Protector nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag m Antivirus Log vorgenommen In diesem Fall haben S e folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den bet
6. beenden Das POP3 Protokoll wird von Ihrem E Mail Client zum Empfang von E Mails genutzt Konfiguration des E Mail Clients Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten Sie Verschl sselungsoptionen wie STLS oder SSL nicht aktivieren Die verschl sselte Authentifizierung mittels AUTH ist dagegen nutzbar da die el gentliche bertragung der E Mail unverschl sselt erfolgt Konfiguration GJ I CIA PROTECTOR AA Antivirus gt POP3 Einstellungen Filter Antiviru Anti Virus Schutz f r POP3 E Mail Nein v Abholung SMTP Einstellungen z x gt POP3 Einstellungen scannen bis zur Gr sse von default 1MB sp v HTTP Einstellungen SS e 3 Datenbank Update bei Virusdetektion Fehlermeldung an den E Mail Client v Lizenzstatus 7 7 SE Lizenzanforderung bei berschreiten der Gr ssenbegrenzung E Mail blockieren v Installiere Lizenz Antivirus Logs Liste der POP3 Server Dienste 0 0 0 0124 E Scannen nv Zugang Neu aS So 0 Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r POP3 muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Neustart gt Abmelden u wu Powered by 3 ANTI VIRUS Anti Virus Schutz f r POP3 E Mail Abholung Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port
7. chung erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten e Von IP 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise s ehe CIDR Classless InterDomain Routing auf Seite 77 73 von 90 Konfiguration Interface extern fest vorgegeben Aktion M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen LE oder nicht Log auf Nein setzen werksseitige Voreinstellung 5 11 Men System System gt Konfigurations Konfiguration ww 1 11m profile PROTECTOR AO system gt Konfigurations Profile AGGIE me OOO OO Dienste Werkseinstellung Wiederherstellen 3 8 R Zugang O4 Name des neuen Profils Speichere aktuelle Konfiguration als Profil Konfigurations Profile z x Ki Hochladen einer Konfiguration als Profil Logs Neustart Abmelden
8. ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich Konfiguration Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen LE oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Filter gt Ausgehend Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden Konfiguration kb ll E IIA PROTECTOR AA Filter gt Ausgehend Netzwerk Eingehen NN E E EE EAR Ausgehend 7 Port Weiterleitung Ale v j0 0 0 00 0 0 0 00 Annehmen Nein v L schen NAT EE Log Eintr ge f r unbekannte Verbindungsversuche Nein Y Logs Antivirus Diese Regeln geben an welcher Verke AH r von innen nach au en passieren darf Bitte beachten Sie deen ngaben werden mo TCP und UDP ausgewertet Dienste Neustart Abmelden Listet die eingerichteten Firewall Regeln auf Sie gelten fiir ausgehende Daten verbindungen die von intern initiiert wurden um mit einer entfernten Gegenstel le zu kommunizieren Per Werkseinstellung ist eine Regel gesetzt die alle ausg
9. digtes oder fehlerhaftes Update der Virensignaturdatel Voraussetzungen f r eine VPN Verbindung Generelle Voraussetzung f r eine VPN Verbindung ist dass die IP Adressen der VPN Partner bekannt und zug nglich sind S ehe dazu DynDNS Service auf Seite 7 e Damit eine IPsec Verbindung erfolgreich aufgebaut werden kann muss die VPN Gegenstelle IPsec mit folgender Konfiguration unterst tzen Authentifizierung ber Pre Shared Key PSK oder X 509 Zertifikate ESP Diffie Hellman Gruppe 2 oder 5 DES 3DES oder AES encryption MD5 oder SHA 1 Hash Algorithmen Tunnel oder Transport Modus Quick Mode Main Mode SA Lifetime 1 Sekunde bis 24 Stunden Ist die Gegenstelle ein Rechner unter Windows 2000 muss dazu das Micro soft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein e Befindet sich die Gegenstelle hinter einem NAT Router so muss die Gegen stelle NAT T unterst tzen Oder aber der NAT Router muss das IPsec Proto koll kennen IPsec VPN Passthrough In beiden F llen sind aus technischen Gr nden nur IPsec Tunnel Verbindungen m glich Konfiguration V TA TI E Erm PROTECTOR DESI VPN gt Verbindungen Netzwerk Anke ET tee Verbindungen a Editi L sch Maschinen Zertifikat saal iS to_central J L2TP IPsec Status L2TP Status VPN Logs Dienste Zugang Neustart Abmelden Listet die eingerichteten VPN Verbindungen auf L
10. ll zum lokalen Rechner der beim DynamicDNS Anbieter registriert ist benutzt der entfernte Rechner den Hostnamen des lokalen Rechners als Adresse Dadurch wird eine Verbindung hergestellt zum zust ndigen DNS Domain Name Server um dort die IP Adresse nachzuschlagen die diesem Hostnamen zurzeit zugeordnet ist Die IP Adresse wird zur ck bertragen zum entfernten Rechner und jetzt von diesem als Zieladresse benutzt Diese f hrt jetzt genau zum gew nschten loka len Rechner Allen Internetadressen liegt im Grunde dieses Verfahren zu Grunde Zun chst wird eine Verbindung zum DNS hergestellt um die diesem Hostnamen zuge teilte IP Adresse zu ermitteln Ist das geschehen wird mit dieser nachgeschla genen IP Adresse die Verbindung zur gew nschten Gegenstelle eine beliebige Internetpr senz aufgebaut 85 von 90 Glossar IP Adresse 86 von 90 Jeder Host oder Router im Internet Intranet hat eine eindeutige IP Adresse IP Internet Protocol Die IP Adresse ist 32 Bit 4 Byte lang und wird geschrieben als 4 Zahlen jeweils im Bereich O bis 255 die durch einen Punkt voneinander getrennt sind Eine IP Adresse besteht aus 2 Teilen die Netzwerk Adresse und die Host Adresse Netzwerk Adresse Host Adresse Alle Hosts eines Netzes haben dieselbe Netzwerk Adresse aber unterschiedliche Host Adressen Je nach Gr e des jeweiligen Netzes man unterscheidet Netze der Kategorie Class A B und C sind die beiden Adress
11. r SMTP Verbindungen auf den SMTP Proxy angelegt DO Wird der Virenfilter w hrend einer aktiven Verbindung aktiviert oder deakti viert so gilt die alte Einstellung bis das laufende Protokoll dieser Verbindung beendet ist scannen bis zur Gr sse von default 1MB Hier geben Sie die Max malg e in MBytes der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreitung der Gr ssenbegrenzung eine Fehlermeldung an den E Mail Client zur ckgegeben und die E Mail nicht gesendet oder automa tisch in den Durchla modus geschaltet Wenn die Speicherkapazitat des Protector nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben S e folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen DurchlaBmodus akt vieren Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein kann 37 von 90 Konfiguration bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters
12. r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist fiir die in dieser Regel angegebenen Server deaktiviert Eine Deaktivierung des Virenfilters erfolgt erst nachdem die laufende Ver bindung beendet wurde Deshalb sollten Sie nach einer Ver nderung der Ein stellungen des Virenfilters alle Browser Fenster schlie en 44 von 90 Konfiguration Antivirus gt Daten Die Virensignaturdateien k nnen durch einen einstellbaren Update Server in ei bank Update nem nutzerdefinierten Intervall aktualisiert werden Das Update geschieht paral lel zur Nutzung des Antivirenfilters Im Auslieferungszustand befinden s ch keine Virensignaturen auf dem Protector Deshalb sollte nach dem Aktivieren des Antiviren Schutzes mit der entsprechenden Lizenz auch das Update Intervall eingestellt werden Der Verlauf des Updates kann im Antivirus Log verfolgt werden Konfiguration ww H 11m PROTECTOR DEES Antivirus gt Datenbank Update Filter OO Update Intervall Me I v SMTP Einstellungen AVP Update Server POP3 Einstellungen HTTP Einstelungen GER Hp wi dowenloads1 kaspersky labs com bases av awc anonymous anonymous Lizenzanforderung Installlere Lizenz Antivirus Logs ES Dienste S Zugang System sor ANTIVIRUS Neustart Abmelden Update Intervall Mit d
13. sselung TCP IP Transmission Control Protocol Internet Protocol VPN Virtuelles Pri vates Netzwerk Glossar In der Internet Terminologie bedeutet Spoofing die Angabe einer falschen Adresse Durch die falsche Internet Adresse t uscht jemand vor ein autorisierter Benutzer zu sein Unter Anti Spoofing versteht man Mechanismen die Spoofing entdecken oder verhindern Bei der symmetrischen Verschl sselung werden Daten mit dem gleichen Schl s sel ver und entschl sselt Beispiele f r symmetrische Verschl sselungsalgorith men s nd DES und AES S e sind schnell jedoch bei steigender Nutzerzahl nur aufwendig administrierbar Netzwerkprotokolle die f r die Verbindung zweier Rechner m Internet verwen det werden IP ist das Basisprotokoll UDP baut auf IP auf und verschickt einzelne Pakete Diese k nnen beim Emp fanger in einer anderen Reihenfolge als der abgeschickten ankommen oder sie k nnen sogar verloren gehen TCP dient zur Sicherung der Verbindung und sorgt beispielsweise daf r dass die Datenpakete in der r chtigen Reihenfolge an die Anwendung weitergegeben wer den UDP un TCP bringen zus tzlich zu den IP Adressen Port Nummern zwischen 1 und 65535 mit ber die die unterschiedlichen Dienste unterschieden werden Auf UDP und TCP bauen eine Reihe weiterer Protokolle auf z B HTTP Hyper Text Transfer Protokoll HTTPS Secure Hyper Text Transfer Protokoll SMTP Simple Mail Transfer Protokoll POP3 Po
14. verbindungen die von extern initiiert wurden Ist keine Regel gesetzt werden alle eingehenden Verbindungen au er VPN ab gewiesen Werkseinstellung DO Durch die Aktivierung der Antivirusfunktion siehe Men Antivirus auf Seite 36 werden implizit Firewallregeln f r die Protokolle HTTP SMTP und POP3 eingerichtet die nicht in der Liste der Firewall Regeln erscheinen Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen Dann OK Neue Regel setzen 30 von 90 LE Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Zur Best tigung erhalten Sie eine Systemmeldung Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 77 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur
15. 1301 Starting Pluto penswan Version 1 0 3 days 00 00 20 68771 pluto 1301 Starting Pluto Openswan Version 1 0 3 uptime uptime uptime uptime Antivirus uptime uptime Kids Dienste uptime D Li uptime D D a D D D D D D D uptime O days 00 00 20 68861 pluto 1301 including X 509 patch with traffic selectors Konfigurations Profile uptime O days 00 00 20 68861 pluto 1301 including X 509 patch with traffic selectors Logs uptime O days 00 00 20 71101 pluto 1301 including NAT Traversal patch Version 0 6 uptime O days 00 00 20 71101 pluto 1301 including NAT Traversal patch Version 0 6 uptime O days 00 00 20 93784 pluto 1301 ike_alg_register_enc Activating OAKLEY_DES_ uptime O days 00 00 20 93784 pluto 1301 ke alg register_enc Activating OAKLEY DES Neustart uptime O days 00 00 20 97717 pluto 1301 ike_alg_register_enc Activating OAKLEY AES Abmelden uptime O days 00 00 20 97717 pluto 1301 ike_alg_register_enc Activating OAKLEY AES uptime O days 00 00 21 06244 pluto 1301 Changing to directory etc ipsec d cacerts uptime O days 00 00 21 06244 pluto 1301 Changing to directory etc ipsec d cacerts uptime O days 00 00 21 11434 pluto 1301 Warning empty directory uptime O days 00 00 21 11544 pluto 1301 Changing to directory etc ipsec d crls uptime O days 00 00 21 11544 pluto 1301 Changing to directory etc ipsec d crls uptime O days 00 00 21 11651 pluto 1301 Warning empty directo
16. 168 e Pr fsummenalgorithmus Hash Alle Algorithmen y Perfect Forward Secrecy PFS Die Gegenstelle mu den gleichen Eintrag haben und die Aktivierung ist aus Ja se Sicherheitsgr nden empfohlen Tunnel Einstellungen Die Adresse des lokalen Netzes fi 92 168 1 1 Die dazugeh rige Netzmaske 255 255 255 255 Ein beliebiger Name f r die VPN Verbindung Sie k nnen die Verbindung frei benennen bzw umbenennen Aktiv Legen Sie fest ob die Verbindung aktiv Ja sein soll oder nicht Nein Adresse des VPN Gateways der Gegenstelle e Gemeint ist die Adresse des bergangs zum privaten Netz in dem sich der entfernte Kommunikationspartner befindet siehe Abbildung unten Falls der Protector aktiv die Verbindung zur entfernten Gegenstelle initiieren und aufbauen soll oder sich im Stealth Modus befindet dann geben Sie hier die IP Adresse der Gegenstelle an Statt einer IP Adresse k nnen Sie auch einen Hostnamen d h Domain Namen im URL Format n der Form www xyz de eingeben Falls der VPN Gateway der Gegenstelle keine feste und bekannte IP Adresse hat kann ber die Inanspruchname des DynDNS Service dennoch eine feste und bekannte Adresse simuliert werden Siehe DynDNS Service auf Seite 7 Falls der Protector bereit sein soll die Verbindung anzunehmen die eine ent fernte Gegenstelle mit beliebiger IP Adresse aktiv zum lokalen Protector initiiert und aufbaut dann geben Sie an any Dann kann eine entfernte Gegenst
17. 54 von 90 Die Adresse des lokalen Netzes Die dazugeh rige Netzmaske Mit diesen beiden Angaben geben Sie die Adresse des Clients Netz oder Rechner an der lokal direkt am Protector direkt angeschlossen ist und den der Protector schiitzt Diese Adresse bezeichnet den lokalen Endpunkt der Verbindung Tunnel Die Adresse des lokalen Netzes Kann auch ein Einzelrechner sein gt zur entfernten gt Gegenstelle 3 ZS Beispiel Ist am Protector der Rechner angeschlossen den Sie auch zur Konfiguration des Ger tes benutzen dann k nnten diese Angaben lauten Adresse des lokalen Netzes 192 168 1 1 Die dazugeh rige Netzmaske 255 255 255 0 Siehe auch Netzwerk Beispielskizze auf Seite 78 Die virtuelle IP f r den Client im Stealth Modus Ein VPN Tunnel kann nur zwei lokale Netzwerke ber ein ffentliches Netz miteinander verbinden Arbeitet der Protector im Stealth Modus dann ist an ihm aber nur ein Einzelrechner angeschlossen siehe Netzwerk gt Stealth auf Seite 25 Zum Aufbau des VPN Tunnels muss darum ein angeschlossenes lokales Netz simuliert werden In diesem erh lt der am Protector angeschlos sene Rechner eine virtuelle IP Adresse Diese virtuelle IP Adresse ist f r die entfernte Gegenstelle die Adresse des simulierten lokalen Netzes unter der der real am Protector angeschlossene Rechner im VPN erreichbar ist F r die Gegenstelle bedeutet das dass dort diese s mulierte IP Adress
18. 90 Inbetriebnahme 4 2 Ger t anschlie en USB Stecker zum Anschlie en an die USB Schnittstelle eines Rech ners Dient nur zur Stromversorgung Ethernet Stecker zum direkten Anschlie en an das zu sch tzende Ger t bzw Netz lokales Ger t oder Netz Buchse zum Anschlie en an das DS externe Netzwerk z B WAN Internet Uber dieses Netz werden die Verbindungen zum entfernten Ge rat bzw Netz hergestellt Benutzen Sie ein UTP Kabel CAT 5 Wenn Ihr Rechner bereits an einem Netzwerk angeschlossen ist dann stek ken Sie den Protector zwischen Netzwerk Interface des Rechners und Netz werk vorher nachher Protector Es ist keine Treiber Installation erforderlich gt Wir empfehlen aus Sicherheitsgriinden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern 10 von 90 Konfiguration 5 Konfiguration Voraussetzungen e Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder am Ethernet Stecker des Protector angeschlossen sein oder er muss ber das lokale Netzerk mit ihm verbunden sein e Bei Fernkonfiguration Der Protector muss so konfiguriert sein dass er eine Fernkonfiguration zul sst e Der Protector muss eingeschaltet sein d h per USB Kabel an einen einge schalteten Rechner oder Netzteil angeschlossen sein so dass er mit Strom ve
19. Datum Sat 31 Jul 2004 23 21 08 Archivdatei document_all zip infizierte Datei details txt of Exceeded maximum filesize Die eingestellte Begrenzung der Dateigr e wurde berschritten Um die Datei trotzdem bertragen zu k nnen deaktivieren S e f r den Download den Virenfilter f r den entsprechenden Server oder global Alternativ k nnen Sie den Durchla modus Men punkt bei berschreiten der Gr enbegrenzung im jeweiligen Protokoll aktivieren DO In beiden F llen wird die bertragene Datei nicht nach Viren untersucht Temporary Virus Scanner Failure Ein tempor rer Fehler trat bei dem Versuch auf eine Datei zu scannen Eine Wie derholung der bertragung zu einem sp teren Zeitpunkt oder ein Update der Vi rensignaturdatei kann evtl das Problem beheben M gliche Fehlerursachen e Die Scan Engine ist nicht in der Lage die Datei zu bearbeiten e Die Speicherkapazit t des SOPHIA Protector reicht nicht zur Dekompres sion der Datei aus e Interner Fehler der Scan Engine Exceptional Virus Scanner Failure Ein Kommunikationproblem mit der Kaspersky Scan Engine trat auf Genauere Angaben zum Problem finden Sie im Antivirus Log 47 von 90 Konfiguration 5 8 Men VPN VPN gt Verbindungen M gliche Fehlerursachen e Fehlgeschlagenes Signatur Update durch fehlerhafte Angabe des Update Servers Men punkt Antivirus gt Database Update e Ung ltige oder veraltete Lizenz f r den Virenfilter e Besch
20. Ihre E Mail Adresse f r die Zustellung der Lizenzdatei Nach erfolgreichem Ausf llen des Formulars w rd Ihnen die Lizenzdatei zuge sendet Lizenzdatei installieren Um die Lizendatei zu installieren w hlen Sie bitte die Datei im Men punkt Features gt Installiere Lizenz aus um sie anschlie end zu installieren 46 von 90 Antivirus gt Antivi rus Logs Konfiguration Das Antivirus Log enth lt folgende Meldungen des Virenfilters e Gefundene Viren mit Angabe von Details Name des Virus Name der Datei bei einer E Mail zus tzlich Absender Datum Betreff e Warnungen bei automatischer Einschaltung des Durchla modus wenn die zu filternde Datei die eingestellte Dateigr e berschreitet und nicht gefiltert wurde e Programmstart und ende e Start und Verlauf des Update Prozesses der Virensignaturdatei e Fehlerausgaben der Kaspersky Scan Engine und des Virenfilters Fehlermeldungen Virus Detection Ein Virus wurde erkannt Die Fehlermeldung umfa t den Namen des Virus den Absender der E Mail das Absendedatum und den Namen der infizierten Datei bzw den Namen der komprimierten Archivdatei und des infizierten Bestandteils dieses Archivs Beispiel einer Virenmeldung Innominate mGuard Virus detection found Virus I Worm NetSky q 7 From clacla rtfm demon uk Date Sat 31 Jar 2002 233 21 08 0700 7 document allsZip details txt spit Erl uterung Virus Name I Worm NetSky q Absender clacla rtfm demon uk
21. Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen LE oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den voran stehenden Regeln erfasst werden Listet die festgelegten Regeln zur Port Weiterleitung auf Bei Port Weiterleitung geschieht Folgendes Der Header eingehender Daten pakete aus dem externen Netz die an die externe IP Adresse oder eine der externen IP Adressen des Protector sowie an einen bestimmten Port des Pro tector gerichtet sind werden so umgeschrieben dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden D h die IP Adresse und Port Nummer im Header ein gehender Datenpakete werden ge ndert Dieses Verfahren wird auch Destination NAT genannt DO Die hier eingestellten Regeln haben Vorrang gegen ber den Einstellungen unter Firewall gt Eingehend Konfiguration VT A EEE E Y PROTECTOR DEES Filter gt Port Weiterleitung Netzwerk Filter Regel loschen SEE SENDA zz Eingehend Ausgehend Fr Port Weiterleitung TCP i extern _ Protokoll Eintreftend auri Eintref
22. PKCS 12 Dateiname p12 Maschinen Zertifikat L2TP Passwort IPsec Status VPN Logs Dienste Zugang Neustart Abmelden e Zertifikat Zeigt das aktuell importierte X 509 Zertifikat an mit dem sich der Protector ge gen ber anderen VPN Gateways ausweist Folgende Informationen werden an gezeigt Der Besitzer auf den das Zertifikat ausgestellt ist Die Beglaubigungsstelle die das Zertifikat unter schrieben hat C Land Country ST Bundesland State L Stadt Location O Organisation OU Abteilung Organisation Unit CN Hostname allgemeiner Name Common Name Konfiguration MD5 SHA 1 Fingerprint Fingerabdruck des Zertifikats um diesen z B am Telefon mit einem anderen zu vergleichen Windows zeigt an dieser Stelle den Fingerabdruck im SHA 1 Format an notBefore notAfter G ltigkeitszeitraum des Zertifikats Wird vom Pro tector magels einer eingebauten Uhr ignoriert Die importierte Zertifikatsdate Dateinamen Erweiterung p12 oder pfx ent h lt neben den oben angegebenen Informationen die beiden Schl ssel den f fentlichen zum Verschl sseln den pr vaten zum Entschl sseln Der zugeh rige ffentliche Schl ssel kann an beliebig viele Verbindungspartner vergeben wer den so dass diese verschl sselte Daten senden k nnen In Abh ngigkeit von der Gegenstelle muss das Zertifikat als cer oder pem Da te dem Bediener der entfernten Gegenstelle zur Verf gung gestellt werden z
