Installation und Konfiguration - FTP Directory Listing
Contents
1. Web Server Firewall SurfinGate Client Abbildung 2 SurfinGate Konfigurationen Die Client Web Browser m ssen so konfiguriert sein da SurfinGate als Proxy f r HTTP FTP und HTTPS benutzt wird Achten Sie darauf da Sie die Nummer des Anschlusses angeben auf dem SurfinGate empfangsbereit ist der Standardwert ist 8080 In der SurfinConsole der Verwaltungsschnittstelle von SurfinGate m ssen Sie die Option Proxy Mode der Registerkarte General markieren Zudem m ssen Sie die Adresse und AnschluBnummer des Firewall HTTP Proxy in das Feld Next Proxy der Registerkarte Proxy eingeben Als Alternative k nnen Sie wenn bereits weitere Proxies definiert sind auf diese Proxies als n chsten Proxy zeigen 32 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration SurfinGate als Plug In f r den Firewall HTTP Proxy konfigurieren Plug In f r IBM Proxy i AAA Web Server Firewall Client SurfinGate Abbildung 3 SurfinGate Konfigurationen Die Client Web Browser m ssen so konfiguriert sein da der Firewall HTTP Proxy als Proxy f r HTTP FTP und HTTPS benutzt wird Geben Sie die Nummer des Anschlusses an auf dem der Firewall HTTP Proxy empfangsbereit ist der Standard wert ist 8080 In der SurfinConsole der Verwaltungsschnittstelle von Su2. IPSEC Internet Protocol Security Internet Protocol Sicherheit Ein aufkommender Standard f r die Sicher heit in der Vermittlungs oder Paketverarbeitungsschicht der Netzkommunikation L Loopback Schnittstelle Eine Schnittstelle die unn tige bertragungsfunktionen umgeht wenn die Informa tionen an eine Definitionseinheit innerhalb desselben Systems adressiert werden Glossar 49 N NAT Network Address Translation Netzadressenum setzung In einer Firewall die Umsetzung von gesi cherten IP Adressen in extern registrierte Adressen Auf diese Weise ist die Kommunikation mit externen Netzen m glich aber die innerhalb der Firewall benutzten IP Adressen werden maskiert P PICS Platform for Internet Content Selection Durch PICS f hige Clients k nnen die Benutzer festlegen welche Leistungsservices sie benutzen wollen und welche Leistungsstufen der einzelnen Leistungsservices akzeptabel und nicht akzeptabel sind Ping Ein Befehl der ICMP Echoanforderungspakete an einen Host Gateway oder Router sendet und eine Antwort erwartet Protokoll Eine Reihe von Regeln die den Betrieb von Funktionseinheiten eines DFV Systems steuern wenn eine bertragung erfolgen soll ber Protokolle ist es m glich Details der niedrigen Ebene f r Schnittstellen zwischen Maschinen beispielsweise die Reihenfolge in der die Bit eines Byte gesendet werden oder den Aus tausch auf hoher Ebene zwischen Anwendungspro grammen b
3. auf Seite 6 e Komponenten des SecureWay Boundary Server auf Seite 6 Beschreibung des SecureWay Boundary Server Der IBM SecureWay Boundary Server bietet die erste vollst ndige L sung f r die Sicherheit von Grenzen Der SecureWay Boundary Server bietet Firewall Schutz den Betrieb virtueller privater Netze und Content Security Der SecureWay Boundary Server kombiniert Technologien der Sicherheitsindustrie mit einer integrierten L sung die von IBM Unterst tzung und Services flankiert wird Zu dieser L sung geh ren e IBM SecureWay Firewall 4 1 beinhaltet Security Dynamic ACE Server e MIMEsweeper von Content Technologies MAlLsweeper 4 1_2 WEBsweeper 3 2 5 WEBsweeper HTTPS Proxy 1 0_2 e SurfinGate 4 05 von Finjan SurfinGate Server SurfinConsole SurfinGate Datenbank SurfinGate Plug In f r WTE Integration f r Windows NT 1 0 Vorteile des SecureWay Boundary Server Gesicherte Grenzen werden berall ben tigt zwischen Abteilungen wie der tech nischen Abteilung und der Personalabteilung zwischen den Netzen der Zentrale und fernen Gesch ftsstellen zwischen dem Netz des Unternehmens und dem Internet zwi schen den Web Anwendungen des Unternehmens und den Kunden zwischen dem Netz oder den Anwendungen des Unternehmens und den Gesch ftspartnern Die Sicherheit von Grenzen sch tzt nicht nur Ihr Netz Ihre Anwendungen und Informa tionen sondern vergr ert auch deren Reichweite Eine ordnungsgem
4. ber eine Basiskonfiguration f r IBM SecureWay Firewall f r Windows NT und AIX enth lt der Abschnitt Vorbereitung auf Seite 13 In diesem Abschnitt wird gezeigt wie eine sichere Schnittstelle definiert wird die Sicherheitsrichtli nien festgelegt und Netzobjekte definiert werden Weitere Informationen ber die Instal lation von SecureWay Firewall enthalten die B cher IBM SecureWay Firewall f r AIX Konfiguration und Installation und IBM SecureWay Firewall f r Windows NT Konfigura tion und Installation SecureWay Directory installieren Wird die LDAP Funktion von SecureWay Boundary Server benutzt mu das SecureWay Directory installiert werden Weitere Informationen enth lt das Buch IBM SecureWay Policy Director Installation und Konfiguration 3 0 Der SecureWay Directory Server mu sich auf der gesicherten Seite der Firewall oder innerhalb der DMZ Demilitarized Zone der Firewall befinden SecureWay Policy Director installieren Wird die LDAP Funktion von SecureWay Boundary Server benutzt mu der SecureWay Policy Director installiert werden Weitere Informationen enth lt das Buch IBM SecureWay Policy Director Installation und Konfiguration 3 0 Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 23 SecureWay Boundary Server installieren Gehen Sie wie folgt vor um den SecureWay Boundary Server unter Windows NT zu installieren Installieren Sie SecureWay Firewall f r Windows NT F hren Sie auf der Secu
5. fangen vorausgesetzt da alle anderen Produkte z B Hardware Software Firm ware die zusammen mit ihnen benutzt werden pr zise Datumsdaten ordnungsgem mit ihnen austauschen Service und Unterst tzung Nehmen Sie Kontakt mit IBM auf wenn Sie f r ein Produkt des IBM SecureWay FirstSecure Angebots Service und Unterst tzung ben tigen In einigen dieser Produkte wird auf Unterst tzung durch andere Anbieter als IBM verwiesen Werden diese Pro dukte als Bestandteil des FirstSecure Angebots geliefert nehmen Sie Kontakt mit IBM auf wenn Sie Service und Unterst tzung ben tigen Zu diesem Handbuch vii Aufbau des Handbuchs Dieses Buch besteht aus den folgenden Kapiteln Kapitel 1 bersicht ber den SecureWay Boundary Server auf Seite 1 enth lt eine bersicht ber den SecureWay Boundary Server und seine Komponenten Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server auf Seite 5 enth lt Informationen ber die Vorteile des SecureWay Boundary Server Kapitel 3 Vor der Installation von SecureWay Boundary Server auf Seite 13 enth lt Informationen ber die Planung des SecureWay Boundary Server Kapitel 4 Voraussetzungen f r den IBM SecureWay Boundary Server SBS auf Seite 19 enth lt Informationen ber die Mindestvoraussetzungen f r den SecureWay Boundary Server In Kapitel 5 SecureWay Boundary Server installieren und konfigurieren auf Seite 23 werden Installa