23. SNMP Zugriffs Neustart Diese Regeln gestatten es SNMP zu aktivieren Wichtig Setzen Sie sichere Passworte f r SNMPv3 bevor Sie Fernzugriff erlauben Abmelden Bitte beachten Sie Zus tzlich zur globalen Aktivierung SNMP muss der Adressbereich mit entsprechenden Firewallregein freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Das SNMP Simple Network Management Protokoll wird vorzugsweise in komplexeren Netzwerken benutzt um den Zustand und den Betrieb von Ger ten zu berwachen Das SNMP gibt es in mehreren Entwicklungsstufen SNMPvl SNMPv2 und SNMPv3 Konfiguration Die lteren Versionen SNMPvl SNMPv2 benutzen keine Verschl sselung und gelten als nicht sicher Daher ist davon abzuraten SNMPv1 SNMPV2 zu benut zen SNMPv3 ist unter dem Sicherheitsaspekt deutlich besser wird aber noch nicht von allen Management Konsolen unterst tzt LO SNMP Get oder Walk Anfragen k nnen l nger als eine Sekunde dau ern Dieser Wert entspricht jedoch dem Standard Timeout Wert einiger SNMP Management Applikationen Bitte setzen Sie aus diesem Grund den Timeout Wert Ihrer Management Ap plikation auf Werte zwischen 3 und 5 Sekunden falls Timeout Probleme auf treten sollten Aktiviere
24. SNMPv3 Ja Nein Wollen Sie zulassen dass der Protector per SNMPv3 tiberwacht werden kann setzen Sie diesen Schalter auf Ja F r den Zugang per SNMPv3 ist eine Authentifizierung mittels Login und Pa wort notwendig Die Werkseinstellungen f r die Login Parameter lauten Login admin Passwort SnmpAdmin F r die Authentifizierung wird MD5 unterst tzt f r die Verschl sselung DES Die Login Parameter f r SNMPv3 k nnen nur mittels SNMPv3 ge ndert wer den Aktiviere SNMPVv1 V2 Ja Nein Wollen Sie zulassen dass der Protector per SNMPv1 v2 berwacht werden kann setzen Sie diesen Schalter auf Ja Zus tzlich m ssen Sie die nachfolgenden Login Daten angeben SNMPv1 und SNMPv2 read write Community SNMPv1 und SNMPv2 read only Community Geben Sie in diese Felder die erforderlichen Login Daten ein Port f r SNMP Verbindungen g ltig f r externes Interface Standard 161 Mit externem Interface ist die Schnittstelle des Protector nach au en gemeint also z B zum Internet Firewall Regeln zu Freigabe des SNMP Zugriffs Von IP Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines SNMP Zueriffs Regel loschen Klicken Sie neben dem betreffenden Eintrag L schen Neue Regel setzen E Wollen Sie eine neue Regel zu setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Geben Sie hier die Adresse n des der Rechners an dem denen SNMP berwa
25. Sie auch Informationen ber das Ablaufdatum Ihrer Li zenz Konfiguration AS Y PROTECTOR Protector Antivirus gt Lizenzstatus Flash ID 000c00083f25db66 0263 e Antiviruslizenz installiert yes SMTP Einstellungen Ablaufdatum 2004 11 30T23 59 59 POPS Einstellungen HTTP Einstellungen e Datenbank Update 2 Lizenzstatus ul Lizenzanforderung Powered by a Installiere Lizenz g Antivirus Logs VPN Dienste ANTI VIRUS Neustart Abmelden L Antivirus gt Lizenz Beim Kauf Ihrer Antivirus Lizenz erhalten Sie einen Voucher auf dem Sie ein anforderung Lizenz Key und eine Lizenznummer finden Um Ihren Virenfilter zu aktivieren m ssen Sie zun chst mit diesen Informationen Ihre Lizenzdatei anfordern Dazu dr cken Sie Abrufen im Men Antivirus gt Lizenzanforderung Konfiguration kk A EEE D Ten PROTECTOR DEES Antivirus gt Lizenzanforderung Netzwerk Flash ID 000c00083f25db66 0263 Online Lizenzabruf SMTP Einstellungen POPS Einstellungen HTTP Einstellungen Datenbank Update Lizenzstatus Lizenzanforderung Installiere Lizenz Powered by KASPERSKY Antivirus Logs ANTIVIRUS Zugang Neustart Abmelden Sie gelangen dann auf eine Web Seite in deren Felder Sie die folgenden Infor mationen eingeben License Serial Die Seriennummer die auf Ihrem Vocher gedruckt ist License Key Der Lizenz Key auf Ihrem Voucher Flash Id Wird automatisch vorausgef llt Email Address
26. Sie haben die M glichkeit die Einstellungen des Protector als Konfigurations Profil unter einem beliebigen Namen m Protector zu speichern S e k nnen meh rere solcher Konfigurations Profile anlegen Dann k nnen Sie bei Bedarf mal das eine mal das andere Konfigurations Profil aktivieren wenn S e den Protector n unterschiedlichen Betriebsumgebungen einsetzen Dar ber hinaus k nnen Sie Konfigurations Profile als Dateien auf der Festplatte des Konfigurations Rechners abspeichern Umgekehrt besteht die M glichkeit eine so erzeugte Konfigurationsdatei in den Protector zu laden und in Kraft zu setzen Zus tzlich haben Sie die M glichkeit jederzeit die Werkseinstellung wieder in Kraft zu setzen DO Beim Abspeichern eines Konfigurations Profils werden Passw rter und Be nutzernamen nicht mitgespeichert Aktuelle Konfiguration als Konfigurations Profil im Protector speichern 1 In Feld Name des neuen Profils den gew nschten Namen eintragen 2 Die Schaltfl che Speichere aktuelle Konfiguration als Profil klicken 74 von 90 Konfiguration Ein im Protector gespeichertes Konfigurations Profil anzeigen aktivieren l schen Namen angelegter q Name des neuen Profils Konfigurations Profile Beispiel Hochladen einer Konfiguration als Profil Voraussetzung Es ist mindestens ein Konfigurations Profil angelegt und im Protector gespeichert s ol Konfigurations Profil anzeigen Den Namen des Konfigurations Profils ank
27. Sie k nnen jede einzelne Verbindung aktivieren Akt v Ja oder deak tivieren Aktiv Nein VPN Verbindung l schen 48 von 90 Klicken Sie neben dem betreffenden Eintrag L schen Klicken Sie abschlie end OK Konfiguration Neue VPN Verbindung einrichten Klicken Sie Neu Geben Sie der Verbindung einen Namen und klicken Sie Editieren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK VPN Verbindung bearbeiten L Klicken Sie neben der betreffenden Verbindung die Schaltfl che Editie ren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK Konfiguration AA NL Ten PROTECTOR ee VPN gt Verbindungen gt Verbindung Tunnel Netzwerk Filter e Ein beliebiger Hame f r die VPH Verbindung Tunnen Antivirus VPN y Aktiv Ja e Verbindungen Adresse des VPH Gateways der Gegenstelle bas Y Maschinen Zertifikat Eine IP Adresse ein Hostname oder any L2TP IPsec Status Verbindungstyp Transport Host lt gt Host I L2TP Status oC YPN Logs Verbindungsinitiierung Warte auf Gegenstelle Dienste ISAKMP SA Schliisselaustausch EET III autnentisierungsvertahren as Zeina 7 ven System Verschl sselungsalgorithmus Prufsummenalgorithmus Hash Neustart IPsec SA Datenaustausch Abmelden Verschliisselungsalgorithmus IPsec SA Data Exchange 3DES 1 65 y ale Algorithmen y 3DES
28. Zudem werden bei Ausschalten des Protector alle Log Eintr ge gel scht Um das zu verhindern ist es m glich die Log Eintr ge auf einen externen Rech ner zu bertragen Das liegt auch dann nahe soll eine zentrale Verwaltung der Protokollierungen erfolgen Aktiviere remote UDP Logging Ja Nein Sollen alle Log Eintr ge zum externen unten angegebenen Log Server bertra gen werden setzen Sie diesen Schalter auf Ja Log Server IP Adresse Geben Sie die IP Adresse des Log Servers an zu dem die Log Eintr ge per UDP bertragen werden sollen DO Sie m ssen eine IP Adresse angeben keinen Hostnamen Hier wird eine Na mensaufl sung nicht unterst tzt weil sonst der Ausfall eines DNS Servers nicht protokolliert werden k nnte Log Server Port Geben Sie den Port des Log Servers an zu dem die Log Eintr ge per UDP ber tragen werden sollen Standard 514 67 von 90 Konfiguration 5 10 Men Zugang Zugang gt Passworte Konfiguration GJ CIA PROTECTOR DZS Zugang gt Passworte Netzwerk AAA Cie Ates Passar Neues Pesswort _ Neues Passwort erneut Zuganc Administratorpasswort Account admin SNMP Hutzerpasswort i A Neustart Abmelden Der Protector bietet 3 Stufen von Benutzerrechten Um sich auf der entsprechen den Stufe anzumelden muss der Benutzer das Passwort angeben dass der jewel ligen Berechtigungsstufe zugeordnet ist Berechtigungsstufe Root Bietet vollst ndige Rechte f r alle Par
29. bei einer Umkonfiguration nicht abgebrochen werden selbst wenn eine entsprechen de neue Verbindung nicht mehr aufgebaut werden d rfte Werksseitige Voreinstellung der Firewall e Alle eingehenden Verbindungen werden abgewiesen au er VPN e Die Datenpakete aller ausgehenden Verbindungen werden durchgelassen gt VPN Verbindungen unterliegen nicht den unter diesem Men punkt festge legten Firewall Regeln Firewall Regeln f r jede einzelne VPN Verbindung k nnen Sie unter Men VPN gt Verbindungen festlegen DO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert 29 von 90 Konfiguration Filter gt Eingehend Konfiguration H 5 7 u PROTECTOR DEES Filter gt Eingehend Netzwerk Filter Ausgehend Ir 1 z i i Port Weiterleitung TCP Y 0 0 0 010 ay 0 0 0 0 0 RI Annehmen v Nein y NAT GE 7 a al Erweiterte Einstellungen Log Eintr ge f r unbekannte Verbindungsversuche Nein v Logs Antivirus Ey o O Diese Regeln geben an welcher Verkehr von au en nach innen passieren darf Bitte beachten Sie Port Angaben werden nur f r TCP und UDP ausgewertet Neustart Abmelden Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten
30. bei normalem praktischen Einsatz n e erreicht werden Bei Angriffen k nnen s e dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen ICMP von extern zum Protector Mit dieser Option k nnen Sie das Verhalten beim Empfang von ICMP Nach richten beeinflussen die aus dem externen Netz an den Protector gesendet werden Sie haben folgende M glichkeiten Verwerfen Alle ICMP Nachrichten zum Protector werden verworfen Annehmen von Ping Nur Ping Nachrichten ICMP Typ 8 zum Protector werden akzeptiert Alle ICMPs annehmen Alle Typen von ICMP Nachrichten zum Protector werden akzeptiert Filter gt Logs Ist bei Festlegung von Firewall Regeln das Protokollieren von Ereignissen fest gelegt Log Ja dann k nnen Sie hier das Log aller protokollierten Ereignisse einsehen Nur Anzeige Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten n einem besser lesbaren Format pr sentieren 35 von 90 Konfiguration 5 7 Men Antivirus Kaspersky Engine Unterst tzte Kom pressionformate Voraussetzungen zur Nutzung Dateigr en begrenzung 36 von 90 Der Antivirus Funktion des SOPHIA Protector sch tzt vor Viren die ber die Protokolle HTTP POP3 und SMTP versendet wer
31. bei Ihnen die Zeit voraus bzw zu r ck ist Beispiele In Berlin ist die Uhrzeit der Greenwich Zeit um 1 Stunde voraus Also tragen Sie ein MEZ 1 Wichtig ist allein die Angabe 1 2 oder 1 usw weil nur sie ausgewertet wird die davor stehenden Buchstaben nicht Sie k nnen MEZ oder beliebig anders lauten Konfiguration W nschen Sie die Anzeige der MEZ Uhrzeit g ltig f r Deutschland mit au tomatischer Umschaltung auf Sommer bzw Winterzeit geben Sie ein MEZ 1MESZ M3 5 0 M10 5 0 3 Zeitmarke im Dateisystem 2h Aufl sung Ja Nein Ist dieser Schalter auf Ja gesetzt schreibt der Protector alle 2 Stunden die aktu elle Systemzeit in seinen Speicher Folge Wird der Protector aus und wieder eingeschaltet wird nach dem Ein schalten eine Uhrzeit in diesem 2 Stunden Zeitfenster angezeigt und nicht eine Uhrzeit am 1 Januar 2000 Dienste gt Remote Logging Konfiguration IE EIA nur Protector M L del ta ALA Dienste gt Remote Logging Netzwerk e Aktiviere remote UDP Logging Nein v Antivirus VPN Log Server IP Adresse 4 921 681 254 Log Server Port normalerweise 514 1514 DNS DynDNS berwachung DynDNS Registrierung NTP Remote Logging Neustart Abmelden Alle Log Eintr ge finden standardm ig m Arbeitsspeicher des Protector statt Ist der maximale Speicherplatz f r diese Protokollierungen ersch pft werden au tomatisch die ltesten Log Eintr ge durch neue berschrieben
32. dass das Datagramm eigentlich f r einen internen Rech ner bestimmt ist Mit Hilfe der Tabelle tauscht die NAT Router die Ziel IP Adresse und den Ziel Port aus und schickt das Datagramm weiter ins interne Netz Das Feld Port Nummer ist ein 2 Byte gro es Feld in UDP und TCP Headern Die Vergabe der Port Nummern dient der Identifikation der verschiedenen Da tenstr me die UDP TCP gleichzeitig abarbeitet ber diese Port Nummern er folgt der gesamte Datenaustausch zwischen UDP TCP und den Anwendungsprozessen Die Vergabe der Port Nummern an Anwendungsprozes se geschieht dynamisch und wahlfrei F r bestimmte h ufig benutzte Anwen dungsprozesse sind feste Port Nummern vergeben Diese werden als Assigned Numbers bezeichnet 87 von 90 Glossar PPPoE PPTP X 509 Zertifikat Protokoll bertra gungsprotokoll Service Provider 88 von 90 Akronym f r Point to Point Protocol over Ethernet Basiert auf den Standards PPP und Ethernet PPPoE ist eine Spezifikation um Benutzer per Ethernet mit dem Internet zu verbinden ber ein gemeinsam benutztes Breitbandmedium wie DSL Wireless LAN oder Kabel Modem Akronym fir Point to Point Tunneling Protocol Entwickelt von Microsoft U S Robotics und anderen wurde dieses Protokoll entwickelt um zwischen zwei VPN Knoten gt VPN ber ein ffentliches Netz sicher Daten zu bertragen Eine Art Siegel welches die Echtheit eines ffentlichen Schliissels gt asym metrische
33. den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Noen setzen Bei einer Aktivierung wird eine Port Redirection f r SMTP Verbindungen auf den HTTP Proxy angelegt DO Wird der Virenfilter w hrend einer aktiven Verbindung aktiviert oder deakti viert so gilt die beendet ist alte Einstellung bis das laufende Protokoll dieser Verbindung scannen bis zur Gr sse von default 1MB Hier geben Sie die Max malg e in MBytes der zu berpr fenden Dateien an Wird diese Grenze berschritten wird eine Fehlermeldung an den Browser gesendet oder automatisch in den Durchla modus geschaltet 42 von 90 Konfiguration Wenn die Speicherkapazitat des Protector nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben S e folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen DurchlaBmodus akti vieren bei Virusdetektion Fehlermeldung an den Browser Erkennt der Virenfilter einen Virus innerhalb eines Datentransfers vom HTTP Server zum HTTP Client dann wird eine Fehlermeldung an den HTTP Client gesendet Die Darstellung dieser Fehlermeldung
34. der Daten bertragung Beim aktiven FTP stellt der angerufene Server im Gegenzug eine zus tzliche Verbindung zum Anrufer her um auf dieser Verbindung die Daten zu bertragen Beim pas s ven FTP baut der Client diese zus tzliche Verbindung zum Server zur Da ten bertragung auf Damit die zus tzlichen Verbindungen von der Firewall durchgelassen werden muss Aktiviere FTP NAT Connection Tracking Unterst tzung auf Ja stehen Standard Aktiviere IRC NAT Comnection Tracking Unterst tzung hnlich wie bei FTP Beim Chatten im Internet per IRC m ssen nach aktivem Verbindungsaufbau auch eingehende Verbindungen zugelassen werden soll das Chatten reibungslos funktionieren Damit diese von der Firewall durchge lassen werden muss Aktiviere IRC NAT Connection Tracking Unter st tzung auf Ja stehen Standard Aktiviere PPTP NAT Connection Tracking Unterst tzung Muss nur dann auf Ja gesetzt werden wenn folgende Bedingung vorliegt Von einem lokalen Rechner soll ohne Zuhilfenahme des Protector eine VPN Verbindung mittels PPTP zu einem externen Rechner aufgebaut werden Werksseitig ist dieser Schalter auf Nein gesetzt Nur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests Jeweils maximale Zahl eingehender ARP Requests Router Modi Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden ARP Requests pro Sekunde fest Diese sind so gew hlt dass sie
35. gt NAT auf Seite 33 Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden Protector als Router PPPoE Der PPPoE Modus entspricht dem Router Modus mit DHCP mit einem Un Der Protector arbeitet terschied F r den Anschluss ans externe Netzwerk Internet WAN wird auch im PPPoE oder wie n Deutschland das PPPoE Protokoll verwendet das von vielen DSL PPTP Modus als Router Modems bei DSL Internetzugang verwendet wird Die externe IP Adresse unter der der Protector von einer entfernten Gegenstelle aus erreichbar ist wird vom Provider dynamisch festgelegt gt Wird der Protector im PPPoE Modus betrieben muss bei lokal angeschlos senen Client Rechnern der Protector als Standardgateway festgelegt sein D h die Adresse des Standardgateway ist auf die interne IP des Protector zu set zen Siehe IP Konfiguration bei Windows Clients auf Seite 65 b gt Arbeitet der Protector im PPPoE Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten siehe Filter gt NAT auf Seite 33 Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden PPTP hnlich dem PPPoE Modus In sterreich zum Beispiel wird statt des PP PoE Protokolls das PPTP Protokoll zur DSL Anbindung verwendet PPTP ist das Protokoll das urspr nglich von Microsoft f r VPN Verbindun gen benutzt worden ist gt Wird der Protector im PPTP Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der
36. h ngt vom je weiligen HTTP Client ab Ein Webbrowser wird die Fehlermeldung in Form einer HTML Seite darstellen Ist eine innerhalb einer HTML Seite nachgela dene Datei z B eine Bilddatei infiziert so wird diese Datei im Browser nicht angezeigt Wird ein Dateidownload per HTTP mittels Download Mana ger vorgenommen so wird die Fehlermeldung im Download Manager ange zeigt bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters n den Durchla modus wenn die eingestellte Dateigr e berschritten wird DO In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der HTTP Server S e k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r HTTP server O Server Port scannen Scan eines Subnetzes Ausklammerung eines trusted HTTP Servers TE Se ee A 1192 168 2 0724 ao Scan eines einzelnen untrusted HTTP Servers in einem Subnetz E EA scannen O O IESSE fo j192168 2 0124 lso gengen 43 von 90 Konfiguration Regel l schen Klicken Sie neben dem betreffenden Eintrag L s
37. i snaat saa vars auecnue A ence ELTERRRERERENEBIERRRENER 74 System gt EES e Ee Ce sn a ee ea eek 74 SS Ek LEE EE He EE He 5 12 CIDR Classless InterDomain Routing au za a u 71 3 19 Netzwerk Beispielsk177 8 22 2 engl 18 Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware 79 ee 79 OL Recovery E E EE 79 oe Fasbender PNW essen 80 Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server 81 6 2 1 DHCP und TFTP Server unter Windows bzw Linux installieren 82 Unter Windows username 82 Unter Er 83 OQIOSS AN ua nn dA RIESEN een 84 Asymmetrische Verschlusselinss EE 84 DESA DES na een ee sera 84 Eeer 84 CHEN EH 84 Data a means ee 85 DynDNS Anbretet rs ee ee 85 EE 86 A E E E A E ET ee 87 NAT Network Address Troanslapon 87 2 von 90 Inhalt Inhalt Ee 87 LEE 88 EE 88 De SOD FTA AG see an ee 88 Protokoll Ubertraeungsprotokoll conca cnn cnn cnnananncnnano 88 SCI A III een 88 SPOOHNS A a a 89 Symmiettische Verschl sse nal 89 TCP IP Transmission Control Protocol Internet Protocolt 89 VPN Virtuelles Privales Nelzwerk lerinin 89 S Technische Daten a2 a 90 3 von 90 Einleitung 1 Einleitung VPN Features Der Protector s chert IP Datenverbindungen Dazu vereinigt das Ger t folgende Funktionen e VPN Router VPN Virtuelles Privates Netzwerk f r sichere Daten bertra gung ber ffentliche Netze hardwarebasierte DES 3DES u
38. in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem System Update ein Reboot erforderlich sein wird das angezeigt 17 von 90 Konfiguration Protector gt Update Server Protector gt Instal liere Lizenz 18 von 90 Konfiguration E HIA PROTECTOR Protector gt Update Server date Installiere Up Update Server Installiere Lizenz Softwareinformation Lizenzinformation Lizenzanforderung Hardwareinformation Update Server http Aupdate innominate com Ein Update Server besteht aus einer URL f r das HTTP Protokoll Beispiele sind http Yupdate example net oder bite 7 10 733 Neustart Abmelden Wird Ihnen ein Software Update siehe Protector gt Installiere Update auf Seite 17 des Protector auf einem entfernten Server zur Verf gung gestellt dann geben Sie hier dessen Adresse an Dieser muss auf jeden Fall das benutzte Pro tokoll voranstehen Beispiele http 123 456 789 1 oder http www xyz com update Konfiguration kk E IIA PROTECTOR Protector gt Installiere Lizenz WEI Protector Installiere Update Update Server Installiere Lizenz Softwareinformation Lizenzinformation Lizenzanforderung Hardwareinformation Dateiname Installiere Lizenzdatei Antivirus VPN Dienste Neustart Abmelden il Voraussetzung Sie haben von Ihrem Distributor eine Lizenzdatei f r den Pro tector erworbe
39. in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verf gung Von extern gelieferte DHCP Daten werden an den angeschlossenen Client durchgelassen DO Ist Stealth als Netzwerk Modus gew hlt sind keine Eintr ge zu machen unter Interne IPs und Zus tzliche interne Routen Vorhandene Eintr ge unter die sen Punkten werden ignoriert Protector als Router Router Befindet sich der Protector nicht im Stealth Modus arbeitet er als normaler Router und hat dabei eine externe und eine interne IP Adresse Der Protector st ber seine externe Schnittstelle per Ethernet Standleitung ans Internet angeschlossen oder ber weitere Router ans LAN 23 von 90 Konfiguration An seine interne Schnittstelle ist ein Netzwerk oder ein Einzelrechner als Cli ent angeschlossen Der Protector fungiert f r diesen bzw dieses als Gateway Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verf gung gt Wird der Protector im Router Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der Protector als Standardgateway festgelegt sein D h die Adresse des Standardgateway ist auf die interne IP des Protector zu set zen Siehe IP Konfiguration bei Windows Clients auf Seite 65 gt Wird der Protector im Router Modus betrieben und stellt die Verbindung zum Internet her sollte NAT aktiviert werden um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Filter