6. 2 2 2 2 a vii Aufbau des Handbuchs 2 2 2 2m nn nn viii Konventionen aoaaa aa a a viii Web Informationen a viii Neue Einrichtungen und Funktionen aaa aaa e ix Integration mit dem SecureWay Policy Director ix Optimierte Weiterleitung o o a ix Abwehren von Eindringlingen Intrusion Blocking ix IBM SecureWay Firewall4 1 2 0 0 0 2 0022 a ix MIMEsweeper 2 0 f r SecureWay e e xii SuninGate 4 05 a hh EA eee DAD A o xiii Kapitel 1 bersicht ber den SecureWay Boundary Server 1 Beispiele f r eine typische SecureWay Boundary Server Konfiguration 2 Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server 5 Beschreibung des SecureWay Boundary Server 0 5 Vorteile des SecureWay Boundary Server 2 2 on 0 e 5 Bedeutung von SecureWay Boundary Server in FirstSecure 6 Komponenten des SecureWay Boundary Server 2 2 En nn 6 bersicht ber den IBM SecureWay Boundary Server 6 bersicht ber den IBM SecureWay Policy Director 7 bersicht ber IBM SecureWay Firewall 22 22 oo oo oo 8 bersicht ber MIMEsweeper 2 2 2222 Connor 8 bersicht ber SurfinGate 2 222 222 00 onen 10 Kapitel 3 Vor der Installation von SecureWay Boundary Server 13 Vorbereitung e vow ine A keine ale ie er ke 13 Integration mit dem SecureWay
7. um Dateien in und aus vernetzten Computern zu bertragen F r FTP ist eine Benutzer ID und manchmal auch ein Kennwort erforderlich um auf Dateien auf einem fernen Host System zugreifen zu k nnen G Gateway Eine Funktionseinheit die zwei Computer netze mit unterschiedlichen Architekturen miteinander verbindet ICMP Internet Control Message Protocol Das Protokoll wird zur Behandlung von Fehlern und zur Steuerung von Nachrichten in der IP Schicht Internet Protocol Layer benutzt Fehlerberichte und falsche Datagrammziel adressen werden an die urspr ngliche Datagramm quellenadresse zur ckgegeben Internet Die weltweite Gruppe miteinander verbun dener Netze die die Internet Protokollgruppe verwenden und allgemein zug nglich sind Intranet Ein gesichertes privates Netz das Internet Standards und Anwendungen beispielsweise Web Browser in die vorhandene Computernetzinfrastruktur eines Unternehmens integriert IP Internet Protocol Ein Protokoll f r virtuelle Verbin dungen das Daten in einem Netz oder in miteinander verbundenen Netzen weiterleitet Das Internet Protocol agiert als Vermittler zwischen den h heren Protokoll schichten und der Bit bertragungsschicht IP Adresse Internet Protocol Adresse Die eindeutige 32 Bit Adresse mit der die aktuelle Position der ein zelnen Einheiten oder Workstations in einem Netz ange geben wird Die Internet Protocol Adresse wird auch als Internet Adresse bezeichnet
8. 41 41 43 44 44 44 44 45 45 45 Anhang B Bemerkungen 0 0002 eee eee 47 Marken u Sen BO Dhak RN Bed Ab A ts OA La Paes he 48 Glossar 4 a hee atk BD eet ee Oe ech ar re 49 PTT WOME 2202 aia Sree ees heap otal a rie eed tage he Sone 53 Inhaltsverzeichnis V vi IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Zu diesem Handbuch In diesem Buch wird die Installation Konfiguration Benutzung und Fehlerbehebung f r den IBM SecureWay Boundary Server f r Windows NT und AlX erkl rt Zur Installation und Konfiguration des SecureWay Boundary Server sind gute Kennt nisse ber Firewalls virtuelle private Netze Content Security und Netzverwaltung erfor derlich Da Sie eine Firewall installieren und konfigurieren die den Zugriff auf das und aus dem Netz steuert m ssen Sie wissen wie der Netzbetrieb funktioniert Insbeson dere m ssen Sie grundlegende Kenntnisse ber IP Adressen vollst ndig qualifizierte Namen und Teilnetzmasken haben Zielgruppe Dieses Buch richtet sich an Administratoren f r die Netz und Systemsicherheit die den IBM SecureWay Boundary Server installieren verwalten und benutzen Jahr 2000 F higkeit Diese Produkte sind Jahr 2000 konform d h sie sind bei Benutzung gem der dazu geh rigen IBM Dokumentation in der Lage Datumsdaten innerhalb und zwischen dem 20 und dem 21 Jahrhundert korrekt zu verarbeiten bereitzustellen oder zu emp