40. stammende und von der NSA berpr fte symmetrische Ver schl sselungsalgorithmus gt symmetrische Verschl sselung DES wurde 1977 vom amerikanischen National Bureau of Standards dem Vorg nger des heuti gen National Institute of Standards and Technology NIST als Standard f r amerikanische Regierungsinstitutionen festgelegt Das es sich hierbei um den ersten standardisierten Verschl sslungsalgor thmus berhaupt handelte setzte er sich auch schnell in der Industrie und somit au erhalb Amerikas durch DES arbeitet mit einer Schl ssell nge von 56Bit die heute aufgrund der seit 1977 gestiegenen Rechenleistung der Computer als nicht mehr sicher gilt 3DES ist eine Variante von DES Es arbeitet mit 3 mal gr eren Schl sseln die also 168 Bit lang sind Sie gilt heute noch als sicher und ist unter anderem auch Teil des IPsec Standards Das NIST National Institute of Standards and Technology entwickelt in Zusammenarbeit mit Industrie Unternehmen seit Jahren den AES Verschl sse lungsstandard Diese gt symmetrische Verschl sselung soll den bisherigen DES Standard abl sen Der AES Standard spezifiziert drei verschiedene Schl sselgr en mit 128 192 und 256 Bit 1997 hatte die NIST die Initiative zu AES gestartet und ihre Bedingungen f r den Algor thmus bekannt gegeben Von den vorgeschlagenen Verschl sse lungsalgorithmen hat die NIST f nf Algorithmen in die engere Wahl gezogen und zwar die Algor thmen MARS RC6 Rijndael S
41. 0000000 00000000 Beispiel 192 168 1 0 255 255 255 0 entspricht im CIDR 192 168 1 0 24 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 KA MM WwW 0 On 9 Konfiguration CIDR 77 von 90 Konfiguration 5 13 Netzwerk Beispielskizze Die nachfolgende Skizze zeigt wie in einem lokalen Netzwerk mit Subnetzen die IP Adressen veteilt sein K nnten welche Netzwerk Adressen daraus resultieren und wie d e Angabe einer zus tzlichen internen Route lauten k nnte Internet 1 Adresse von extern z B 80 81 192 37 vom Internet Service Provider zugewiesen Protector im Netzwerk Modus Router Interne Adresse des Protector 192 168 11 1 Switch Netz A Netzadresse 192 168 11 0 24 N Maske 255 255 255 0 Router IP extern 192 168 11 2 Router IP intern 192 168 15 254 N Maske 255 255 255 0 ER Switch Netz B Netzadresse 192 168 15 0 24 N Maske 255 255 255 0 Router IP extern 192 168 15 1 gt EIER Router IP intern 192 168 27 254 e N Maske 255 255 255 0 Switch Netz C Netzadresse 192 168 27 0 24 u N Maske 255 255 255 0 zus tzliche interne Routen Netz A Rechner Al A2 A3 A4 A5 IP Adresse 192 168 11 3 192 168 11 4 192 168 11 5 192 168 11 6 192 168 11 7 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Netz B Zusatzliche interne Rechner B4 Routen I
42. 11 23 10 21 26 66882 firestarter fireing vpn connections finished Abmelden 2004 11 23 10 22 22 10585 firestarter fireing vpn connections with IPs 2004 11 23 10 22 25 11892 firestarter 2004 11 23 10 22 25 13870 firestarter fireing vpn connections with DNS names fireing vpn connections finished Listet alle VPN Ereignisse auf Das Format entspricht dem unter Linux gebr uchlichen Format Es g bt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren Konfiguration 5 9 Men Dienste Dienste gt DNS Konfiguration ST Far PROTECTOR DEES Dienste gt DNS Netzwerk Filter Anti irus Hostnamen Modus Nutzer definiert siehe unten bi VPN Hostname protector Domain Suchpfad example local DNS DynDNS Uberwachung im Stealth Modus werden nur die Einstellung Nutzer definiert und maximal zwei Nameserver unterst tzt Andere Einstellungen sowie weitere DynDNS Registrierung Nameserver werden ignoriert Benutzte Hameserver Root Nameserver b NTP Remote Logging Zugang Hutzer definerte Hameserver SS E gt System Neustart Abmelden Soll der Protector eine Verbindung zu einer Gegenstelle aufbauen z B VPN Gateway oder NTP Server muss ihm die IP Adresse dieser Gegenstelle bekannt sein Wird ihm die Adresse in Form einer Domain Adresse angegeben d h in der Form www abc xyz de dann
43. 132 1 Verbindungen Maschinen Zertifikat L2TP IPsec Status Aktualisieren L2TP Status VPN Logs Zugang system Neustart Abmelden Informiert ber den Status der IPsec Verbindungen Links sind die Namen der VPN Verbindungen aufgelistet rechts daneben wird jeweils deren aktueller Status angezeigt GATEWAY bezeichnet die kommunizierenden VPN Gateways TRAFFIC bezeichnet Rechner bzw Netze die ber die VPN Gateways kommunizieren VPN gt L2TP Status Nur Anzeige Konfiguration ID bezeichnet den Distinguished Name DN eines X 509 Zertifikats ISAKMP Status ISAKMP Status Internet security association and key management protocol ist mit established angegeben wenn die beiden beteiligten VPN Gateways einen Kanal zum Schliisselaustausch aufgebaut haben In diesem Fall konnten sie einander kontaktieren und alle Eintr ge bis einschlie lich ISAKMP SA auf der Konfigurationsseite der Verbindung waren korrekt IPsec Status IPsec Status ist mit established angegeben wenn die IPsec Verschl sse lung be1 der Kommunikation aktiviert ist In diesem Fall waren auch die An gaben unter IPsec SA und Tunnel Einstellungen korrekt Bei Problemen empfiehlt es sich in die VPN Logs des Rechners zu schauen zu dem die Verbindung aufgebaut wurde Denn der initiierende Rechner bekommt aus Sicherheitsgr nden keine ausf hrlichen Fehlermeldungen zugesandt Falls angezeigt wird ISAKMP SA established IP
44. 255 0 VPN Dienste EE DNI aen Neustart Abmelden Der Protector muss auf den Netzwerk Modus Betriebsart gestellt werden der seiner lokalen Rechner bzw Netzwerk Anbindung entspricht Siehe Typische Anwendungsszenarien auf Seite 6 B gt Beim Wechsel des Netzwerk Modus bootet das Ger t automatisch neu B gt Wenn Sie die Adresse des Protector ndern z B durch Wechsel des Netz werk Modus von Stealth auf Router dann ist das Ger t ab sofort nach Neustart nur noch unter der neuen Adresse zu erreichen Siehe Lokale Kon figuration Bei Inbetriebnahme auf Seite 11 B gt Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die interne IP Adresse und oder die lokale Netzmaske ndern achten Sie unbe dingt darauf dass S e korrekte Werte angeben Sonst ist der Protector nicht mehr erreichbar Transparenter Protector Stealth Werkseinstellung Der Stealth Modus wird ausschlie lich zur lokalen Anbindung eines einzel nen Computers als Client verwendet In dieser Betriebsart kann das Ger t einfach in eine bestehende Netzwerkan bindung des betreffenden Rechners integriert werden Dazu einfach den Pro tector zwischenschalten siehe Abbildung im Abschnitt Ger t anschlie en auf Seite 10 Der Protector analys ert den laufenden Netzwerkverkehr und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet trans parent d h ohne dass der Client umkonfiguriert werden muss Wie auch
45. AT Traversal patch Version 0 6 Filter uptime O days 00 00 26 45752 pluto 1273 ike_alg_register_enc Activating OAKLEY DES CI SER uptime O days 00 00 26 53005 pluto 1273 ike alg register enc Activating OAKLEY AES CI Antivirus uptime O days 00 00 26 57451 pluto 1273 Changing to directory fete ipsec d cacerts i VPN i uptime O days 00 00 26 67132 pluto 1273 Changing to directory etc ipsec d crls Verbindungen uptime O days 00 00 26 75246 pluto 1273 listening for IKE messages Maschinen Zertifikat uptime O days 00 00 26 75516 pluto 1273 adding interface ipsecO ethO 10 0 0 135 IPsec Status uptime O days 00 00 26 75701 pluto 1273 adding interface ipsecO ethO 10 0 0 135 4500 VPN Logs uptime O days 00 00 26 75941 pluto 1273 loading secrets from etc ipsec secrets Dienste uptime O days 00 00 26 92236 pluto 1273 loading secrets from etc ipsec secrets uptime O days 00 00 26 92536 pluto 1273 Changing to directory etc ipsec d cacerts Zugang uptime O days 00 00 26 92825 pluto 1273 Changing to directory etc ipsec d crls S stem uptime O days 00 00 33 05026 firestarter fireing vpn connections with IPs uptime O days 00 00 40 41674 firestarter fireing vpn connections with DNS names uptime O days 00 00 40 43675 firestarter fireing vpn connections finished 2004 11 23 10 21 25 63686 firestarter fireing vpn connections with IPs Neustart 2004 11 23 10 21 28 64906 firestarter fireing vpn connections with DNS names 2004
46. B durch pers nliche bergabe oder per E Mail Wenn Ihnen kein sicherer bertragungsweg zur Verf gung steht sollten Sie anschlie end den vom mGaurd angezeigten Fingerabdruck ber einen sicheren Weg vergleichen Es kann nur eine Zertifikats Date PKCS 12 Date1 ins Ger t importiert wer den Um ein neues Zertifikat zu importieren gehen Sie wie folgt vor Neues Zertifikat Voraussetzung Die Zertifikatsdatei Dateiname p12 oder pfx ist generiert und auf dem an geschlossenen Rechner gespeichert 1 Durchsuchen klicken um die Datei zu selektieren 2 In das Feld Passwort geben Sie das Passwort ein mit dem der private Schl ssel der PKCS 12 Datei gesch tzt ist Importieren klicken 4 AbschlieBend OK klicken Nach dem Import erhalten Sie eine Systemmeldung Uo System Message ndere Systemkonfiguration Storing PKCS 12 file MAC verified OK Parsed PKCS 12 file Stored certificate Stored private key 002 forgetting secrets 002 loading secrets from etc ipsec secrets 002 loaded private key file etc ipsec d private this host pem 1675 bytes 002 OpenPGP certificate file etc pgpcert pgp not found 002 Changing to directory etc ipsec d cacerts 002 Warning empty directory 002 Changing to directory etc ipsec d crls 002 Warning empty directory Systemkonfiguration umgeschrieben 57 von 90 Konfiguration VPN gt L2TP nur Protector M L Konfiguration Senf Se H H Y PROTEC
47. D SeA ner tia 25 INS VAS Kod D ROU GE 26 Nelzwerk gt PPPOE sense area 21 Nezwerk 2 PPIP a A dat 28 Nelzwerk gt Staus sense ini 29 O A ee 29 Pier S Enee A ea os 30 Pier A A A 31 Filter gt Port Weiterleitung eege eege 32 Pille PD EE 33 Filter gt Erweiterte Einstellungen A e aes 34 Eile LOS eine 35 3 MeV ADDEN reelle 36 EEN 36 Unterst tzte Kkompresstontormate 36 Voraussetzungen zur INUIZUNS A A sia 36 D teistohen bestenzuns EE 36 1 von 90 Inhalt 6 7 ANUVIEUS gt SMTIP Eisstelunsen a nee ee ne 37 Antivirus gt POP gt 3 Einstellunsen uses 39 Antivirus gt HTTP Ems li a 42 Antivirus gt Datenbank Update sa ass a a ee 45 PMY US A A 46 Antivirus gt Lizenz nf rderuns nn 46 Ant y 2082 AU US O er 47 A ET 48 NAP IN EE 48 VEN Maschinen Zerit kat een 56 VPN gt L2TP Nur Protector M rennen 58 NEN NEE EIER ER 58 VEN ESTO States ee u 59 KR A a 60 A E a E O 61 Dienste gt DNS ss ets besa eL 61 Dienste gt DynDNS berwachung cccccccccononnccnnnononaninananncanananananan conc nn cnn cnn cnnananncnnano 62 Dienste DynDNS Registrierung ccccccnooononnnnnnnonononnnnccnonnnnnnnnnncnnnnnnnnnnnccnnnannnnnnnnos 63 Dienste gt DHC Pasei ee ee 64 Dies A ee 66 Dienste gt Remote Logging HUT Protector ME si ee 67 3 10 NICMAS EE 68 LUMEN A IA 68 A gt Sprachen Ee 69 PARANA OY SS A Se O 69 PRUNE Oh de Haus eR SOE RR a en 71 Zugang gt SNMP mur Protector Mila a 12 SUB IB TE VS CMe cos satatascn
48. DR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 77 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das POP3 Protokoll an Der POP3 Standardport 110 ist bereits voreingestellt DO Das Einschalten des POP3 Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re Al von 90 Konfiguration geln Scannen Scannen Der Virenfilter Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert ist f r die in dieser Regel angegebenen Server deaktiviert gt Eine Deaktivierung des Virenfilter erfolgt erst nachdem die laufende Verbin dung beendet wurde Deshalb sollten Sie nach einer Ver nderung der Einstel lungen des Antivirenfilters einen bereits laufenden POP3 E Mail Transfer beenden Antivirus gt HTTP Das HTTP Protokoll wird von Web Browsern zur bertragung von Webseiten Einstellungen genutzt hat aber noch viele andere Anwendungen So wird es z B auch zum Do
49. Netzwerk gt PPPoE EAN etzwerk gt PPPoE __Netzwe IP des Default Gateways Wird vom Internet Service Provider ISP vorgegeben wenn der Protector den bergang zum Internet herstellt Wird der Protector innerhalb des LANs eingesetzt wird die Route vom Netzwerk Administrator vorgegeben DO Das Default Gateway kann bei bestimmten Konfigurationen Teil des internen Netzes sein b gt Wenn das lokale Netz dem externen Router nicht bekannt ist z B im Falle einer Konfiguration per DHCP dann sollten Sie unter Firewall gt NAT Ihr lokales Netz angeben also 0 0 0 0 0 siehe Filter gt NAT auf Seite 33 Konfiguration kk D E HIA PROTECTOR Basis l Stealth A RR PPPoE Login PPPoE PPTP PPPoE Passwort Status user provider example net Fitter Zugang system I Neustart Abmelden Voraussetzung Der Protector ist auf den Netzwerk Modus PPPoE gestellt siehe PPPoE auf Seite 24 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn S e eine Verbindung ins Internet herstellen wollen PPPoE Login Benutzername Login den der Internet Service Provider ISP anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen 27 von 90 Konfiguration PPPoE Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Netzwerk gt PPTP Konfiguration U AU FF Firm P
50. P Adresse 192 168 15 2 192 168 15 3 192 168 15 4 192 168 15 5 Netzwerk 192 168 15 0 24 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Gateway 192 168 11 2 Netz C Rechner C4 Netzwerk 192 168 27 0 24 IP Adresse 192 168 27 1 192 168 27 2 192 168 27 3 192 168 27 4 Gateway 192 168 11 2 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 78 von 90 Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware 6 Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware Die Recovery Taste wird benutzt um das Ger t in einen der folgenden Zust nde zu bringen Neustart durchf hren Ziel Aktion Das Ger t neu starten mit den konfigurierten Einstellungen Recovery Taste f r ca 1 5 Sekunden dr cken z B mit einer auf gebogenen B roklammer bis die mittlere LED rot leuchtet ODER Die Stromzufuhr vor bergehend unterbrechen 6 1 Recovery Prozedur ausf hren Ziel Aktion Der Protector soll in den Netzwerk Modus Betriebsart Stealth zur ckgeschaltet werden so dass er f r Konfigurationszwecke wieder erreichbar ist unter folgender Adresse https 1 1 1 1 gt Die konfigurierten Einstellungen f r VPN Verbindungen und Firewall bleiben erhalten ebenso Passw rter M gliche Gr nde zum Ausf hren der Recovery Prozedur Der Protector befindet sich im Router oder PPPoE Modus und die Ger teadre
51. Protector als Standardgateway festgelegt sein D h die Adresse des Standardgateway ist auf die interne IP des Protector zu set zen Siehe IP Konfiguration bei Windows Clients auf Seite 65 B gt Wird der Protector im PPTP Modus betrieben sollte NAT aktiviert werden um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Filter gt NAT auf Seite 33 Ist NAT nicht aktiviert k nnen nur VPN Ver bindungen genutzt werden Interne IPs Interne IP ist die IP Adresse unter der der Protector von Ger ten des lokal ange schlossenen lokalen Netzes erreichbar ist Im Stealth Modus lautet diese immer IP Adresse 1 1 1 1 24 von 90 Konfiguration Im Router PPPoE PPTP Modus ist werksseitig voreingestellt IP Adresse 192 168 1 1 Lokale Netzmaske 255 255 255 0 S e k nnen weitere Adressen festlegen unter der der Protector von Ger ten des lokal angeschlossenen Netzes angesprochen werden kann Das ist zum Beispiel dann hilfreich wenn das lokal angeschlossene Netz n Subnetze un terteilt wird Dann k nnen mehrere Ger te aus verschiedenen Subnetzen den Protector unter unterschiedlichen Adressen erreichen E Wollen Sie eine weitere interne IP festlegen klicken S e Neu Sie k nnen beliebig viele interne IPs festlegen E Wollen Sie eine interne IP l schen klicken Sie L schen Die erste IP Adresse in der Liste k nnen Sie nicht l schen DO Weitere festgelegte interne IPs haben im Ste
52. ROTECTOR icc cs Metzwerk gt Basis Basis Stealth Router Hiei Die folgenden Einstellungen werden genutzt wenn der Stealth Modus NICHT ausgew hlt ist Filter f 92 168 1 1 255 255 255 0 D Netzwerk Modus Router Y plai WU netzwerk Guten Zugang O3 Neustart Abmelden Voraussetzung Der Protector ist auf den Netzwerk Modus PPTP gestellt sie he PPTP auf Seite 24 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn S e eine Verbindung ins Internet herstellen wollen PPTP Login Benutzername Login den der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Setze lokale IP ber DHCP 28 von 90 Werden die Adressdaten f r den Zugang zum PPTP Server vom Internet Ser vice Provider per DHCP geliefert w hlen Sie ber DHCP Dann ist kein Eintrag unter Lokale IP zu machen Modem IP Das ist die Adresse des PPTP Servers des Internet Service Pro viders statisch folgendes Feld Werden die Adressdaten f r den Zugang zum PPTP Server nicht per DHCP vom Internet Service Provider geliefert dann muss die IP Adresse gegen ber dem PPTP Server angegeben werden als lokale IP Adresse Lokale IP IP Adresse unter der der Protector vom PPTP Server aus zu er reichen ist Mod
53. SOPHIA Protector Benutzerhandbuch Protector Software Release 2 1 SOPHIA Schweiz AG Morgenstrasse 131b CH 3018 Bern Telefon 41 31 994 1138 Fax 41 31 994 1128 info sophia ch http www sophiafirewall ch SOPHIA AG November 2004 SOPHIA und Protector sind registrierte Handelsnamen der SOPHIA Schweiz AG Die Protector Technologie ist von der Innominate Security Technologies AG durch das Patent 10138865 erteilt durch das Deutschen Patentamt gesch tzt Weitere Patente sind angemeldet Weder Gesamtdokument noch Teile davon d rfen ohne schriftliche Genehmi gung bertragen oder kopiert werden Die SOPHIA AG beh lt sich das Recht vor jederzeit und ohne Benachrichtigung dieses Dokument zu ver ndern Die SOPHIA AG bernimmt keine Gew hrlei stung f r diese Unterlagen Dies gilt ohne Einschr nkung auch f r die still schweigende Zusicherung der Verk uflichkeit und der Eignung f r einen bestimmten Zweck Die SOPHIA AG bernimmt ferner keine Haftung f r Fehler m vorliegenden Handbuch sowie f r zuf llige oder Folgesch den m Zusammenhang mit der Lie ferung Leistung oder Verwendung dieser Unterlagen Ohne die vorherige schriftliche Zustimmung der SOPHIA AG darf dieses Hand buch weder teilweise noch vollst ndig fotokopiert vervielf ltigt oder n eine an dere Sprache bersetzt werden Inhalt Inhalt ME CEET LEE 4 MV PINS PC AUT CS nenne erlassenen 4 Firewall Fe tures ausser lea 4 Wen
54. Sie einen zweiten DHCP Server in einem Netzwerk installieren k nnte dadurch die Konfiguration des gesamten Netzwerks beeinflusst werden 81 von 90 Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware 6 2 1 DHCP und TFTP Server unter Windows bzw Linux installieren Unter Windows Installieren Sie das Programm das sich auf der CD befindet Gehen Sie dazu wie folgt vor 1 Ist der Windows Rechner an einem Netzwerk angeschlossen trennen Sie ihn von diesem 2 Kopieren Sie die Software in einen beliebigen leeren Ordner des Windows Rechners Starten S e das Programm TFTPD32 EXE 3 Die festzulegende Host IP lautet 192 168 10 1 Das muss auch die Adresse f r die Netzwerkkarte sein Klicken Sie die Schaltfl che Browse um auf den Ordner zu wechseln wo die Protector Imagedateien gespeichert sind install p7s jffs2 img p7s Die Image Dateien be Tftpd32 by Ph Jounin a ID x finden sich auch auf der Current Directory Em Browse CD die zum Lieferum Server interlace 132 168 10 1 Show Dir fang geh rt 88 Tftp Server DHCP server Revd DHCF Discover Meg for IF 0 0 0 0 Mac OU UC RBE OTI OUER 26 11 09 41 15 694 DHCP proposed address 192 168 170 200 26 17 09 41 19 694 Rcvd DHCF Agst Mag for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 704 Previously allocated address acked 26 11 09 41 19 714 Connection received from 192 168 170 200 on port 1024 26711 09 41 19 774
55. Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller SMTP Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 77 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen 38 von 90 Antivirus gt POP3 Einstellungen Konfiguration ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das SMTP Protokoll an Der SMTP Standardport 25 ist bereits voreingestellt DO Das Einschalten des SMTP Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist fiir die in dieser Regel angegebenen Server deaktiviert Eine Deaktivierung des Virenfilters erfolgt erst nachdem die laufende Ver bindung beendet wurde Deshalb sollten Sie nach einer Ver nderung der Ein stellungen des Virenfilters einen bereits laufenden SMTP E Mail Transfer
56. Spezialf lle lassen s ch diese Werte auch vorgeben z B n folgendem Fall Der angeschlossene Rechner nimmt nur eingehende Verbindungen ent gegen so dass keine automatische Konfiguration erfolgen kann statisch Wenn der Protector keinen ber hn laufenden Netzwerkverkehr analysieren kann z B weil zum lokal angeschlossenen Rechner nur Daten ein aber nicht ausgehen dann muss die Stealth Konfiguration auf statisch gesetzt werden In diesem Fall machen Sie zu folgenden Punkten die entsprechenden Anga ben e IP Adresse des angeschlossenen Clients e Netzmaske des Clients e Default Gateway des Clients e MAC Adresse des Clients Das ist die physikalische Adresse der Netzwerkkarte des lokalen Rechners an dem der Protector ange schlossen ist Die MAC Adresse ermitteln Sie wie folgt Auf der DOS Ebene Men Start Alle Programme Zubeh r Eingabeauf forderung folgenden Befehl eingeben ipconfig all Netzwerk gt Router Konfiguration kk U A EEE E Y PROTECTOR DSSS Netzwerk gt Router Basis l Stealth Router PPPoE Externe Konfiguration per DHCP beziehen Nein v PPTP LZ Status Wenn DHCP auf Nein gesetzt ist werden die folgenden Angaben ben tigt Filter Externe Netzwerke sail PA CO a i ZEIT Dienste Zugang gang Externes Interface ES SE Zus tzliche externe Routen Lary Neu Neustart Default Gateway Abmelden IP des Default Gateways fooo20 Voraussetzung Der Protector ist auf den Netzwerk M
57. TOR PN gt L2TP Netzwerk Starte L2TP Server f r IPsec L2TP Ja v VPN F Lokale IP f r L2TP Verbindungen 10 106 106 1 Verbindungen gt Maschinen Zertifikat Zuweisung von IPs f r L2TP Gegenstellen von 10 106 106 2 L2TP IPsec Status bis 110 106 106 254 L2TP Status VPN Logs Dienste Bitte beachten Sie Diese Regeln gelten nicht im Steaithmodus Zugang Neustart Abmelden Start L2TP Server f r IPsec L2TP Ja Nein Wollen S e eine L2TP Verbindung erm glichen setzen Sie diesen Schalter auf Ja Innerhalb der IPsec Transport Verbindung beinhaltet die L2TP Verbindung wie derum eine PPP Verbindung Im Ergebnis entsteht dadurch praktisch eine Art Tunnel zwischen 2 Netzen Dabei teilt der Protector der Gegenstelle ber PPP mit welche Adressen benutzt werden f r sich selber und die entfernte Gegen stelle Lokale IP f r L2TP Verbindungen Nach dem obigen Screenshot teilt der Protector der Gegenstelle mit er habe die Adresse 192 168 1 1 Zuweisung von IPs f r L2TP Gegenstellen VPN gt IPsec Status Nur Anzeige 58 von 90 Nach dem obigen Screenshot teilt der Protector der Gegenstelle mit diese habe die Adressen ab 10 106 106 2 bei einem einzigen Rechner bis 10 106 106 254 bei mehreren Rechnern Konfiguration ore PROTECTOR DSSS VPN gt IPsec Status Netawerk 5 File Antivirus A Verbindung ISAKMP Status IPsec Status sophia CE 10 0 0 153 any Me HE 192 168 1 152 192 168 254
58. Taste f r Neustart Recovery Prozedur und Flashen der Firmware Statusanzeige Die 3 gr nen LEDs bilden e n Lauflicht Dann wird vom TFTP Server die Software jffs2 mg p7s heruntergeladen und in den Flashspeicher geschrieben Diese Datei enthalt das eigentliche Protec tor Betriebssystem und ist elektronisch signiert Nur von Innominate signierte Dateien werden akzeptiert Statusanzeige Die 3 griinen LEDs bilden ein Lauflicht Das L schen und Schreiben dauert ca 3 bis 5 Minuten Dann wird der Protector automatisch neu gestartet Die neue Software wird entpackt und konfiguriert Das dauert ca 5 Minuten Statusanzeige Die mittlere LED Heartbeart leuchtet kontinuierlich Sobald die Prozedur beendet ist blinken alle 3 LEDs gleichzeitig in Gr n Starten Sie den Protector neu Dr cken S e dazu kurz die Recovery Taste ODER Unterbrechen Sie seine Stromversorgung und schlie en Sie ihn dann wieder an per USB Kabel das ausschlie lich zur Stromversorgung dient Folge Der Protector befindet s ch im Auslieferungs Zustand Konfigurieren S e hn neu siehe Lokale Konfigurationsverbindung herstellen auf Seite 13 Zum Flashen der Firmware muss auf dem lokal angeschlossenen Rechner bzw Netzwerk Rechner ein DHCP und TFTP Server installiert sein DHCP Dynamic Host Configuration Protocol TFTP Trivial File Transfer Protocol Installieren Sie den DHCP und TFTP Server falls notwendig siehe unten D gt Falls
59. Verschl sselung und zugeh riger Daten belegt Damit der Benutzer eines zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von seinem tats chlichen Aussteller und damit der Instanz stammt die die zu versen denden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Diese Be glaubigung der Echtheit des ffentlichen Schl ssels und die damit verbundene Verkn pfung der Identit t des Ausstellers mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Re geln der CA indem der Aussteller des ffentlichen Schl ssels beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher berpr fung signiert die CA den ffentliche Schl ssel mit ihrer digitalen Unterschrift ihrer Signatur Es ent steht ein Zertifikat Ein X 509 v3 Zertifikat beinhaltet also einen ffentlichen Schl ssel Informa tionen ber den Schl sseleigent mer angegeben als Distinguised Name DN erlaubte Verwendungszwecke usw und der Signatur der CA Die Signatur entsteht wie folgt Aus der Bitfolge des ffentlichen Schl ssels den Daten ber seinen Inhaber und aus weiteren Daten erzeugt die CA eine individu elle Bitfolge die bis zu 160 Bit lang sein kann den sog HASH Wert Diesen ver schl sselt die CA mit ihrem privaten Schl ssel und f gt ihn dem Zertifikat hinzu Durch die Verschl sselung mit dem priv
60. Versendung von E Mails genutzt Konfiguration des E Mail Clients Meldungen des Virenfilters Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten S e Verschl sselungsoptionen w e TLS nicht aktivieren Im Falle der De tekt on eines Virus oder beim Auftreten von Fehlern wird der E Mail Client des Absenders durch einen Fehlercode benachrichtigt und ein Logeintrag im Antivi rus Log vorgenommen Der urspr ngliche Empf nger erh lt weder die infizierte Mail noch eine Benachrichtigung Konfiguration kb lE A PROTECTOR DEES Antivirus gt SMTP Einstellungen Netzwerk Anti Virus Schutz fiir SMTP E Mail Versand Nein v SMTP Einstellungen scannen bis zur Grosse von default 1MB 5MB v POP3 Einstellungen HTTP Einstellungen bei berschreiten der Gr ssenbegrenzung E Mail blockieren v Datenbank Update n Lizenzstatus Liste der SUTR Semer Lizenzanforderung instaliere Lizenz AO scannen oo P Neu Dienste Zugang System sid Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r SMTP muss der zu scannende Adressbereich mit entsprechenden Firewallregein freigeschaltet werden 4 Neustart E Abmelden Powered by 3 ANTI VIRUS Anti Virus Schutz f r SMTP E Mail Versand Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f
61. achung DynDNS Registrierung DynDNS Server dyndns org DynDHS Login TP Remote Logging DynDHS Passwort DynDHS Hostname host example com Neustart Abmelden dre SE ie CH TD A Zum Aufbau von VPN Verbindungen muss mindestens die IP Adresse eines der Partner bekannt sein damit diese miteinander Kontakt aufnehmen k nnen Diese Bedingung ist nicht erf llt wenn beide Teilnehmer hre IP Adressen dynamisch von ihrem Internet Service Provider zugewiesen bekommen In diesem Fall kann aber ein DynDNS Service wie z B DynDNS org oder DNS4BIZ com helfen Bei einem DynDNS Service wird die jeweils g ltige IP Adresse unter einem fe sten Namen registriert wird Siehe auch DynDNS Service auf Seite 7 Sofern Sie f r einen vom Protector unterst tzten DynDNS Service registriert sind k nnen Sie in diesem Dialogfeld die entsprechenden Angaben machen Diesen Protector bei einem DynDNS Server anmelden Ja Nein Wahlen Sie Ja wenn Sie beim DynDNS Anbieter entsprechend registriert sind und der Protector den Service benutzen soll Dann meldet der Protector die aktu elle IP Adresse die dem eigenen Internet Anschluss vom Internet Service Provi der zugewiesen ist an den DynDNS Service Meldeintervall Sekunden Standard 420 Sekunden Immer wenn die IP Adresse des eigenen Internet Anschlusses ge ndert wird oder ist informiert der Protector den DynDNS Service ber die neue IP Adresse Aus Zuverl ssigkeitsgr nde
62. ale Zahl neuer ausgehender TCP Verbindungen SYH pro Sekunde 75 NAT Erweiterte Einstellungen Maximale Zahl neuer eingehender TCP Verbindungen SYH pro Sekunde 25 Maximale Zahl ausgehender Ping Pakete ICMP Echo Request pro Sekunde Antivirus ii d en E VPN Maximale Zahl eingehender Ping Pakete ICMP Echo Request pro Sekunde g Aktiviere FTP HAT Connection Tracking Unterst tzung Dienste Ja E u g a ng Aktiviere IRC HAT Connection Tracking Unterst tzung Ja e S stem Aktiviere PPTP HAT Connection Tracking Unterst tzung Nein y Hur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests und ARP Replies pro Sekunde 500 N eu sta rt Jeweils maximale Zahl eingehender ARP Requests und ARP Replies pro Sekunde 500 Abmelden Router Modi ICMP von extern zum Protector Werwerten A Standardeinstellungen Die Einstellungen betreffen das grundlegende Verhalten der Firewall Maximale Zahl Diese 5 Eintr ge legen Obergrenzen fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Konfiguration Aktiviere FTP NAT Connection Tracking Unterst tzung Wird beim FTP Protokoll eine ausgehende Verbindung hergestellt um Daten abzurufen gibt es zwei Varianten
63. alth Modus keine Wirkung Im Stealth Modus lautet die IP Adresse immer 1 1 1 1 Zus tzliche interne Routen Router PPPoE PPTP Modus S nd am lokal angeschlossen Netz weitere Subnetze angeschlossen k nnen S e zus tzliche Routen definieren Siehe auch Netzwerk Beispielskizze auf Seite 78 5 Wollen Sie eine weitere Route zu einem Subnetz festlegen klicken Sie Neu Geben Sie an die IP Adresse des Subnetzes Netzwerkes ferner die IP Adresse des Gateways ber das das Subnetz angeschlossen ist Sie k nnen beliebig viele interne Routen festlegen E Wollen Sie eine interne Route l schen klicken Sie L schen DO Sind zus tzliche interne Routen festgelegt haben diese im Stealth Modus keine Wirkung Netzwerk gt Stealth Konfiguration TS fF TI PROTECTOR Protector Netzwerk gt Stealth Basis Stealth F J Router Stealth Konfiguration automatisch aise Die folgenden Einstellungen werden nur bei statischer Konfiguration des Stealth Modus ber cksichtigt Status IP Adresse 0 0 0 0 Filter ss ss emm E gun Dienste MAC Adresse des Clients 0 0 0 0 0 0 Neustart Abmelden Voraussetzung Der Protector st auf den Netzwerk Modus Stealth gestellt 25 von 90 Konfiguration Stealth Konfiguration automatisch Standard Der Protector analys ert den Netzwerkverkehr der ber hn l uft und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet transparent F r
64. ameter des Protector Hintergrund Nur diese Berechtigungsstufe erlaubt es sich per SSH so mit dem Ger t zu verbinden dass man das ganze System auf den Kopf stellen kann Dann kann man es nur noch mit Flashen der Firmware in seinen Auslie ferungszustand zur ckbringen siehe Flashen der Firm ware auf Seite 80 Voreingestelltes Rootpasswort root Administrator Bietet die Rechte f r die Konfigurationsoptionen d e ber die webbasierte Administratoroberfl che zug nglich s nd Voreingestellter Benutzername admin Voreingestelltes Passwort Protector Der Benutzername admin kann nicht ge ndert werden Nutzer Ist ein Nutzerpasswort festgelegt und aktiviert dann muss der Benutzer nach jedem Neustart des Protector bei Zugriff auf eine beliebige HTTP URL dieses Passwort angeben damit VPN Verbindungen m glich sind Wollen Sie diese Option nutzen legen Sie im entsprechen den Eingabefeld das Nutzerpasswort fest Rootpasswort Werksseitig voreingestellt root Wollen Sie das Rootpasswort ndern geben Sie ins Feld Altes Passwort das alte Passwort ein in die beiden Felder darunter das neue gew nschte Passwort Administratorpasswort Account admin Werksseitig voreingestellt Protector unver nderbarer Benutzername admin 68 von 90 Konfiguration Aktiviere Nutzerpasswort Nein Ja Werksseitig ist Nutzer Passwortschutz ausgeschaltet Ist unten ein Nutzerpasswort festgelegt kann der Nutzer Passwortschutz mit die se
65. anteile unterschiedlich gro 1 Byte 2 Byte 3 Byte 4 Byte o De We Ob eine IP Adresse ein Ger t in einem Netz der Kategorie Class A B oder C be zeichnet ist am ersten Byte der IP Adresse erkennbar Folgendes ist festgelegt Wert des Bytes f r die Bytes f r die 1 Byte Netzadresse Host Adresse Class C 192 223 3 1 Rein rechnerisch kann es nur maximal 126 Class A Netze auf der Welt geben jedes dieser Netze kann maximal 256 x 256 x 256 Hosts umfassen 3 Bytes Adressraum Class B Netze k nnen 64 x 256 mal vorkommen und k nnen je weils bis zu 65 536 Hosts enthalten 2 Bytes Adressraum 256 x 256 Class C Netze k nnen 32 x 256 x 256 mal vorkommen und k nnen jeweils bis zu 256 Hosts enthalten 1 Byte Adressraum Subnetz Maske Einem Unternehmens Netzwerk mit Zugang zum Internet wird normalerweise nur eine einzige IP Adresse offiziell zugeteilt z B 134 76 0 0 Bei dieser Bei spiel Adresse ist am 1 Byte erkennbar dass es sich bei diesem Unternehmens Netzwerk um ein Class B Netz handelt d h die letzten 2 Byte k nnen frei zur Host Adressierung verwendet werden Das ergibt rein rechnerisch einen Adress raum von 65 536 m glichen Hosts 256 x 256 Ein so riesiges Netz macht wenig Sinn Hier entsteht der Bedarf Subnetze zu bil den Dazu dient die Subnetz Maske Diese ist wie eine IP Adresse ein 4 Byte lan ges Feld Den Bytes die die Netz Adresse repr sentieren ist jeweils der Wert 255 zugewiesen Das die
66. aten Schl ssel der CA st die Echtheit belegt d h die verschl sselte HASH Zeichenfolge ist die digitale Unterschrift der CA ihre Signatur Sollten die Daten des Zertifikats missbr uchlich ge ndert werden stimmt dieser HASH Wert nicht mehr das Zertifikat ist dann wertlos Der HASH Wert wird auch als Fingerabdruck bezeichnet Da er mit dem priva ten Schl ssel der CA verschl sselt ist kann jeder der den zugeh rigen ffentli chen Schl ssel besitzt d e Bitfolge entschl sseln und damit die Echtheit dieses Fingerabdrucks bzw dieser Unterschrift berpr fen Durch die Heranziehung von Beglaubigungsstellen ist es m glich dass nicht je der Schl sseleigent mer den anderen kennen muss sondern nur die benutzte Be glaubigungsstelle Die zus tzlichen Informationen zu dem Schl ssel vereinfachen zudem die Administrierbarkeit des Schl ssels X 509 Zertifikate kommen z B bei Email Verschl sselung mittels S MIME oder IPsec zum Einsatz Ger te die miteinander kommunizieren m ssen dieselben Regeln dazu verwen den Sie m ssen dieselbe Sprache sprechen Solche Regeln und Standards be zeichnet man als Protokoll bzw bertragungsprotokoll Oft benutze Protokolle sind z B IP TCP PPP HTTP oder SMTP TCP IP ist der Oberbegriff f r alle auf IP aufbauenden Protokolle Anbieter Firma Institution die Nutzern den Zugang zum Internet oder zu einem Online Dienst verschafft Spoofing Antispoofing Symmetrische Ver schl
67. ation s u den entsprechenden Eintrag machen NTP Status Anzeige des aktuellen NTP Status Aktiviere NTP Zeitsynchronisation Ja Nein Sobald das NTP aktiviert ist bezieht der Protector die Zeit aus dem Internet und zeigt diese als aktuelle Systemzeit an Die Synchronisation kann einige Sekun den dauern Nur wenn dieser Schalter auf Ja steht und unter NTP Server zur Synchronisation s u mindestens Zeitserver angegeben ist wird die aktuelle Systemzeit zur Verf gung gestellt NTP Server zur Synchronisation Geben Sie hier einen oder mehrere Zeitserver an von denen der Protector die ak tuelle Zeitangabe beziehen soll Falls Sie mehrere Zeitserver angeben verbindet sich der Protector automatisch mit allen um die aktuelle Zeit zu ermitteln DO Wenn Sie statt einer IP Adresse einen Hostnamen z B pool ntp org ange ben muss ein DNS Server festgelegt sein siehe Dienste gt DNS auf Seite 61 DO Arbeitet der Protector im Stealth Modus und sind mehrere Zeitserver angege ben werden nur die ersten beiden Zeitserver in der Liste benutzt Do Arbeitet der Protector im Router PPPoE oder PPTP Modus stellt er auch den angeschlossenen Rechnern die NTP Zeit zur Verf gung Zeitzone in POSIX 1 Notation 66 von 90 Soll oben unter Aktuelle Systemzeit n cht die aktuelle Greenwich Zeit angezeigt werden sondern Ihre aktuelle Ortszeit abweichend von der Greenwich Zeit dann tragen S e hier ein um wieviel Stunden
68. bweisen als Aktion nicht m glich Log Zugang gt SSH Konfiguration F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen LE oder nicht Log auf Nein setzen werksseitige Voreinstellung Konfiguration JE FFE Perri bet Cot DSSS Se Zugang gt SSH ae a Antivirus a y Port fiir SSH Verbindungen nur Fernzugang 22 Dienste Firewaliregein zu Freigabe des SSH Zugriffs Passwo rte 0 0 0 00 extern Y Annehmen Y Nein v Sprache T HTTPS a neu abe Diese Regeln gestatten es SSH Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Fernzugriffs muss der Adressbereich mit entsprechenden Firewallregein freigeschaltet werden Neustart Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln Abmelden zum Portforwarding Bei eingeschaltetem SSH Fernzugang kann der Protector von einem entfernten Rechner aus konfiguriert werden durch Kommandozeilen Eingabe Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass ein s cheres Root und Administrator Passwort festg
69. chen dann OK Neue Regel setzen 5 Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK gt Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also auschlaggebend f r das Ergebnis gt Der Virenfilter kann parallel insgesamt bis zu 50 gleichzeitige Verbindungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl tiberschrit ten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller HTTP Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 77 gt Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das HTTP Protokoll an Der HTTP Standardport 80 ist bereits voreingestellt DO Das Einschalten des HTTP Virenfilters ffnet die Firewall f
70. de Liste fest DO Wenn Sie Nutzer definiert eingestellt haben m ssen Sie die lokal ange schlossenen Clients so konfigurieren dass sie die Adresse des Protector ver wenden um von ihm die Aufl sung von Hostnamen in IP Adressen zu beziehen Siehe IP Konfiguration bei Windows Clients auf Seite 65 Erl uterung zu DynDNS siehe unten Dienste gt DynDNS Registrierung Konfiguration GJ F FE PROTECTOR DEES Dienste gt DynDNS Uberwachung Filter e Hostnamen von VPN Gegenstellen berwachen Fa v Antivirus cmv 7 be DNS DynDNS berwachung DynDNS Registrierung DHCP NTP Remote Logging Zugang Neustart Abmelden Hostnamen von VPN Gegenstellen berwachen Ja Nein Ist dem Protector die Adresse der VPN Gegenstelle als Hostname angegeben siehe VPN gt Verbindungen auf Seite 48 und ist dieser Domain Name von einem DynDNS Service zugeteilt dann kann der Protector regelm ig Dienste gt DynDNS Registrierung Konfiguration berpr fen ob beim betreffenden DynDNS keine nderung erfolgt ist Falls ja wird die VPN Verbindung zu der neuen IP Adresse aufgebaut Abfrageintervall Sekunden Standard 300 Sekunden Konfiguration kk ll D IT en PROTECTOR DEES Dienste gt DynDNS Registrierung Netzwerk Nein v GC Diesen Protector bei einem DynDHS Server anmelden Antivirus DynDHS Anbieter ry 11 Innominate TinyDynDNS v DNS DynDNS berw
71. den Die bertragenenen Datenbl cke einer E Mail oder einer HTTP Verbindung werden aus dem Datentransfer ausgefiltert falls notwendig dekomprimiert und durch den Kaspersky Virenfilter berpr ft Dazu wird f r jedes unterst tzte Protokoll eine Port Redirection Regel in die Fi rewall eingef gt die eine interne Umleitung der Verbindung zu einem transpa renten Proxy bewirkt Im Falle eines erkannten Virus wird je nach Protokoll entweder eine Fehlermel dung als E Mail an den Nutzer gesendet eine Protokollfehlermeldung generiert bzw ein Eintrag im Antivirus Log vorgenommen Falls der Virenfilter keinen Virus findet wird der Datenblock vom Proxy unver ndert weitergesendet Details erfahren Sie in den folgenden Abschnitten zu den jeweiligen Protokollen DO Der Antivirus Schutz ist gegenw rtig nur im Routermodus des Protector funktionsf hig Der Virenfilter kann folgende Formate dekomprimieren e ZIP e RAR e Mail e Embedded RFC822 MIME Anh nge an E Mails MS OLE inklusive gzip ped embedded Skripte e GZIP e Compress Die Unterst tzung weiterer Formate Trap UPX ist in Vorbereitung Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Antiviren Lizenz Nur mit installierter Lizenz ist das Men Antivirus aktiviert Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Antivirus gt Lizenzanforderung e Zugriff auf einen Update Server