9. Address 9 192 8 7 gt gt gt gt gt gt gt gt Source Mask 255 255 255 0 gt gt gt gt gt gt gt gt Destination Address 9 192 240 1 gt gt gt gt gt gt gt gt Destination Mask 255 255 255 0 gt gt gt gt gt gt gt gt Protocol Any gt gt gt gt gt gt gt gt Source Port Any 0 gt gt gt gt gt gt gt gt Destination Port Any 0 gt gt gt gt gt gt gt gt Adapter Both Secure and NonSecure gt gt gt gt gt gt gt gt Scope Both Routed and Local gt gt gt gt gt gt gt gt Direction Both Inbound and Outbound gt gt gt gt gt gt gt gt Tunnel Id 0 gt gt gt gt gt gt gt gt Logging Enabled Unavailable gt gt gt gt gt gt gt gt Fragments Allowed No Anmerkung Mit dem Befehl fwdelete_dynamic sollte zuerst berpr ft werden ob die zu l schenden Regeln die erwartete ID haben Wird der Befehl mit einer g ltigen Filter ID eingegeben werden die dynamischen Regeln gel scht und die Anzahl der gel schten Regeln wird angezeigt ACHTUNG Wenn Sie versuchen eine bereits vorhandene Filter ID hinzuzuf gen erhalten Sie die Mitteilung da bereits ein Filter vorhanden ist Wenn Sie versu chen einen Filter ohne Angabe einer Filter ID hinzuzuf gen erscheint eine Warnung Das Abwehren von Eindringlingen kann in AIX au er Kraft gesetzt werden wenn in dem Regelsatz der oberen Ebene Regeln vorhanden sind Wird das Abwehren von Eindringlingen benutzt m
10. Gehen Sie anhand der Installationsanweisungen vor und 1 entfernen Sie Microsoft DNS durch L schen des Verzeichnisses winnt system32 DNS Installieren Sie Microsoft DNS erneut Starten Sie das System neu Installieren Sie den DNS Hotfix erneut Starten Sie das System neu EBD Anhang A Fehlerbehebung 43 Allgemeine Probleme mit MIMEsweeper beheben WEBsweeper und MAlLsweeper scheinen auf derselben Maschine nicht zu funktionieren Erkl rung des Problems Es treten Probleme auf wenn MAlLsweeper und WEBsweeper auf der selben Maschine ausgef hrt werden sollen Empfohlene Aktion Installieren Sie MAlLsweeper und WEBsweeper auf separaten Maschinen Geringe Leistung von WEBsweeper Erkl rung des Problems Das Herunterladen von Web Inhalt dauert bei der Benutzung von WEBsweeper zu lange Empfohlene Aktion 1 Inaktivieren Sie die Protokollierung ber die WEBsweeper Mini anwendung die ber die Systemsteuerung aufgerufen werden kann 2 Installieren Sie WEBsweeper auf der schnellsten Hardware die ver f gbar ist Probleme mit der WEBsweeper Lizenzierung Erkl rung des Problems Wird WEBsweeper 3 2_5 auf einer Maschine installiert auf der bereits eine fr here WEBsweeper Version installiert war kann ein Lizenzberechtigungs konflikt auftreten Wird WEBsweeper gestartet und erscheint eine Nachricht ber einen internen Windows Fehler 2140 berpr fen Sie das Anwen dungsprotokoll in der Ereignisanzeige Die Nachrich