72. den Voraussetzungen S e haben die Software des Protector von der Protector CD kopiert oder vom SOPHIA Support bezogen und auf dem Konfigurations Rechner gespei chert DHCP und TFTP Server sind auf demselben Rechner installiert siehe Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server auf Seite 81 Recovery Taste gedr ckt halten bis der Recovery Status wie folgt eintritt Der Protector wird neu gestartet nach a 1 5 Sekunden nach weite ren ca 1 5 Sekunden gelangt der Protector in den Recovery Status Statusanzeige des Recovery Status Alle LEDs leuchten in Gr n Sp testens 1 Sekunde nach Eintritt des Recovery Status die Recovery Taste loslassen Falls Sie die Recovery Taste nicht loslassen wird der Protector neu gestar tet Folge Der Protector startet das Recovery System Er sucht ber die Schnittstelle f r den lokal angeschlossenen Rechner bzw das lokal angeschlossene Netzwerks nach dem DHCP Server um von diesem eine IP Adresse zu beziehen Statusanzeige Die mittlere LED Heartbeat blinkt Vom TFTP Server wird die Datei install p7s geladen Diese enth lt die elek tronisch unterschriebene Kontrollprozedur f r den Installationsvorgang Nur von Innominate unterschriebene Dateien werden geladen Die Kontrollprozedur l scht nun den Flashspeicher und bereitet die Neuin stallation der Software vor Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server Die Recovery
73. e als Adresse des gegen berliegenden Netzes bei der Konfiguration der VPN Verbindung anzugeben ist Der lokal am Protector angeschlossene Rechner web von dieser virtuellen IP nichts unter der er von der Gegenseite angesprochen wird D h er muss nicht konfiguriert werden Das bedeutet praktisch L Geben Sie eine beliebige IP Adresse in der Form 192 xxx xxx xxx X eine beliebige Ziffer an die aber nicht auf der Gegenseite bereits verge ben sein darf Stimmen Sie sich also mit der Gegenseite ab Diese virtuelle IP Adresse ist bei der entfernten Gegensstelle bei der Konfiguration dieser VPN Verbindung als Adresse des gegen berlie genden Netzes anzugeben Konfiguration Die Adresse des gegen berliegenden Netzes Die dazugeh rige Netzmaske Mit diesen beiden Angaben geben Sie die Adresse des Netzes an in dem sich der entfernte Kommunikationspartner befindet Diese Adresse kann auch die eines Rechners sein der direkt am VPN Gateway angeschlossen ist der Gegenstelle Tunnel Die Adresse des gegen berliegenden Netzes Kann auch ein Einzelrechner sein So UU Die Adresse VPN Gateways der Gegenstelle Firewall eingehend Firewall ausgehend W hrend die unter dem Men punkt Filter vorgenommenen Einstellungen sich nur auf Nicht VPN Verbindungen beziehen siehe oben unter Filter gt Eingehend auf Seite 30 beziehen sich die Einstellungen hier ausschlie lich auf die hier definierte VPN Verbindung Da
74. echenden Dokumentation 83 von 90 Glossar 7 Glossar Asymmetrische Verschl sselung DES 3DES AES Client Server 84 von 90 Bei der asymmetrischen Verschl sselung werden Daten mit einem Schl ssel ver schl sselt und mit einem zweiten Schl ssel wieder entschl sselt Beide Schl ssel eignen s ch zum Ver und Entschl sseln Einer der Schl ssel wird von seinem Ei gent mer geheim gehalten Privater Schl ssel Private Key der andere wird der ffentlichkeit ffentlicher Schl ssel Public Key d h m glichen Kommuni kationspartnern gegeben Eine mit dem ffentlichen Schl ssel verschl sselte Nachricht kann nur von dem Empf nger entschl sselt und gelesen werden der den zugeh rigen privaten Schl ssel hat Eine mit dem privaten Schl ssel verschl sselte Nachricht kann von jedem Empf nger entschl sselt werden der den zugeh rigen ffentlichen Schl ssel hat Die Verschl sselung mit dem privaten Schl ssel zeigt da d e Nachricht tats chlich vom Eigent mer des zugeh rigen ffentlichen Schl ssels stammt Daher spricht man auch von digitaler Signatur Unterschrift Assymetrische Verschl sselungsverfahren wie RSA sind jedoch langsam und anfallig f r bestimmte Angriffe weshalb sie oft mit einem symmetrischen Ver fahren kombiniert werden gt symmetrische Verschl sselung Andererseits sind Konzepte m glich die die aufwendige Administrierbarkeit von symmetrischen Schl sseln vermeiden Der von IBM
75. ehenden Verbindungen zul sst Ist keine Regel gesetzt sind alle ausgehenden Verbindungen verboten au er VPN Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Neue Regel setzen LE Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Zur Best tigung erhalten Sie eine Systemmeldung Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise s ehe CIDR Classless InterDomain Routing auf Seite 77 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 31 von 90 Konfiguration Filter gt Port Wei terleitung 32 von 90 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine
76. ei auf dem Rechner gespeichert 1 Konfigurieren klicken Folge Der Bildschirm VPN gt Verbindungen gt Verbindung xyz gt X 509 Zer tifikat erscheint xyz ist der jeweilige Name der Verbindung 2 Durchsuchen klicken und die Datei selektieren 3 Importiere klicken 51 von 90 Konfiguration Nach dem Import wird der Inhalt des neuen Zertifikats angezeigt siehe nach folgende Abbildung Eine Erl uterung der angezeigten Informationen finden Sie im Kapitel VPN gt Maschinenzertifikat auf Seite 56 VPN gt Verbindungen gt Verbindung urban gt X 509 Zertifikat ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN Identity 001 emailAddress mhopf innominate com issuer C DE Aktuelles Zertifikat ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN mGuard Team IPsec CA emailAddress mhopf innominate com MDS Fingerprint 80 42 60 7F 53 46 DF A6 2D 34 E4 43 7B 53 F5 08 SHA1 Fingerprint 73 03 B0 B2 84 9C 97 58 B8 3D 05 D5 56 F1 64 C4 61 AA 47 4B notBefore May 15 15 15 44 2003 GMT notAfter May 14 15 15 44 2004 GMT Pre Shared Secret Key PSK Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen un terst tzt Dabe verschl sselt der Protector die Datagramme die er zur Gegen stelle dem Tunnelende sendet mit dem ffentlichen Schl ssel der Gegenstelle Dateiname cer oder pem Um den verabredeten Schl ssel dem Protector zur Verf gung z
77. ei der entfernten Gegenstelle im Web Browser diese Port Nummer nicht hinter der Adresse angegeben werden Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B wie folgt 192 144 112 5 442 Firewall Regeln zu Freigabe des HTTPS Zugriffs Von IP Interface Aktion Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines HTTP Fernzugriffs Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen Neue Regel setzen 5 Wollen Sie eine neue Regel zu setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Geben Sie hier die Adresse n des der Rechners an dem denen Fernzugang er laubt ist Bei den Angaben haben Sie folgende M glichkeiten e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 77 extern fest vorgegeben M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist A
78. elegt ist Um SSH Fernzugang zu erm glichen machen Sie folgende Einstellungen Aktiviere SSH Fernzugang Ja Nein Wollen Sie SSH Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja gt Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Firewall Regeln so zu setzen dass von au en auf den Protector zugegriffen werden kann Port f r SSH Verbindungen nur Fernzugang Standard 22 S e k nnen einen anderen Port festlegen Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressenan gabe hinter die IP Adresse die Port Nummer angeben die hier festgelegt ist Beispiel Ist dieser Protector ber die Adresse 192 144 112 5 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 22 festgelegt dann muss bei der entfernten Gegenstelle im SSH Client z B Web Browser diese Port Nummer nicht angegeben werden Bei einer anderen Port Nummer z B 22222 ist diese anzugeben z B ssh p 22222 192 144 112 5 Firewall Regeln zu Freigabe des SSH Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines SSH Fernzugriffs 71 von 90 Konfiguration Von IP Interface Aktion Log Zugang gt SNMP nur Protector M L 72 von 90 Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen Neue Regel setzen E Wollen Sie eine neue Regel zu setzen klicken S e Neu Legen Sie die gew nschte Regel fe
79. eleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln Abmelden zum Portforwarding Bei eingeschaltetem HTTPS Fernzugang kann der Protector ber seine webba s erte Administratoroberfl che von einem entfernten Rechner aus konfiguriert werden Das hei t auf dem entfernten Rechner wird der Browser benutzt um den lokalen Protector zu konfigurieren Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn S e Fernzugriff erm glichen achten S e darauf dass e n s cheres Root und Administrator Passwort festgelegt ist Um HTTPS Fernzugang zu erm glichen machen Sie nachfolgende Einstellun gen 69 von 90 Konfiguration 70 von 90 Aktiviere HTTPS Fernzugang Ja Nein Wollen Sie HTTPS Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja B gt Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Firewall Regeln so zu setzen dass von au en auf den Protector zugegriffen werden kann Port f r HTTPS Verbindungen nur Fernzugang Standard 443 S e k nnen einen anderen Port festlegen Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressenan gabe hinter die IP Adresse die Port Nummer angeben die hier festgelegt ist Beispiel Ist dieser Protector ber die Adresse 192 144 112 5 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 443 festgelegt dann muss b
80. elle den lokalen Protector anrufen die ihre eigene IP Adresse vom Internet Service Provider dynamisch zugewie 49 von 90 Konfiguration sen erh lt d h eine wechselnde IP Adresse hat Nur wenn in diesem Szenario die entfernte anrufende Gegenstelle auch eine feste und bekannte IP Adres se hat k nnen Sie diese IP Adresse angeben Ger te und Adressen __ _ Tunnel Die Adresse des gegen der Gegenstelle berliegenden Netzes Kann auch ein Einzelrechner sein Die Adresse des VPN Gateways der Gegenstelle Verbindungstyp Es stehen zur Auswahl Tunnel Netz gt Netz Transport Host gt Host Transport L2TP Microsoft Windows Transport L2TP SSH Sentinel Tunnel Netz gt Netz Dieser Verbindungstyp eignet sich in jedem Fall und ist der sicherste In die sem Modus werden die zu bertragenen IP Datagramme vollkommen ver schl sselt und mit einem neuen Header versehen zur VPN Gateway der Gegenstelle dem Tunnelende gesendet Dort werden die bertragenen Da tagramme entschl sselt und aus ihnen die urspr nglichen Datagramme wie derhergestellt Diese werden dann zum Zielrechner weitergeleitet Transport Host lt gt Host Bei diesem Verbindungstyp werden nur die Daten der IP Pakete verschl s selt Die IP Header Informationen bleiben unverschl sselt Transport L2TP Microsoft Windows Ist beim entfernten Rechner dieser Verbindungstyp aktiviert dann setzen Sie den P
81. elungsvorgang ist um so zeitaufwendiger je l nger der Schl ssel ist Dieser Gesichtspunkt spielt f r den Protector keine Rolle weil er mit Hardware basierter Verschl sselungstechnik arbeitet Jedoch k nnte dieser Aspekt f r die Gegenstelle eine Rolle spielen Der zur Auswahl stehende mit Null bezeichnete Algor thmus beinhaltet keinerlei Verschl sselung Pr fsummenalgorithmus Hash Lassen Sie die Einstellung auf Alle Algorithmen stehen Dann spielt es keine Rolle ob die Gegenstelle mit MD5 oder SHA 1 arbeitet IPsec SA Datenaustausch Im Unterschied zu JSAKMP SA Schl sselaustausch s 0 wird hier das Ver fahren f r den Datenaustausch festgelegt Die k nnen sich von denen des Schl sselaustauschs unterscheiden m ssen aber nicht Verschl sselungsalgorithmus S ehe oben Pr fsummenalgorithmus Hash S ehe oben Perfect Forward Secrecy PFS Verfahren zur zus tzlichen Steigerung der Sicherheit bei der Daten bertra gung Bei IPsec werden in bestimmten Intervallen die Schl ssel f r den Da tenaustausch erneuert Mit PFS werden dabei mit der Gegenstelle neue Zufallszahlen ausgehandelt anstatt sie aus zuvor verabredeten Zufallszahlen abzuleiten L Nur wenn die Gegenstelle PFS unterst tzt w hlen Sie Ja Bei Auswahl des Verbindungstyps Transport L2TP Microsoft Windows set zen Sie Perfect Forward Secrecy PFS auf Nein 53 von 90 Konfiguration Tunnel Einstellungen Lokale Ger te und Adressen
82. em IP Das ist die Adresse des PPTP Servers des Internet Service Pro viders Netzwerk gt Status Nur Anzeige 5 6 Menu Filter Konfiguration Konfiguration AAA Ile PROTECTOR GERT Netzwerk gt Status __Netzwe Basis Netzwerk Modus Stealth Router Externe IP PPPoE PPTP Status router static up 10 0 0 153 10 0 0 250 Default Gateway tiber externe IP VPN Dienste il Neustart Abmelden Netzwerk Modus Zeigt die aktuelle Betriebsart des Protector Stealth Router PPPoE oder PP TP Siehe Netzwerk gt Basis auf Seite 23 Externe IP Die IP Adresse des Protector an seinem An schluss fiir das externe Netz WAN bzw Inter net Wird dem Protector eine IP Adresse dynamisch zugeteilt k nnen Sie hier die gerade g ltige IP Adresse nachschlagen Im Stealth Modus bernimmt der Protector die Adresse des lokal angeschlossenen Rechners f r diese Schnittstelle Default Gateway ber externe IP Hier wird die externe IP Adresse des Protector angezeigt Im Stealth Modus steht hier none Der Protector beinhaltet eine Stateful Packet Inspection Firewall Die Verbin dungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst con nection tracking Dadurch s nd Regeln nur f r eine Richtung zu definieren Daten aus der anderen Richtung einer Verbindung und nur diese werden auto matisch durchgelassen Ein Nebeneffekt ist dass bestehende Verbindungen
83. emeinen nicht konfiguriert Das hei t der Rechner wei noch nicht dass der Netzwerkverkehr ber diese Schnittstelle l uft In diesem Fall m ssen Sie den Standardgateway initialisieren indem Sie ihm ei nen Dummy Wert zuweisen Gehen Sie dazu wie folgt vor Standardgateway initialisieren 1 Ermitteln Sie die zurzeit g ltige Standardgateway Adresse Unter Windows XP klicken Sie dazu Start Systemsteuerung Netzwerk verbindungen Symbol des LAN Adapters mit der rechten Maustaste klik ken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Registerkarte Allge mein unter Diese Verbindung verwendet folgende Elemente den Eintrag 11 von 90 Konfiguration 12 von 90 Hier die IP Adresse des Standardgateway nachschlagen oder festlegen Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigen schaften klicken so dass folgendes Dialogfeld angezeigt wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen i IP Adresse automatisch beziehen IP Adresse 192 la 168 8 Subnetzmaske 255 255 255 Standardgateway a eo i Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server
84. en Eintrag Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigen schaften klikken Im Dialogfeld Eigenschaften von Internetprotokoll TCP IP d e gebotenen Angaben bzw Einstellungen machen 65 von 90 Konfiguration Dienste gt NTP Konfiguration GJ fF Y PROTECTOR AAA Dienste gt NTP Netzwerk Aktuelle Systemzeit UTC Fri Jan 7 20 16 19 UTC 2000 Aktuelle Systemzeit lokale Zeit Fri Jan 7 20 16 19 UTC 2000 P eg HTP Status disabled Dienste DNS DynDNS berwachun ode A HTP Server zur Synchronisation NTP Server DynDNS Registrierung DHCP system Neustart _ Abmelden Aktiviere HTP Zeitsynchronisation Nein Y Neu Remote Logging Zeitzone in POSIX 1 notation Z B MEZ 1 innerhalb der EU oder MEZ 1MESZ M3 5 0 M10 5 0 3 mit UTC automatischem Wechsel von Som nd Winterzeit Zeitmarke im Dateisystem 2h Aufl sung Nein Y N eustart im Stealihmodus werden nur maximal zwei Zeitserver unterst tzt Weitere Zeitserver werden ignoriert Abmelden NTP Network Time Protokoll Aktuelle Systemzeit UTC Anzeige der aktuellen Systemzeit in Universal Time Coordinates UTC Wenn die NTP Zeitsynchronisation noch nicht aktiviert ist s u und Zeitmarken im Dateisystem deaktiviert sind beginnt die Uhr mit dem 1 Januar 2000 Aktuelle Systemzeit lokale Zeit Soll die eventuell abweichende aktuelle Ortszeit angezeigt werden m ssen Sie unter Zeitzone in POSIX 1 Not
85. ernkonfiguration ausgeschaltet Um die M glichkeit zur Fernkonfiguration einzuschalten siehe Abschnitt Zu sang gt HTTPS auf Seite 69 Um von einem entfernten Rechner aus den Protector zu konfigurieren stellen Sie von dort die Verbindung zum lokalen Protector her Gehen Sie wie folgt vor 1 Starten Sie dazu auf dem entfernten Rechner den Web Browser z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 der Web Browser muss SSL d h https unterst tzen 2 Als Adresse geben Sie an Die IP Adresse unter der die Gegenstelle ber das Internet bzw WAN erreichbar ist zus tzlich die Port Nummer Beispiel Ist dieser Protector ber die Adresse 192 144 112 5 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser folgende Adresse angegeben werden 192 144 112 5 15 von 90 Konfiguration Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B 192 144 112 5 442 gt Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Zugang gt Passworte auf Seite 68 16 von 90 Konfiguration 5 4 Men Protector Protector gt Instal liere Update Lesen Sie die README Datei Konfiguration AS IT oe PROTECTOR NN D Protect Protector gt Installiere Update Installiere Update Update S
86. erpent und Twofish Im Oktober 2000 hat man sich f r Rijndael als Verschliisselungsalgorithmus ent schieden In einer Client Server Umgebung ist ein Server ein Programm oder Rechner das vom Client Programm oder Client Rechner Anfragen entgegennimmt und beantwortet Bei Datenkommunikation bezeichnet man auch den Rechner als Client der eine Verbindung zu einem Server oder Host herstellt D h der Client st der anru fende Rechner der Server oder Host der angerufene Datagramm DynDNS Anbieter Glossar Beim bertragungsprotokoll TCP IP werden Daten in Form von Datenpaketen den sog IP Datagrammen versendet Ein IP Datagramm hat folgenden Aufbau IP Header TCP UDP ESP etc Header Daten Payload Der IP Header enth lt die IP Adresse des Absenders source IP address die IP Adresse des Empf ngers destination IP adress die Protokollnummer des Protokoll der n chst h heren Protokollschicht nach dem OSI Schichtenmodell die IP Header Pr fsumme Checksum zur berpr fung der Integrit t des Headers beim Empfang Der TCP UDP Header enth lt folgende Informationen Port des Absenders source port Port des Empf ngers destination port eine Priifsume ber den TCP Header und ein paar Informationen aus dem IP Header u a Quell und Ziel IP Adresse Auch Dynamic DNS Anbieter Jeder Rechner der mit dem Internet verbunden ist hat eine P Adresse IP Internet Protocol Eine P Ad
87. erten Daten in einem besser lesbaren Format pr sentieren Sie k nnen die Log Eintr ge auf einen externen Server bertragen Siehe Dien ste gt Remote Logging nur Protector M L auf Seite 67 76 von 90 5 12 CIDR Classless InterDomain Routing IP Netzmasken und CIDR sind Notationen die mehrere IP Adressen zu einem Adressraum zusammenfassen Dabe wird ein Bereich von aufeinanander folgen den Adressen als ein Netzwerk behandelt Das CIDR Verfahren reduziert die z B in Routern gespeicherten Routing Ta bellen durch ein Postfix n der IP Adresse Mit diesem Postfix kann ein Netz und die darunter liegende Netze zusammengefasst bezeichnet werden Die Methode ist in RFC 1518 beschrieben Um dem Protector einen Bereich von IP Adressen anzugeben z B bei der Kon figuration der Firewall kann es erforderlich sein den Adressraum in der CIDR Schreibweise anzugeben Die nachfolgende Tabelle zeigt links die IP Netzmas ke ganz rechts die entsprechende CIDR Schreibweise IP Netzmaske 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 295 254 252 248 240 224 192 128 255 255 255 255 259 255 255 255 255 259 255 255 255 255 32559 259 255 255 254 252 248 240 224 192 128 OO OO OO OO O OO OO OO OO O 255 255 255 255 2959 259 299 259 255 254 292
88. erver Installiere Lizenz Installiere lokale Package Set Datei Softwareinformation ES Lizenzinformation Dateiname Lizenzanforderung Hardwareinformation Netzwerk Installiere von Update Server II package set name Creus Dienste Neustart Abmelden Voraussetzung Sie haben ein aktuelles Software Paket entweder lokal auf Ihrem Konfigurations Rechner gespeichert haben ODER ber einen entfernten Server zur Verf gung gestellt bekommen Ob und auf welche Weise Sie an ein Software Update gelangen k nnen er fragen Sie bei Ihrem Distributor DO Sie d rfen w hrend des Updates auf keinen Fall die Stromversorgung des Protector unterbrechen Das Ger t k nnte ansonsten besch digt werden und nur noch durch den Hersteller reaktiviert werden Haben Sie ein aktuelles Software Update auf Ihrem Konfigurations Rechner ge speichert gehen Sie wie folgt vor 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Pakete klicken um sie in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem System Update ein Reboot erforderlich sein wird das angezeigt e Wird Ihnen ein aktuelles Software Update auf einem entfernten Server zur Verf gung gestellt muss dessen Adresse festgelegt sein siehe Protector gt Update Server auf Seite 18 Gehen Sie wie folgt vor 1 Schreiben Sie den Dateinamen in das Eingabefeld 2 Installiere Package Set klicken um sie
89. f Ja wenn Sie diese Funktion aktivieren wollen Dynamischen IP Adresspool aktivieren 64 von 90 Setzen Sie diesen Schalter auf Ja wenn sie den durch DHCP Bereichsan fang bzw DHCP Bereichsende gew hlten IP Adresspool verwenden wol len Setzen Sie diesen Schalter auf Nein wenn nur statische Zuweisungen an hand der MAC Adresse vorgenommen werden sollen siehe unten Optionen Bei aktiviertem DHCP Server und aktiviertem dynamischem IP Adresspool k nnen Sie die Netzwerkparameter angeben die vom Client benutzt werden sollen DHCP Bereichsanfang Anfang und Ende des Adressbereichs aus dem der DHCP Server des Protector den lokal angeschlossenen Clients IP Adressen zuweisen soll DHCP Bereichsende Lokale Netzmaske Voreingestellt ist 255 255 255 0 Default Gateway Lest fest welche IP Adresse beim Client als Standardgateway benutzt wird In der Regel ist das die lokale IP Adresse des Protector Konfiguration DNS Server Lest fest von wo Clients die Aufl sung von Hostnamen in IP Adressen beziehen Wenn der DNS Dienst des Protector aktiviert ist kann das die lokale IP Adresse des Protector sein Statische Zuweisungen anhand der MAC Adresse Die MAC Adresse Ihres Clients finden Sie wie folgt heraus Windows 95 98 ME Starten Sie winipcfg in einer DOS Box Windows NT 2000 XP Starten Sie ipconfig all in einer Eingabeaufforderung Die MAC Adresse wird als Physikalische Adresse angezeigt Linux Rufen sie in einer S
90. g tranfer Translate Unix file names Beep for 2168 10 1 W Use Titpd32 only on this interface Use anticipation window of I Bytes Allow DW As virtual root Default Help Cancel 82 von 90 Unter Linux Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware Alle aktuellen Linux Distributionen enthalten DHCP und TFTP Server Instal lieren Sie die entsprechenden Pakete gem der Anleitung der jeweiligen Distri bution Konfigurieren Sie den DHCP Server indem Sie in der Datei etc dhcp folgende Einstellungen vornehmen subnet 192 168 134 0 netmask 255 255 255 0 range 192 168 134 100 192 168 134 119 option routers 192 168 134 1 option subnet mask 255 255 255 0 option broadcast address 192 168 134 255 Diese Beispiel Konfiguration stellt 20 IP Adressen 100 bis 119 bereit Es wird angenommen dass der DHCP Server die Adresse 192 168 134 1 hat Ein stellungen fiir ISC DHCP 2 0 Der ben tigte TFTP Server wird in folgender Datei konfiguriert etc inetd conf F gen Sie in diese Datei die entsprechende Zeile ein oder setzen Sie die notwen digen Parameter f r den TFTP Service Verzeichnis f r Daten ist tftpboot tftp dgram udp wait root usr sbin in tftpd s tftpboot Starten Sie dann den inetd Prozess neu um die Konfigurations nderungen zu bernehmen Sollten Sie einen anderen Mechanismus verwenden z B xinetd dann informie ren Sie sich bitte in der entspr
91. guration Liste der POP3 Server S e k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r POP3 sen _ ____serverpot __ scannen Bea 110 Scan eines Subnetzes Ausklammerung eines trusted POP3 Servers ee ENT scannen 11 92 168 225 1110 cht Scannen 11 92 168 2 0 24 1 1 0 Scannen w Scan eines einzelnen untrusted POP3 Servers in einem Subnetz TTT port scannen f 92 168 2 O24 lad ME Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Neue Regel setzen 5 Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK DO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also auschlaggebend f r das Ergebnis gt Der Virenfilter kann parallel insgesamt bis zu 50 gleichzeitige Verbindungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl tiberschrit ten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller POP3 Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CI
92. hell sbin ifconfig oder ip link show auf Zuweisung l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Zuweisung hinzuf gen E Wollen Sie eine neuen Zuweisung hinzuf gen klicken Sie Neu Geben Sie die Daten der Zuweisung an s u und klicken Sie OK Bei den Angaben haben Sie folgende M glichkeiten MAC Adresse des Clients Die MAC Adresse ohne Leerzeichen oder Bindestriche des Clients IP Adresse des Clients Die statische IP des Clients die der MAC Adresse zugewiesen werden soll DO Die statischen Zuweisungen haben Vorrang vor dem dynamischen IP Adres spool DO Statische Zuweisungen d rfen sich nicht mit dem dynamischen IP Adres spool berlappen DO Eine IP darf nicht in mehreren statischen Zuweisungen verwendet werden ansonsten wird diese IP mehreren MAC Adressen zugeordnet gt Es darf nur ein DHCP Server pro Subnetz verwendet werden DO Wenn Sie den DHCP Server des Protector starten m ssen Sie die lokal ange schlossenen Clients so Konfigurieren dass s e ihre IP Adressen automatisch beziehen s u IP Konfiguration bei Windows Clients Dazu klicken Sie unter Windows XP Start gt Systemsteuerung gt Netzwerk verbindungen Symbol des LAN Adapters mit der rechten Maustaste klik ken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschatten von LAN Verbindung lokales Netz auf der Registerkarte Allge mein unter Diese Verbindung verwendet folgende Elemente d
93. ieser Option w hlen Sie das Aktualisierungsintervall der Signaturdatei en Die Gr e der Datei betr gt z Zt etwa 3 MByte Es werden nur die auf dem Update Server aktualisierten Dateien nachgeladen AVP Update Server Sie k nnen die Server ausw hlen von denen der Update der Virensignaturda tei geladen werden soll Ein Standardserver ist bereits voreingetragen Sie k nnen bei Bedarf eigene Server angeben DO Die Liste der Server wird priorisiert von oben nach unten abgearbeitet bis ein verf gbarer Server gefunden wurde Server l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Server hinzuf gen 5 Wollen Sie einen neuen Server hinzuf gen klicken Sie Neu Geben Sie die Daten des Servers an s u und klicken Sie OK Bei den Angaben haben Sie folgende M glichkeiten Protokoll Der Update der Virensignaturdateien kann entweder per FTP oder HTTP er folgen Server Adresse FODN oder IP Adresse des Servers inclusive des vollen Pfadnames des Ver zeichnisses in der sich die Signaturdatei befindet Login Login f r den Server Beim Update mittels HTTP Protokoll ist eine Angabe des Logins u U nicht erforderlich 45 von 90 Konfiguration Passwort Passwort f r den Login Beim Update mittels HTTP Protokoll ist eine Anga be des Logins u U nicht erforderlich Antivirus gt Lizenz Sie k nnen die erfolgreiche Freischaltung des Virenfilters berpr fen Unter die status sem Men punkt finden
94. iguration Diese Methode wird benutzt wenn die internen Adressen extern nicht geroutet werden k nnen oder sollen z B weil ein privater Adressbereich wie 192 168 x x oder weil die interne Netzstruktur verborgen werden soll Dieses Verfahren wird auch P Masquerading genannt DO Arbeitet der Protector im PPPoE PPTP Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden DO Bei der Verwendung von mehreren statischen IP Adressen f r das externe In terface wird immer die erste IP Adresse der Liste f r IP Masquerading ver wendet Werkseinstellung Es findet kein NAT statt Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Neue Regel setzen Filter gt Erweiterte Einstellungen 34 von 90 Alle Modi LE Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Bei den Angaben haben Sie folgende M glichkeiten Von IP 0 0 0 0 0 bedeutet alle Adressen d h alle internen IP Adressen werden dem NAT Verfahren unterzogen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 77 Konfiguration ST fF Y PROTECTOR EA Filter gt Erweiterte Einstellungen Alle Modi Maximale Zahl gleichzeitiger Verbindungen Connection Tracking 4096 Ausgehend Port Weiterleitung Maxim
95. iguriert worden sein und dabei auf die Be triebsart Router PPPoE oder PPTP gestellt worden sein dann lautet die Adresse des Protector gem Werkseinstellung https 192 168 1 1 Folge S e gelangen zur Administrator Website des Protector Der auf der n chsten Seite abgebildete Sicherheitshinweis erscheint Falls die Adresse des Protector im Router PPPoE oder PPTP Modus auf einen anderen Wert gesetzt ist und Sie kennen die aktuelle Adresse nicht dann m ssen Sie den Protector mit Hilfe der Recovery Taste zur ck auf den Stealth Modus stellen und damit auf folgende Adresse https 1 1 1 1 siehe Reco very Prozedur ausf hren auf Seite 79 DO Falls die Administra Sollte auch nach wiederholtem Versuch der Web Browser melden dass die tor Website nicht an gezeigt wird Seite nicht angezeigt werden kann versuchen Sie Folgendes e Pr fen Sie ob der Standardgateway des angeschlossenen Konfigurations Rechners initialisiert ist Siehe Lokale Konfiguration Bei Inbetriebnahme auf Seite 11 e Eine bestehende Firewall gegebenenfalls deaktivieren 13 von 90 Konfiguration Bei erfolgreichem e Achten Sie darauf dass der Browser keinen Proxy Server verwendet Im MS Internet Explorer Version 6 0 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter LAN Einstellungen auf die Schaltfl che Einstellungen klicken im Dialogfeld Einstellungen f r loka
96. il klicken Folge Die hochgeladene Konfiguration erscheint in der Liste der Konfigura tions Profile Soll das hochgeladene Konfigurations Profil aktiviert werden klicken Sie neben dem Namen auf Wiederherstellen B gt Wenn das Wiederherstellen einen Wechsel zwischen dem Stealth Modus und einem der anderen Netzwerk Modi beinhaltet wird der Protector neu gestar tet 75 von 90 Konfiguration System gt Neustart Konfiguration TS A E PROTECTOR Protector TE Hinweis Bitte geben Sie Protector etwa 30 Sekunden f r den Neustart Antivirus e _ Neustart _ Abmelden Neustart Abmelden Ein Neustart Reboot ist erforderlich im Fehlerfall Au erdem kann es erfor derlich sein nach einem Software Update Am Ende des Neustarts erscheint der Text Neu gestartet Ein Reboot kann auch durch aus und wieder einschalten bewirkt werden System gt Logs Konfiguration TS TEN PROTECTOR Netzwerk Filter days 00 00 09 19457 main listening on dev log starting days 00 00 09 92264 root initializing mguard console 0 done days 00 00 09 99422 root initializing mguard gai_0 days 00 00 17 11027 root starting GAI services Ok days 00 00 17 11600 root done days 00 00 17 14979 root initializing mguard ssh_0 done days 00 00 17 16466 root initializing mguard triggeraction 0 done days 00 00 19 49851 sshd 1102 Server listening on 0 0 0 0 port 22 days 00 00 20 68771 pluto
97. in den Durchla modus wenn die eingestellte Dateigr e berschritten wird DO In diesem Fall wird nicht auf Viren berpr ft E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der SMTP Server Sie k nnen die Server angeben deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r SMTP server eer scannen gunn fps Scan eines Subnetzes Ausklammerung eines trusted SMTP Servers EEEE las Scan eines einzelnen untrusted SMTP Servers in einem Subnetz server EA EZ h 97 168 25 as Scannen 1192 168 2 0 24 las a Regel l schen Klicken Sie neben dem betreffenden Eintrag L schen dann OK Neue Regel setzen LE Wollen Sie eine neue Regel setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK DO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also auschlaggebend f r das Ergebnis gt Der Virenfilter kann parallel insgesamt bis zu 50 gleichzeitige Verbindungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl berschrit ten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben
98. kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Massnahmen durchzuf hren e Zum Reinigen des Ger tegeh uses ein weiches Tuch verwenden Kein aggressives L sungsmittel auftragen e Umgebungsbedingungen O bis 40 Celsius max Luftfeuchtigkeit 90 nicht kondensierend e Nicht direktem Sonnenlicht oder dem Einfluss einer W rmequelle aussetzen um berhitzung zu vermeiden e Anschlusskabel nicht knicken Den Netzwerkstecker nur zum Verbinden mit einem Netzwerk benutzen Um das Ger t in Betrieb zu nehmen f hren Sie folgende Schritte in der angege benen Reihenfolge aus Schritt Ziel Lieferumfang priifen Release Notes lesen 2 Ger t anschlie en 3 Das Ger t konfigurieren soweit erforderlich Gehen Sie dazu die einzelnen Men optionen durch die Ihnen der Protector mit seiner Konfigurations oberfl che bietet Lesen Sie deren Erl uterungen in diesem Handbuch um zu entscheiden welche Optionen mit welcher Einstellung f r Ihre Betriebs umgebung erforderlich oder gew nscht wird 4 1 Lieferumfang Zum Lieferumfang geh ren Pr fen Sie vor Inbetriebnahme die Lieferung auf Vollst ndigkeit e Das Ger t Protector S M oder L e Ein Netzteil nur bei Protector L e Handbuch im pdf Format auf CD e Quick Installation Guide Seite Liefer umfang Ger t anschlie Ben Lokale Konfigu ration Bei Inbe trieb nahme 9 von
99. le Nach einigen Sekunden wechselt diese Anzeige zu Heartbeat Heartbeat Das Ger t ist korrekt angeschlossen und funktioniert Systemfehler B F hren Sie einen Neustart durch Dazu die Recovery Taste kurz 1 5 Sek dr cken ODER Das Ger t von der Stromversorgung kurz trennen und dann wieder anschlie en Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 79 oder wenden Sie sich an den Support Ethernetstatus LED zeigt den Status des internen Interface LED 3 den Status des externen Sobald das Ger t am externen Netzwerk WAN Inter net angeschlossen ist zeigt kontinuierliches Leuchten an dass eine Verbindung zum Netzwerk Partner besteht Bei der bertragung von Datenpaketen erlischt kurz zeitig die LED Recovery Modus Nach Dr cken der Recovery Taste S ehe Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware auf Seite 79 Inbetriebnahme 4 Inbetriebnahme Sicherheits hinweise Allgemeine Hinweise zur Benutzung Schritte zur Inbetriebnahme Der SOPHIA Protector ist f r den Betrieb bei Schutzkleinspannung vorgesehen Schlie en Sie die Netzwerkinterfaces des Protector nur an LAN Installationen an Einige Fernmeldeanschl sse verwenden ebenfalls RJ45 Buchsen Der Pro tector darf nicht an Fernmeldeanschl ssen betrieben werden Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung
100. les Netzwerk LAN daf r sorgen dass unter Proxyserver der Eintrag Proxyserver f r LAN verwenden nicht aktiviert ist e Falls andere LAN Verbindungen auf dem Rechner aktiv sind deaktivieren Sie diese f r die Zeit der Konfiguration Unter Windows Men Start Einstellungen Systemsteuerung Netzwerk verbindungen bzw Netzwerk und DF Verbindungen das betreffende Symbol mit der rechten Maustaste klicken und im Kontextmen Deaktivie ren w hlen Nach erfolgreicher Verbindungsaufnahme erscheint dieser Sicherheitshinweis Verbindungsaufbau MS Internet Explorer 14 von 90 icherheitshinweis E Erl uterung F Informationen die Sie mit dieser Site austauschen konnen von Da das Ger t nur ber ver anderen weder angesehen noch ver ndert werden Das A 8 j Sicherheitszettifikat der Site ist jedoch fehlerhaft schl sselte Zug nge admi nistrierbar ist wird es mit ity Das Sicherheitszertifik at wurde von einer Firma ausgestellt i die Sie nicht als vertrauenswurdig eingestuft haben einem selbstunterzeichne Untersuchen Sie das Zertifikat um festzustellen ob Sie der 7 ifik lief ausstellenden Institution vertrauen mochten ten Zertifikat ausgelie ert Ca Das Datum des Sicherhetezertifikates ist gultig A Der auf dem Sicherheltezertifikat angegebene Mame stimmt nicht mit dem Mamen der Site berein Soll der Yorgang fortgesetzt werden Ja II Nein Zertifikat anzeigen Quittieren Sie den entsprechenden Sicherheitshinwei
101. lichkeiten N A Nicht verf gbar not available not logged in VPN gesperrt logged in VPN freigeschaltet 21 von 90 Konfiguration DynDNS Anmeldung M glichkeiten none Angabe des DynDNS Server failure trying none Kein DynDNS Server angegeben Angabe des DynDNS Server Adresse des DynDNS Servers den der Protector zur Auf l sung von Hostnamen benutzt failure Der Protector versucht vergeblich eine Verbindung zum DynDNS Server herzustel len trying Der Protector versucht gerade eine Ver bindung zum DynDNS Server herzustellen HTTPS Fernzugang M glichkeiten no yes SSH Fernzugang M glichkeiten no yes NTP Status M glichkeiten synchonized not synchronized synchronized Uber das Network Time Protokoll empf ngt der Protector von einem Zeitserver die aktuelle Uhrzeit Greenwich Zeit not synchronized Der Protector ist mit keinem Zeitserver verbunden und kann deshalb nicht die aktuelle Uhrzeit liefern Softwareversion Version der im Protector installierten Software Systemlaufzeit Laufzeit seit dem letzten Startvorgang des Pro tector Sprache Aktuell eingestellte Sprache 22 von 90 Konfiguration 5 5 Men Netzwerk Netzwerk gt Basis Konfiguration kk U A EEE WU Ten PROTECTOR Protector Netzwerk gt Basis Basis Stealth Ges Netzwerk Modus Router v Die folgenden Einstellungen werden genutzt wenn der Stealth Modus NICHT ausgew hlt ist h 92 168 1 1 255 255
102. licken Konfigurations Profil aktivieren Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Wiederherstellen klicken Konfigurations Profil l schen Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che L schen klicken Werkseinstellung anzeigen aktivieren Die Werkseinstellung ist als Konfigurations Profil unter dem Namen Factory Default im Protector gespeichert Anzeigen Den Namen Factory Default anklicken Aktivieren Neben dem Namen Factory Default die Schaltfl che Wiederher stellen klicken DO Es ist nicht m glich das Konfigurations Profil Factory Default zu l schen Konfigurations Profil als Datei auf Festplatte speichern 1 Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Download klicken 2 Legen Sie m angezeigten Dialogfeld den Dateinamen und Ordner fest unter bzw in dem das Konfigurations Profil als Datei gespeichert wird S e k nnen die Date beliebig benennen Konfigurations Profil von Festplatte in Protector laden Voraussetzung Sie haben nach dem oben beschriebenem Verfahren ein Konfi gurations Profil als Date auf der Festplatte des Konfigurations Rechners gespei chert 1 In Feld Name des neuen Profils den Namen eintragen den das einzuladende Konfigurations Profil erhalten soll 2 Die Schaltfl che Durchsuchen klicken und dann die Datei selektieren 3 Die Schaltfl che Hochladen einer Konfiguration als Prof
103. m Schalter aktiviert bzw deaktiviert werden Nutzerpasswort Zugang gt Sprache Werksseitig ist kein Nutzerpasswort voreingestellt Um eines festzulegen geben S e n beide Eingabefelder bereinstimmend das gew nschte Passwort ein Konfiguration CAM A E EY ee PROTECTOR ALA Zugang gt Sprache Netzwerk Bitte w hlen Sie eine Sprache aus Deutsch v VPN or Dienste Zugang Passworte Sprache HTTPS SSH SNMP Neustart Abmelden i Bitte wahlen Sie eine Sprache aus Zugang gt HTTPS Ist in der Sprachauswahlliste Automatisch ausgew hlt bernimmt das Ger t die Spracheinstellung aus dem Browser des Rechners Konfiguration JM ITA PROTECTOR AI Uu ang gt HTTPS Netzwerk EE Aktiviere HTTPS Fernzugang da v VPN Port fiir HTTPS Verbindungen nur Fernzugang 443 Dienste Firewalirege n zu Freigabe des HTTPS Zugriffs Zugang O U terface Aktion tg Passworte 0 00 09 Extern E Annehmen v Nein Sprache z gt HTTPS a veu a System 0 Diese Regeln gestatten es HTTPS Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Fernzugriffs muss der Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Neustart Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client g
104. main Name gek rzt ein erg nzt der Protector seine Eingabe um den an gegebenen Domain Suffix der hier unter Domain Suchpfad festgelegt wird Benutzte Nameserver M glichkeiten Root Nameserver Provider definiert Nutzer definiert 61 von 90 Konfiguration Root Nameserver Anfragen werden an die Root Nameserver im Internet gerichtet deren IP Adressen im Protector gespeichert sind Diese Adressen ndern sich selten Diese Einstellung sollte nur gew hlt werden wenn die alternativen Einstel lungen nicht funktionieren Provider definiert z B via PPPoE oder DHCP Es wird der Domain Name Server des Internet Service Providers benutzt der den Zugang zum Internet zur Verf gung stellt Diese Einstellung k nnen Sie w hlen wenn der Protector im PPPoE im PPTP Modus oder im Router Modus arbeitet bei aktiviertem DHCP siehe Dienste gt DHCP auf Seite 64 Nutzer definiert unten stehende Liste Ist diese Einstellung gew hlt nimmt der Protector mit den Domain Name Ser vern Verbindung auf die in der Liste Nutzer definierte Nameserver aufge f hrt sind Im Stealth Modus werden nur die 2 ersten Eintr ge n dieser Liste ausgewer tet Nutzer definierter Nameserver Dienste gt DynDNS berwachung 62 von 90 In dieser Liste k nnen Sie die IP Adressen von Domain Name Servern erfassen Soll einer von diesen vom Protector benutzt werden w hlen Sie unter Benutze Nameserver die Option Nutzer definiert unten stehen
105. mit den aktuellen Versionen der Virensigna turen siehe Abschnitt Antivirus gt Datenbank Update e Konfiguration des Protector im Routermodus siehe Men Netzwerk auf Seite 23 e Konfiguration und Aktivierung des Antiviren Schutzes siehe folgende Abschnitte f r die jeweiligen Protokolle Durch die begrenzte Speicherkapazit t des SOPHIA Protector ergeben sich eini ge zu beachtende Unterschiede zu blichen Virenfiltern Jede zu berpr fende Date mu komplett auf die Protector RAM Disk kopiert werden damit s e durch den Virenfilter dekomprimiert und auf Viren untersucht werden kann Da der SOPHIA Protector mehrere Verbindungen gleichzeitig berwacht um z B parallel E Mail Clients und Web Browser nutzen zu k nnen kann es zu Speicher Engp en kommen Um diesen Engp ssen vorzubeugen muss im Men die Maximalgr e der zu berpr fenden Dateien festgelegt wer den Mit den voreingestellten Werten f r die Maximalgr e ist n den meisten Szenarien ein problemloser Betrieb des Antivirenfilters m glich deswegen soll ten Sie diese Werte m glichst nicht ndern Sie k nnen im Men ausw hlen ob bei einer berschreitung der Maximalgr e die Nachricht blockiert und eine Fehlermeldung an S e gesendet werden soll oder ob die Datei ohne Viren berpr fung weitergeleitet werden soll Konfiguration Antivirus gt SMTP Das SMTP Protokoll wird von Ihrem E Mail Client oder Mail Transfer Agent Einstellungen MTA zur
106. muss das Ger t auf einem Domain Name Ser ver DNS nachschlagen welche IP Adresse s ch hinter der Domain Adresse verbirgt Wenn sich der Protector nicht im Stealth Modus befindet k nnen Sie die lokal angeschlossenen Clients so konfigurieren dass sie den mGaurd zur Aufl sung von Hostnamen in IP Adressen benutzen k nnen Siehe IP Konfiguration bei Windows Clients auf Seite 65 Hostnamen Modus Hostname Mit Hostnamen Modus und Hostname k nnen S e dem Protector einen Namen geben Dieser wird dann z B beim Einloggen per SSH angezeigt Eine Namens gebung erleichtert die Administration mehrerer Protectors Nutzer definiert siehe unten Standard Der im Feld Hostname eingetragene Name wird als Name f r den Protector gesetzt gt Arbeitet der Protector im Stealth Modus muss als Hostnamen Modus die Op tion Nutzer definiert gew hlt werden Provider definiert z B via DHCP Wenn der Netzwerkmodus ein externes Setzen des Hostnamens erlaubt wie z B bei DHCP dann wird der vom Provider bermittelte Name f r den Protec tor gesetzt Ist unter Hostnamen Modus die Option Nutzer definiert ausgew hlt dann tragen S e hier den Namen ein den der Protector erhalten soll Sonst d h wenn unter Hostnamen Modus die Option Provider definiert z B via DHCP ausgew hlt ist dann wird ein Eintrag in diesem Feld ignoriert Domain Suchpfad Erleichtert dem Benutzer die Eingabe eines Domain Namens Gibt der Benutzer den Do
107. n Siehe Protector gt Installiere Update auf Seite 17 Konfiguration PROTECTOR Protector gt Lizenzinformation D 1 Installiere Update Update Server u Installiere Lizenz Softwareinformation Protector Flash ID 000c00083f25db66 0263 Lizenzinformation ee Eardhwersinformellon License with priority 1089906020 licence_date 2004 07 15T15 40 20 Filter Antivirus bh hardware_revision 000007de Dienste licence_order 082 _ _ Zugang P 51021 ET en channets 10 Dip server 1 licence_version 1 Neustart licence_type Innominate mGuard enterprise Abmelden snmp 1 remote_syslog 1 Listet die erworbenen Lizenzen auf Die entsprechenden Lizenzdateien sind m Protector installiert Siehe Protector gt Installiere Lizenz auf Seite 18 19 von 90 Konfiguration Protector gt Hardware information Nur Anzeige Protector gt Snapshot 20 von 90 Konfiguration Au EBEN PROTECTOR Protector Protector gt Hardwareinformation Installiere Update Update Server Installiere Lizenz Hardware Astaro mGuard ee taal CPU XScale IXP4xxAXC11xx rev 1 v5b Lizenzinformation Lizenzanforderung CPU Familie IXP4XKX Hardwareinformation CPU Stepping Bo Netzwerk ___ CPU Kernfrequenz 533 MHz Filter Systemtemperatur N A Antivirus Systemlaufzeit 4 days 1 13 NENG 6327248 Dienste MACH 00 0c be 01 01 0a 00 0c be 01 01 0b System Produktname Innominate mGuard OEM Hame In
108. n erfolgt diese Meldung zus tzlich in dem hier fest gelegten Zeitintervall DynDNS Anbieter Die zur Auswahl gestellten Anbieter unterst tzen das Protokoll das auch der Protector unterst tzt Geben Sie den Namen des Anbieters an bei dem Sie registriert sind z B DynDNS org DynDNS Server Name des Servers des oben ausgew hlten DynDNS Anbieters z B dyndns org DynDNS Login DynDNS Passwort Geben Sie hier den Benutzernamen und das Passwort ein das Ihnen vom DynDNS Anbieter zugeteilt worden ist 63 von 90 Konfiguration DynDNS Hostname Der f r diesen Protector gew hlte Hostname beim DynDNS Service sofern Sie einen DynDNS Dienst benutzen und oben die entsprechenden Angaben gemacht haben Dienste gt DHCP Konfiguration IE Ten PROTECTOR DEES Dienste gt DHCP Netzwerk DHCP Server starten Ja Antivirus PS Dynamischen IP Adresspool aktivieren Ja wi Dienste DHCP Bereichsanfang 192 188 1 100 DNS DynDNS berwachung DHCP Bereichsende f 92 168 1 199 DynDNS Registrierung DHCP Lokale Hetzmaske 255 255 255 0 NTP Remote Logging Default Gateway 192 168 1 1 Zugang MAC Adresse des Clients IP Adresse des Cents Neustart Abmelden DHCP Dynamic Host Configuration Protocol Diese Funktion ordnet den lo kal am Protector angeschlossenen Clients automatisch die gebotene Netzwerk konfiguration zu IP Adresse und Subnetzmaske DHCP Server starten Setzen Sie diesen Schalter au
109. n umgeschrieben werden Weiterleiten an Port Port an den die Datenpakete weitergeleitet werden sollen und auf den die Ori ginal Port Angaben umgeschrieben werden Bei den Angaben haben Sie folgende M glichkeiten Port S e k nnen nur einzelne Ports angeben entweder mit der Port Nummer oder mit dem entsprechenden Servicenamen z B 110 f r pop3 oder pop3 f r 110 Log F r jede einzelne Port Weiterleitungs Regel k nnen Sie festlegen ob bel Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Konfiguration KA A zu na PROTECTOR D Filter gt NAT Netzwerk Filter if Network Address TransiatiowlP Masquerading m 5 Dei T 7 2 Ausgehend Port VVeiterleittung NAT Erweiterte Einstellungen 0 0 0 0 0 L schen Logs S Antivirus nes Diese Regeln lassen Verkehr von den hier angegeben IP Adressen normalerweise Adressen aus dem privaten Adress Bereich auf die Adresse des Protector umschreiben Dienste Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus Neustart Abmelden Listet die festgelegten Regeln f r NAT Network Address Translation auf Das Ger t kann bei ausgehenden Datenpaketen die angegebenen Absender IP Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse um schreiben eine Technik die als NAT Network Address Translation bezeichnet wird 33 von 90 Konf
110. n und haben diese Datei auf dem Konfigurations Rechner gespei chert Installieren Sie die Lizenzdatei wie folgt 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Lizenzdatei klicken um sie in das Ger t zu laden Protector gt Software information Nur Anzeige Protector gt Lizenz information Nur Anzeige Konfiguration Konfiguration kk ll D EC u PROTECTOR Protector gt Softwareinformation p Lei Installiere Update Update Server Installiere Lizenz Version 2_1_0 sophia O Basis 2_1_D Mon Nov 1 12 34 30 CET 2004 Lizenzanforderung Updates none Hardwareinformation Paket Versionen Ne TTT avp 0 0 0 19 default Antivirus bootloader 0 0 6 0 default bridge utils 0 095 default Diente sy busybox 0 0 647 default Zugang djbdns 0 1 5 0 default System ebtables 0 0 3 0 default ez ipupdate 0 3 0 12 default fnord 0 1 8 0 default Neustart freeswan 0 1107 0 default ___Abmeen 1 gt Ges See iproute 0 1 8 24 default iptables D 130 default I2tpd 0 014 default libc 0 2 4 0 default libgmp 0 Sec default linux 0 4 216 default Listet die im Ger t befindlichen Software Module auf Diese werden als Pakete bezeichnet Dient f r Update Zwecke Vergleichen Sie die angezeigten Versionsnummern mit den aktuellen Versionsnummern der entsprechenden Pakete Bitte wenden S e sich dazu an Ihren Distributor Falls neue Versionen verf gbar sind k nnen Sie die Software im Ger t update
111. nd AES Ver schliisselung Psec Protokoll e Konfigurierbare Firewall f r den Schutz vor unberechtigtem Zugriff Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs und Zieladresse und blockiert unerw nschten Datenverkehr e Kaspersky Virenschutz mit Unterst tzung f r die Protokolle HTTP SMTP und POP3 Die Konfiguration des Ger tes erfolgt einfach mit einem Web Browser Notebook Server Internet a Protector Protector e Protokoll IPsec Tunnel und Transport Mode e IPsec DES Verschl sselung mit 56 Bit e IPsec 3DES Verschl sselung mit 168 Bit e IPsec AES Verschl sselung mit 128 192 und 256 Bit e Paket Authentifizierung MDS SHA 1 e Internet Key Exchange IKE mit Main und Quick Mode e Authentisierung Pre Shared Key PSK X 509v3 Zertifikate e DynDNS e NAT T e Dead Peer Detection DPD Firewall Features e Stateful Packet Inspection e Anti Spoofing e NAT IP Masquerading e Port Forwarding Weitere Features e DNS Cache A von 90 e DHCP Server e Kaspersky Virenschutz Einleitung Drei Ger te Der Protector wird in 3 Versionen ausgeliefert versionen Protector S Protector M Protector L e Stealth Firewall ein Wie Protector S Wie Protector M zu Benutzer zus tzlich s tzlich e Router mit Anbin e Bis zu 10 IPsec e Bis zu 250 IPsec dung ber weitere VPN Verbindungen VPN Verbindungen Router PPPoE oder erweiterbar erweiterbar PPTP e IPsec L2TP Suppo
112. nominate OEM Seriennummer 123TESTS Neustart Fertigung A0 Abmelden Herstellungsdatum Thu Jul 15 15 40 20 UTC 2004 Seriennummer SYP S5 137412 Bootloader bei Fertigung Hardware Version 000007dc Rescue System bei Fertigung D 2 0 default Software Version bei Fertigung 2 0 0 default Version Parametersatz 2 F r erfahrene Systemadministratoren Support Konfiguration VJ farm PROTECTOR Protector gt Snapshot Protec Installiere Update Update Server Installiere Lizenz Softwareinformation ares ri Herunterladen Lizenzinformation Lizenzanforderung Hiermit wird eine Zusammenfassung des Protector Zustands f r Supportzwecke erstellt Hardwareinformation Snapshot Status Netzwerk Filter Antivirus VPN Dienste Zuganc System Neustart Abmelden Diese Funktion dient fiir Support Zwecke des SOPHIA Support Erstellt eine komprimierte Datei im tar Format in der alle aktuellen Konfigu rations Einstellungen und Log Eintr ge erfasst sind die zur Fehlerdiagnose re levant sein k nnten Diese Datei enth lt keine privaten Informationen wie z B das private Machinen Zertifikat oder die Passw rter Eventuell benutzte Pre Shared Keys von VPN Verbindungen sind jedoch in den Snapshots enthalten Um einen Snapshot zu erstellen gehen Sie wie folgt vor 1 Klicken Sie Herunterladen 2 Speichern Sie die Datei unter dem Namen snapshot tar gz Stellen S e die Datei dem SOPHIA Support zur Verf gung wenn diese
113. nt vor allem dazu sich aus dem Host Adressenbereich einen Teil zu borgen um diesen zur Adressierung von Subnetzen zu benutzen So kann beim Class B Netz 2 Byte fiir Netzwerk Adresse 2 Byte fiir Host Adresse mit Hilfe der Subnetz Maske 255 255 255 0 das 3 Byte das eigentlich f r Host Adressierung vorgesehen war jetzt f r Subnetz Adressierung verwen IPsec NAT Network Address Translation Port Nummer Glossar det werden Rein rechnerisch k nnen so 256 Subnetze mit jeweils 256 Hosts ent stehen IP Security IPsec ist ein Standard der es erm glicht bei IP Datagrammen gt Datagramm die Authentizit t des Absenders die Vertraulichkeit und die Integrit t der Daten durch Verschl sselung zu wahren Die Bestandteile von IP sec sind der Authentication Header AH die Encapsulating Security Payload ESP die Security Association SA und der Internet Key Exchange IKE Zu Beginn der Kommunikation kl ren die an der Kommunikation beteiligten Rechner das benutzte Verfahren und dessen Implikationen wie z B Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP Datagramm zwischen IP Header und TCP bzw UDP Header ein IPsec Header eingesetzt Da dadurch der IP Header un ver ndert bleibt ist dieser Modus nur f r eine Host zu Host Verbindung geeig net Im Tunnel Mode wird dem gesamten IP Datagramm ein IPsec Header und ein neuer IP Header vorangestellt D h das urspr ngliche Datagramm wird insge
114. ny bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen S e entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 55 von 90 Konfiguration VPN gt Maschinen zertifikat 56 von 90 e Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden DO Im Stealth Modus ist Abweisen als Aktion nicht m glich DO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge befolgt Konfiguration ore PROTECTOR Dee VPN gt Maschinen Zertifikat Netzwerk Bl Read Zertifikat Kein Zertifikat Schl ssel installiert VPNIS Seen ee
115. odus Router gestellt Externes Interface Externe Konfiguration per DHCP beziehen Ja Nein Falls der Protector die Konfigurationsdaten per DHCP Dynamic Host Configuration Protocol vom DHCP Server bezieht legen Sie Ja fest Dann bleiben weiter Angaben auf dieser Seite wirkungslos Falls der Protector die Daten nicht per DHCP Dynamic Host Configu ration Protocol vom DHCP Server bezieht legen Sie Nein fest Der Protector muss dann im Netzwerk Modus Router arbeiten siehe Router auf Seite 23 Dann m ssen Sie weiteren Angaben machen 26 von 90 Konfiguration Externe Netzwerke Externe IPs Die Adressen unter denen der Protector von Ger ten des externen Netzes an geschlossenen an der Ethernet Buchse des Protector aus ereichbar ist Bildet die Schnittstelle zu anderen Teilen des LAN oder zum Internet Findet hier der bergang zum Internet statt werden die IP Adressen vom Internet Ser vice Provider ISP vorgegeben Wollen Sie eine weitere externe IP angeben klicken Sie Neu E Wollen Sie eine der zus tzlichen externen IPs l schen klicken Sie L schen Zus tzliche externe Routen Zus tzlich zur Default Route s u K nnen Sie weitere externe Routen fest legen Wollen Sie eine weitere externe Route angeben klicken Sie Neu E Wollen Sie eine der zus tzlichen externen Routen l schen klicken Sie L schen Siehe auch Netzwerk Beispielskizze auf Seite 78 Default Gateway
116. r danach fragt Protector gt Status Nur Anzeige Konfiguration Konfiguration AAA E en PROTECTOR ya Protec Protector gt Status Installiere Update Update Server Installiere Lizenz Soskmarsinf rnati n Netzwerk Modus stealth auto up Lizenzinformation Externe IP 10 0 0135 Lizenzanforderung Hardwareinformation Default Gateway ber externe IP none Snapshot Status VPH TotalUsed Up D 0 0 N etzwe rk VPH Nutzeranmeldung N A DynDNS Anmeldung none Filter HTTPS Fernzugang no Antivirus SSH Fernzugang no VP N HTP Status disabled D i en ste Softwareversion 2 1 1 sophia Fal gang Systemlaufzeit 31 min System Sprache de Neustart Ahmaldan Zeigt eine Zusammenfassung verschiedener Statusinformationen ftir Support Zwecke Netzwerk Modus Externe IP Default Gateway tiber externe IP VPN Total Used Up VPN Nutzeranmeldung Betriebsart des Protector Stealth Router PPPoE oder PPTP Die IP Adresse des Protector an seinem Anschluss fiir das externe Netz WAN bzw Internet Im Stealth Modus bernimmt der Protector die Adresse des lokal angeschlossenen Rechners fiir diese Schnittstelle Hier wird die externe IP Adresse des Protector angezeigt Im Stealth Modus ist das gleich der IP Adresse des Client M glichkeiten Total Used Up Total Insgesamt eingerichtete VPN Verbindun gen Used Benutzte VPN Verbindungen Up Gegenw rtig aktive VPN Verbindungen M g
117. reffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen DurchlaBmodus akti vieren Bitte beachten Sie dass d e Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein kann bei Virusdetektion Benachrichtigung per E Mail Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine E Mail benachrichtigt Fehlermeldung an den E Mail Client Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine Feh lermeldung an den E Mail Client benachrichtigt DO Ist f r die E Mail Client Software die Option Gelesene E Mails auf dem Server l schen aktiviert so wird bei der Einstellung Benachrichtigung per E Mail die infizierte Mail auf dem Server gel scht da der E Mail Client da von ausgeht da die E Mail erfolgreich bertragen wurde Ist dies nicht ge w nscht wenn z B die infizierte E Mail auf anderem Weg heruntergeladen werden soll sollte ausschlie lich die Option Fehlermeldung an den E Mail Client genutzt werden bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters n den Durchla modus wenn die eingestellte Dateigr e berschritten wird gt In diesem Fall findet keine berpr fung auf Viren statt E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail 40 von 90 Konfi
118. resse besteht aus 4 maximal dreistelligen Nummern jeweils durch einem Punkt getrennt Ist der Rechner ber die Telefonleitung per Modem per ISDN oder auch per ADSL online wird ihm vom Internet Service Provider dynamisch eine IP Adresse zugeordnet d h die Adresse wechselt von Sitzung zu Sitzung Auch wenn der Rechner z B bei einer Flatrate ber 24 Stunden ununterbrochen online ist wird d e IP Adresse zwischendurch gewechselt Soll ein lokaler Rechner ber das Internet erreichbar sein muss er eine Adresse haben die der entfernten Gegenstelle bekannt sein muss Nur so kann diese die Verbindung zum lokalen Rechner aufbauen Wenn die Adresse des lokalen Rechners aber st ndig wechselt ist das nicht m glich Es se denn der Betreiber des lokalen Rechners hat ein Account bei einem DynamicDNS Anbieter DNS Domain Name Server Dann kann er bei diesem einen Hostnamen festlegen unter dem der Rechner k nftig erreichbar sein soll z B www xyz abc de Zudem stellt der Dyna micDNS Anbieter ein kleines Programm zur Verf gung das auf dem betreffen den Rechner installiert und ausgef hrt werden muss Bei jeder Internet Sitzung des lokalen Rechners teilt dieses Tool dem DynamicDNS Anbieter mit welche IP Adresse der Rechner zurzeit hat Dessen Domain Name Server registriert die aktuelle Zuordnung Hostname IP Adresse und teilt diese anderen Domain Name Servern im Internet mit Wenn jetzt ein entfernte Rechner eine Verbindung herstellen w
119. rotector auch auf Transport L2TP Microsoft Windows Dann arbeitet der Protector entsprechend Das hei t innerhalb der IPsec Transport Verbin dung schafft das L2TP PPP Protokoll einen Tunnel Dem lokal angeschlosse nen L2TP Rechner wird seine IP Adresse vom Protector dynamisch zugewiesen Bei Auswahl des Verbindungstyps Transport L2TP Microsoft Windows set zen Sie Perfect Forward Secrecy PFS auf Nein siehe unten Aktivieren Sie auch den L2TP Server gt Sobald unter Windows die IPsec L2TP Verbindung gestartet wird erscheint ein Dialogfeld das nach Benutzername und Login fragt Sie k nnen dort be liebige Eintr ge machen denn die Authentifizierung erfolgt bereits ber die X 509 Zertifikate so dass der Protector diese Eingaben ignoriert 50 von 90 Konfiguration Transport L2TP SSH Sentinel Ist beim lokal angeschlossenen Rechner dieser Verbindungstyp aktiviert dann setzen Sie den Protector auch auf Transport L2TP SSH Sentinel Dann arbeitet der Protector entsprechend Das hei t innerhalb der IPsec Transport Verbindung schafft das L2TP PPP Protokoll einen Tunnel Dem lokal ange schlossenen L2PT Rechner wird seine IP Adresse vom Protector dynamisch zugewiesen Aktivieren Sie auch den L2TP Server Verbindungsinitiierung Es gibt 2 M glichkeiten e Starte die Verbindung zur Gegenstelle e Warte auf Gegenstelle Starte die Verbindung zur Gegenstelle In diesem Fall initiiert der lokale Protector die Verbindung zur Gegens
120. rsorgt wird e Der Protector muss angeschlossen sein d h die erforderlichen Verbindun gen m ssen funktionieren 5 1 Lokale Konfiguration Bei Inbetriebnahme Bei konfigurierter Netzwerk Schnitt stelle Bei nicht konfigurierter Netz werk Schnittstelle Der Protector wird per Web Browser konfiguriert der auf dem Konfigurations Rechner ausgef hrt wird z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 BS Der Web Browser muss SSL d h https unterst tzen Der Protector ist gem Werkseinstellung unter folgender Adressen erreichbar Werkseinstellung Stealth Modus Auslieferungszustand https 1 1 1 1 Damit der Protector ber die Adresse https 1 1 1 1 angesprochen werden kann muss er an eine konfigurierte Netzwerk Schnittstelle angeschlossen sein Das ist der Fall wenn man hn zwischen eine bestehende Netzwerkverbindung steckt siehe Abbildung im Abschnitt Ger t anschlie en auf Seite 10 In diesem Fall wird der Web Browser nach Eingabe der Adresse https 1 1 1 1 die Verbindung zur Konfigurations Oberfl che des Protector herstellen siehe Lokale Konfigurationsverbindung herstellen auf Seite 13 Fahren Sie in die sem Falle dort fort Falls die Netzwerk Schnittstelle des Rechners nicht konfiguriert ist Wenn der Konfigurations Rechner noch nicht an einem Netzwerk angeschlossen war z B weil der Rechner neu ist dann ist seine Netzwerk Schnittstelle m All g
121. rt inkl Netzteil e Konfigurierbare e SNMP Firewall e Remote Logging e Bis zu 2 IPsec VPN Verbindungen erweiterbar e Hardware Ver schl sselung IPsec Support Bei Problemen mit Ihrem Protector wenden Sie sich bitte an Ihren H ndler Zus tzliche Informationen zum Ger t sowie Release Notes und Software Up dates finden Sie unter folgender Internet Adresse www sophiafirewall ch 5 von 90 Typische Anwendungsszenarien 2 Typische Anwendungsszenarien Nachfolgend werden h ufige und typische Anwendungsszenarien skizziert Al len Szenarien ist gemeinsam dass der Protector eine VPN Verbindung ber ein ffentliches Netz wie das Internet herstellt Der Protector und gegebenenfalls auch der die angeschlossene n Client Rech ner muss m ssen gem des Anwendungs Szenarios konfiguriert werden Szenario 1 Gegenstelle Stealth Einzelrechner oder Netz Subnetz mit vorgeschaltetem Router mit Firewall z B ein anderer Pro tector Netzwerk Modus des Protector Stealth Werkseinstellung oder Router Im Stealth Modus ist beim lokal angeschlossenen Rechner keine Ver nde rung der bestehenden TCP IP Konfiguration erforderlich Szenario 2 Gegenstelle Router wie oben Einzelrechner oder S Et Netz Subnetz mit HA vorgeschaltetem Router mit Firewall u z B ein anderer Pro tector Netzwerk Modus des Protector Router Im Router Modus muss beim lokal angeschlossenen Client Rechner der Pro tector als Standardga
122. ry uptime O days 00 00 21 11770 pluto 1301 OpenPGP certificate file etc pgpcert pgp no uptime O days 00 00 21 13207 pluto 1301 listening for IKE messages uptime O days 00 00 21 13207 pluto 1301 listening for IKE messages uptime O days 00 00 21 13421 pluto 1301 adding interface ipsecO ethO 10 0 0 153 uptime O days 00 00 21 13421 pluto 1301 adding interface ipsecO ethO 10 0 0 153 uptime O days 00 00 21 13561 pluto 1301 adding interface ipsecO ethO 10 0 0 153 4500 uptime O days 00 00 21 13561 pluto 1301 adding interface ipsecO ethO 10 0 0 153 4500 uptime O days 00 00 21 13744 pluto 1301 loading secrets from etc ipsec secrets uptime O days 00 00 21 13744 pluto 1301 loading secrets from etc ipsec secrets uptime O days 00 00 21 23242 root Packages mguard psm O bin psm sanitize info all pa A uptime O days 00 00 21 33865 pluto 1301 loading secrets from etc ipsec secrets Nur nzeige uptime O days 00 00 21 33865 pluto 1301 loading secrets from etc ipsec secrets uptime O days 00 00 21 34266 pluto 1301 OpenPGP certificate file etc pgpcert pgp no uptime O days 00 00 21 34393 pluto 1301 Changing to directory etc ipsec d cacerts D uptime days 00 00 21 34393 pluto 1301 Changing to directory etc ipsec d cacerts Zeigt alle aufgezeichneten Log Eintr ge Gesamtlog Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokolli
123. s bedeutet praktisch Haben Sie mehrere VPN Verbindungen definiert k nnen Sie f r jede einzelne den Zu griff von au en oder von innen beschr nken Versuche die Beschr nkungen zu bergehen k nnen Sie ins Log protokollieren lassen DO Gem werksseitiger Voreinstellung ist die VPN Firewall so eingestellt dass f r diese VPN Verbindung alles zugelassen ist F r jede einzelne VPN Verbindung gelten aber unabh ngig voneinander gleichwohl die erweiterten Firewall Einstellungen die weiter oben definiert und erl utert sind siehe Filter gt Erweiterte Einstellungen auf Seite 34 DO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert L Um eine Firewall Regel zu setzen oder zu l schen gehen Sie genauso vor wie oben beschrieben siehe Filter gt Eingehend auf Seite 30 und Filter gt Ausgehend auf Seite 31 Wie dort haben Sie bei den Angaben folgende M glichkeiten e Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 77 e Port wird nur ausgewertet bei den Protokollen TCP und UDP a
124. s mit Ja Folge Nach Abfrage des Benutzernamens Login und Passwortes wird die Administra tor Website des Protector wird angezeigt Werksseitig sind folgende Accounts voreingestellt Login admin Passwort Protector Login root Passwort root gt Gro und Kleinschreibung beachten Konfiguration Konfiguration durchf hren Konfiguration WW NM PROTECTOR Protector Protector Antivirus VPN e 7 Neustart _ Abmelden Abmelden Zur Konfiguration gehen Sie wie folgt vor 1 Per Men die Seite mit den gew nschten Einstellm glichkeiten aufrufen s ehe ab Seite 23 Auf der betreffenden Seite die gew nschten Eintr ge machen Mit OK ggf best tigen so dass die Einstellungen vom Ger t bernommen werden Gegebenenfalls erhalten Sie vom System eine best tigende R ckmeldung LA N Sollte bei erneuter Anzeige einer Seite diese nicht aktuell sein weil der Browser sie aus dem Cache l dt aktualisieren Sie die Anzeige der Seite Dazu in der Browser Symbolleiste das Symbol zum Aktualisieren klicken DO Je nach dem wie Sie den Protector konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 5 3 Fernkonfiguration Voraussetzung Fernkonfiguration durchf hren Der Protector muss so konfiguriert sein dass er eine Fernkonfiguration zul sst DO Standardm ig ist die M glichkeit zur F
125. samt verschl sselt n der Payload des neuen Datagramms untergebracht Der Tunnel Mode findet beim VPN Anwendung Die Ger te an den Tunnelenden sorgen f r die Ver bzw Entschl sselung der Datagramme auf der Tunnelstrek ke d h auf dem Ubertragungsweg ber ein ffentliches Netz bleiben die eigent lichen Datagramme vollst ndig gesch tzt Bei der Network Address Translation NAT oft auch als P Masquerading be zeichnet wird hinter einem einzigen Ger t dem sog NAT Router ein ganzes Netzwerk versteckt Die internen Rechner im lokalen Netz bleiben mit ihren IP Adressen verborgen wenn S e nach au en ber die NAT Router kommuni z eren F r die Kommunikationspartner au en erscheint nur die NAT Router mit ihrer eigenen IP Adresse Damit interne Rechner dennoch direkt mit externen Rechnern im Internet kom munizieren k nnen muss die NAT Router die IP Datagramme ver ndern die von internen Rechnern nach au en und von au en zu einem internen Rechner ge hen Wird ein IP Datagramm aus dem internen Netz nach au en versendet ver ndert die NAT Router den IP und den TCP Header des Datagramms Sie tauscht die Quell IP Adresse und den Quell Port aus gegen die eigene offizielle IP Adresse und einen eigenen bisher unbenutzen Port Dazu f hrt sie eine Tabelle die die Zuordnung der urspr nglichen mit den neuen Werten herstellt Beim Empfang eines Antwort Datagramms erkennt die NAT Router anhand des angegebenen Zielports
126. sec State WAITING Dann bedeutet das Die Authentifizierung war erfolgreich jedoch stimmten die anderen Parameter nicht Stimmt der Verbindungstyp Tunnel Transport berein Wenn Tunnel gew hlt ist stimmen die Netzbereiche auf beiden Seiten berein Falls angezeigt wird IPsec State IPsec SA established Dann bedeutet das Die VPN Verbindung ist erfolgreich aufgebaut und kann genutzt werden Sollte dies dennoch nicht der Fall sein dann g bt es Probleme mit dem VPN Gateway der Gegenstelle In diesem Fall den Verbindungsnamen anklicken und dann OK klicken um die Verbindung erneut aufzubauen Konfiguration tr PROTECTOR Protector Maximal number of tunnels E Sp ee F Antivirus Maximal number of sessions per tunnel 16 VPN E Sessions in use Ss E L2TP Daemon s Uptime 3 days and 23 15 05 Innominate L2TP Daemon verbi Neustart Abmelden Informiert ber den L2TP Status wenn dieser als Verbindungstyp gew hlt ist Siehe VPN gt Verbindungen auf Seite 48 Ist dieser Verbindungstyp nicht gew hlt sehen Sie die abgebildete Anzeige 59 von 90 Konfiguration VPN gt VPN Logs Nur Anzeige 60 von 90 Konfiguration eee ee ee PROTECTOR Protector uptime O days 00 00 25 87740 pluto 1273 Starting Pluto Openswan Version 1 0 3 Netzwerk uptime O days 00 00 26 02815 pluto 1273 including X 509 patch with traffic selectors uptime O days 00 00 26 16678 pluto 1273 including N
127. sse des Protector ist konfiguriert worden abwei chend von der Standardeinstellung und Sie kennen die aktuelle IP Adresse des Ger tes nicht 1 F hren Sie einen Neustart durch siehe oben 2 Warten Sie bis die Heartbeat LED bl nkt mittlere LED gr n blinkend Dauert ca 30 Sekunden 3 Die Recovery Taste langsam 6 mal dr cken Folge Nach ca 2 Sekunden antwortet der Protector Die mittlere LED blinkt 6 mal in Rot 4 Innerhalb der n chsten 60 Sekunden erneut die Recovery Taste 6 mal dr cken Folge Das Ger t vollzieht einen Neustart und schaltet sich dabei auf den Stealth Modus Es ist dann wieder unter folgender Adresse zu erreichen https 1 1 1 1 79 von 90 Die Recovery Taste f r Neustart Recovery Prozedur und Flashen der Firmware 6 2 Flashen der Firmware 80 von 90 Ziel Die gesamte Software des Protector soll neu ins Gerat geladen werden DO Alle konfigurierten Einstellungen werden gel scht Der Pro tector wird in den Auslieferungszustand versetzt Mogliche Gr nde zum Flashen der Firmware e Das Administrator Passwort ist verloren gegangen e Die Firewall Regeln wurden so eingestellt dass der Admini strator Zugang nicht mehr erfolgen kann Aktion Gehen Sie wie folgt vor gt Sie d rfen w hrend der gesamten Flash Prozedur auf keinen Fall die Stromversorgung des Protector unterbrechen Das Ger t k nnte anson sten besch digt werden und nur noch durch den Hersteller reaktiviert wer
128. st s u und klicken Sie OK Geben Sie hier die Adresse n des der Rechners an dem denen Fernzugang er laubt ist Bei den Angaben haben Sie folgende M glichkeiten e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 77 extern fest vorgegeben M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen LE oder nicht Log auf Nein setzen werksseitige Voreinstellung Konfiguration TS A Y PROTECTOR DEE zugang gt SNMP Netzwerk Aktiviere SHMPv3 Nein v VPN Aktiviere SHMPv1 v2 Nein v Dienste SHMPv1 und SHMPv2 read write Community e SNMPv1 und SNMPv2 read only Community Passworte Sprache Port f r SHMP Verbindungen g ltig f r externes Interface 1461 HTTPS L a SSH Firewaliregeln zu Freigabe des
129. st Office Protokoll Version 3 DNS Doamin Name Service ICMP baut auf IP auf und enth lt Kontrollnachrichten SMTP ist ein auf TCP basierendes E Mail Protokoll IKE ist ein auf UDP basierendes IPsec Protokoll ESP ist ein auf IP basierendes IPsec Protokoll Auf einem Windows PC bernimmt die WINSOCK DLL oder WSOCK32 DLL die Abwicklung der beiden Protokolle gt Datagramm Ein Virtuelles Privates Netzwerk VPN schlie t mehrere voneinander getrennte private Netzwerke Teilnetze ber ein ffentliches Netz z B das Internet zu einem gemeinsamen Netzwerk zusammen Durch Verwendung kryptographi scher Protokolle wird dabei die Vertraulichkeit und Authentizit t gewahrt Ein VPN bietet somit eine kosteng nstige Alternative gegen ber Standleitungen wenn es darum geht ein berregionales Firmennetz aufzubauen 89 von 90 Technische Daten 8 Technische Daten CPU Intel IXP 42x mit 266 MHz bzw 533 MHz Protector L 16 MB Flash 32 MB SDRAM bzw 64 MB SDRAM Protector L LAN u WAN Schnittstellen oe IEEE 802 10 100 Mbps Via USB Schnittstelle 5 V 500 mA SE oder durch externes Netzteil 110 230 V Funktions berwachung Watchdog und optische Anzeige Umwelt Relative Luftfeuchtigkeit max 90 Temperatur 0 bis 40 Betriebssystem Innominate Embedded Linux 90 von 90
130. stem integrierte VPN Funktion integriert werden 2 1 DynDNS Service Der Aufbau einer VPN Verbindung zwischen zwei Standorten wird vorausge setzt dass die IP Adresse von mindestens einem Standort bekannt und damit de finierbar ist Bei vielen Internet Service Providern ISPs werden die IP Adressen jedoch dynamisch zugewiesen d h die IP Adressen der Rechner bzw Netze d e Zugriff zum Internet haben ndern sich Um die Problematik der dynamischen IP Adressenvergabe zu l sen k nnen sog DynDNS Dienste genutzt werden Durch einen solchen Dienst ist der Protector immer ber einen festen Domain Namen zu erreichen unabh ngig von der aktu ellen IP Adresse Bei jedem Wechsel der IP Adresse meldet der Protector die neue IP Adresse dem DynDNS Server so dass auf dem DNS Server dem Doma in Namen stets die aktuelle IP Adresse zugeordnet ist siehe Glossar Die Nutzung eines DynDNS Dienstes erfordert den Abschluss eines Vertrages mit dem entsprechenden Anbieter z B DynDNS org oder DNS4BIZ com 7 von 90 Bedienelemente und Anzeigen 3 Bedienelemente und Anzeigen Recovery Taste Befindet sich in der ffnung Kann z B mit einer aufgeboge nen B roklammer be t t gt werden LEDs 2 1 und 3 1 2 3 8 von 90 Farbe Zustand rot gr n blinkend i Gr n leuchtend oder blinkend div LED Leuchtcodes LED 1 LED 2 LED 3 Bedeutung Bootvorgang Nach Anschluss des Ger tes an die Stromversorgungsquel
131. telle Im Feld Adresse des VPN Gateways der Gegenstelle s 0 muss die feste IP Adresse der Gegenstelle oder deren Domain Namen eingetragen sein Warte auf Gegenstelle In diesem Fall ist der lokale Protector bereit die Verbindung anzunehmen die eine entfernte Gegenstelle aktiv zum lokalen Protector initiiert und aufbaut Im Feld Adresse des VPN Gateways der Gegenstelle s 0 Kann eingetragen sein any Baut ausschlie lich eine bestimmte Gegenstelle mit fester IP Adresse die Verbindung auf k nnen Sie sicherheitshalber deren IP Adresse oder Hostna men angeben DO Arbeitet der Protector im Stealth Modus ist diese Einstellung wirkungslos D h sie wird ignoriert und die Verbindung wird automatisch initiiert wenn der Protector bemerkt dass die Verbindung genutzt werden soll Authentisierungsverfahren Es g bt 2 M glichkeiten e X 509 Zertifikat e Pre Shared Key X 509 Zertifikat Dieses Verfahren wird von den meisten neueren IPsec Implementierungen unterst tzt Dabei verschl sselt der Protector die Authentifizierungs Data gramme die es zur Gegenstelle dem Tunnelende sendet mit dem ffentli chen Schl ssel Dateiname cer oder pem der Gegenstelle Diese cer oder pem Datei haben Sie vom Bediener der Gegenstelle erhalten z B per Diskette oder per E Mail Um diesen ffentlichen Schl ssel dem Protector zur Verf gung zu stellen ge hen Sie wie folgt vor Voraussetzung Sie haben die cer oder pem Dat
132. tend auf Port weierietenan r wenerttenanPort Los htt 2900 http Nein wi Erweiterte Einstellungen Diese Regeln leiten Verkehr der an den Protector gerichtet ist an eine weitere Maschine um ohne dabei die Adresse des Absenders Antivirus zu ndern Die Spalte Eintreffend auf IP erlaubt den Wert extern f r die erste externe IP des Protector Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus Dienste Neustart Abmelden L Klicken Sie neben dem betreffenden Eintrag L schen dann OK Neue Regel setzen E Wollen Sie eine neue Regel zu setzen klicken Sie Neu Legen Sie die gew nschte Regel fest s u und klicken Sie OK Filter gt NAT Konfiguration Protokoll Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll Eintreffend auf IP Geben Sie hier die externe IP Adresse oder eine der externen IP Adressen des Protector an ODER Falls ein dynamischer Wechsel der der externen IP Adresse des Protector er folgt so dass diese nicht angebbar ist verwenden Sie folgende Variable extern gt Die Angabe von extern bezieht sich bei der Verwendung von mehreren statischen IP Adressen f r das externe Interface immer auf die erste IP Adres se der Liste Eintreffend auf Port Original Ziel Port der in eingehenden Datenpaketen angegeben ist Weiterleiten an IP Interne IP Adresse an die die Datenpakete weitergeleitet werden sollen und auf die die Original Zieladresse
133. tere Features tt een 4 Drei EE 3 HEI 5 2 Typische teren 6 Daly DDDNS Service zes seele 7 3 Bedienelemente Und AZ Cl OOM escriurian asi RERET ONNE OREA 8 A Inbetriebnahme awenh 9 Fe A ee 9 4 2 Geral anschlieben ti A E 10 5 Konleuration essen EEEa aN EN A re veces saveseusacceseevencseocosens 11 As EE 11 5 1 Lokale Konfiguration Bei Inbetriebnahme oooooonnnnnnnnnnnnnnnonononocnnnnnnnnnononononinnncnnnncnonnns 11 Bei konfigurierter Netzwerk Schnittstelle ooooooooonnncnnnnnnnonnnononocnnnnnnnncncnononnos 11 Bei nicht konfigurierter Netzwerk Schnittstelle occcccooonnononccnnncnnnnnnnnnnnnnos 11 5 2 Lokale Konfigurationsverbindung herstellen ooo cccncccccnnonnonnncnnnnnnnnnnnnnonononnnnncnnnnnnnns 13 Web basierte Administratoroberfl che nosssossooeneeesssssssssoerssssssssssoerereesssssssseeeees 13 Bei erfolgreichem Verbindungsaufbau nennen 14 Kontentaton durchf hren area 15 SS SR Ge RE e EE E 15 E EA EEN E PA 15 Fernkonfiguration durchf hren ccccooooooononncnnnnnnnnnnnonononnnnnnnnnnnnnonnnninnnnncnnnnnnnnnnnnos 15 3 4 Meni PORCO AE 17 Protector gt Tistalliere Updates ae 17 Protector gt Update SV eee ie Ee 18 Protector EE EE 18 Protector gt Softwareinformation a asia lila 19 Protector gt Lizenzinformation se is bei 19 Protector gt Hardware adi s 20 Erotecior gt OMAP SN Olson sense 20 AS AN O 21 a E MEANEN E e a a 23 E aa EE 23 Nezwerk
134. teway festgelegt sein Beim NAT Router ist keine weitere Konfiguration erforderlich auf Grund der NAT T Funktionalit t des Protector Falls der Router eine Firewall hat darf diese Port 500 udp und Port 4500 udp nicht sperren Szenario 3 Gegenstelle PPPoE wie oben Einzelrechner oder Internet Netz Subnetz mit vorgeschaltetem eg DSL Modem Router mit Firewall z B ein anderer Pro tector Netzwerk Modus des Protector PPPoE Im PPPoE Modus muss beim lokal angeschlossenen Client Rechner der Pro tector als Standardgateway festgelegt sein 6 von 90 Typische Anwendungsszenarien Szenario 4 Gegenstelle Netzwerk wie oben Router Einzelrechner oder Netz Subnetz mit vorgeschaltetem Internet Do Router mit Firewall z B ein anderer Pro tector Netzwerk Modus des Protector Router oder PPPoE oder PPTP Router wenn der Internet Anschluss per Standleitung erfolgt PPPoE wenn der Internet Anschluss z B per DSL Modem erfolgt und dass das PPPoE Protokoll verwendet wird z B in Deutschland PPTP wenn der Internet Anschluss z B per DSL Modem erfolgt so dass das PPTP Protokoll verwendet wird z B in sterreich Bei dem den lokal angeschlossenen Client Rechner n muss der Protector als Standardgateway festgelegt sein Szenario 5 VPN Auf dem Einzelrechner muss eine extra VPN Client Software ausgef hrt wer den Erh ltlich beim SOPHIA Support Unter Windows 2000 oder h her kann die in das Betriebssy
135. u stellen ge hen Sie wie folgt vor 1 Konfigurieren klicken Folge Der nachfolgend abgebildete Bildschirm erscheint Konfiguration JH Far PROTECTOR ATAN PN gt Verbindungen gt Verbindung sophia gt Pre Shared Secret BEE PSK VPN Pre Shared Secret Key PSK complicated _like_SDyOqoD_and Verbindungen Maschinen Zertifikat L2TP IPsec Status L2TP Status YPN Logs Ts Ze Neustart Abmelden 2 Ins Eingabefeld Pre Shared Secret Key PSK die verabredete Zeichenfolge eintragen Um eine mit 3DES vergleichbare Sicherheit zu erzielen sollte die Zeichenfolge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buchstaben sowie Ziffern bestehen 3 Zur ck klicken DO Pre Shared Secret Key kann nicht mit dynamischen any IP Adressen ver wendet werden nur feste IP Adressen oder Hostnamen auf beiden Seiten werden unterst tzt 52 von 90 Konfiguration ISAKMP SA Schl sselaustausch Verschl sselungsalgorithmus 5 Vereinbaren Sie mit dem Administrator der Gegenstelle welches Ver schl sselungsverfahren verwendet werden soll 3DES 168 st das am h ufigsten benutzte Verfahren und ist deshalb als Stan dard voreingestellt Grunds tzlich gilt Folgendes Je mehr Bits ein Verschliisselungsalgorithmus hat angegeben durch die angefiigte Zahl desto sicherer ist er Das relativ neue Verfahren AES 256 gilt daher als am sichersten ist aber noch nicht so verbreitet Der Verschl ss
136. wnload von Dateien wie z B Software Updates oder zur Initialisierung von Multimedia Streams genutzt Die Weiterleitung einer bertragenen Datei erfolgt erst nachdem sie komplett geladen und berpr ft wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindigkeit zu Verz gerungen in der Reaktionszeit der Benutzer Software kommen DO Um den Anti Virus Schutz f r HTTP zu testen bietet sich zun chst der unge fahrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse http www eicar org anti_virus_test_file htm heruntergeladen werden kann Konfiguration JUDE WU Ten PROTECTOR Protector Netzwerk ntiviru SMTP Einstellungen POPS Einstellungen HTTP Einstellungen Datenbank Update Lizenzstatus Lizenzanforderung Installiere Lizenz Antivirus Logs VPN Dienste Neustart Abmelden il Antivirus gt HTTP Einstellungen Anti Virus Schutz fiir HTTP Nein EN scannen bis zur Gr sse von default 1MB 5MB v bei Virusdetektion Fehlermeldung an den Browser vw bei berschreiten der Gr ssenbegrenzung Daten blockieren ve Liste der HTTP Server 0 0 0 0 80 Scannen v Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r HTTP muss der zu scannende Adressbereich mit entsprechenden Firewaliregein freigeschaltet werden v Mi Powered by ANTI VIRUS Anti Virus Schutz f r HTTP Mit dieser Option aktivieren Sie
Download Pdf Manuals
Related Search
SOPHIAProtector. sophie proctor actress sophia proctor sophia proctored exams sophie proctor age