11. Ins Erkl rung des Problems Das Herunterladen von mobilem Code ber das Web dauert bei Benutzung des SurfinGate Plug Ins sehr lange Empfohlene Aktion Achten Sie darauf da das Feld Next Proxy im Abschnitt Proxy der SurfinConsole auf den SecureWay Firewall HTTP Proxy gesetzt ist Anhang A Fehlerbehebung 45 46 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Anhang B Bemerkungen Hinweise auf IBM Produkte Programme und Dienstleistungen in dieser Ver ffentlichung bedeuten nicht da IBM diese in allen L ndern in denen IBM vertreten ist anbietet Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht da nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der IBM Produkte Programme oder Dienstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder anderen Schutzrechte der IBM verletzen Die Verantwortung f r den Betrieb der Produkte Programme oder Dienstleistungen in Ver bindung mit Fremdprodukten und Fremddienstleistungen liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich von IBM best tigt sind F r in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich
12. Policy Director 13 SecureWay Firewall 22 2 oo a 14 SecureWay Boundary Server 00 02000 eee eee 16 SUMING ALS aa A en SE ela ee hee ere ee Pics E eee 17 MIMEsweeper 0 nen 17 Kapitel 4 Voraussetzungen f r den IBM SecureWay Boundary Server SBS 19 Hardwarevoraussetzungen f r den SecureWay Boundary Server 19 Softwarevoraussetzungen f r den SecureWay Boundary Server 21 Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 23 SecureWay Boundary Server Komponenten installieren 23 SecureWay Firewall installieren 0 23 SecureWay Directory installieren 0 23 Inhaltsverzeichnis Hi SecureWay Policy Director installieren SecureWay Boundary Server installieren SurfinGate installieren 2 2 ooa MIMEsweeper installieren 2 22 22mm nn SecureWay Boundary Server Komponenten konfigurieren SecureWay Firewall konfigurieren 0 o e SecureWay Firewall f r die Integration von Policy Director konfigurieren SecureWay Firewall f r die Benutzung von SurfinGate Plug Ins konfigurieren nur Windows NT 2 2 2 nn nn SecureWay Firewall f r die Benutzung von MAlLsweeper konfigurieren SecureWay Policy Director konfigurieren 2 2222 22m onen SecureWay Directory konfigurieren 2 2222 oo a SecureWay Boundary Server f r Policy Director Integration ko
13. ber Ausschlu listen abgewehrt und Nachrichten auf G ltigkeit und Wiederholbarkeit berpr ft werden k nnen bekannte Wege zum Abwehren unerw nschter Nachrichten und die Anzahl von Empf n gern pro Nachricht und die maximale Gr e einer Nachricht begrenzt werden kann e Anti Spoofing Unterst tzung einschlie lich der Integration leistungsf higer Authentifizierungsmechanismen e Unterst tzung f r SNMP Alarmnachrichten und die MADMAN MIB e Nachrichten berwachung einschlie lich der F higkeit zum nahtlosen Verfolgen von Nachrichten zwischen Firewall und Backend Post Server Domino Erweiterungen am Socks Protokoll Version 5 Das Socks Protokoll Version 5 wurde durch eine Authentifizierung mit Benutzer ID und Kennwort eine Authentifizierung von Anforderung und Antwort und Authentifizierungs Plug Ins erweitert Die Protokollierung wurde erweitert damit Benutzer bessere Steuerungs m glichkeiten bei der Klassifizierung von Protokollnachrichten und bei der Angabe von Protokollstufen haben HTTP Proxy IBM SecureWay Firewall bietet eine HTTP Proxy Implementierung mit allen Funktionen die auf dem Produkt IBM Web Traffic Express WTE basiert Der HTTP Proxy bearbeitet Browser Anforderungen effizient ber IBM Firewall ein Socks Server ist f r die Suche im Internet daher nicht erfor derlich Benutzer k nnen auf n tzliche Informationen im Internet zugreifen ohne da die Sicherheit ihrer internen Netze gef hrdet ist De
14. oder ber ein WTE Plug In auf IBM Firewall f r Windows NT arbeiten Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server 11 12 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 3 Vor der Installation von SecureWay Boundary Server In diesem Kapitel wird gezeigt wie die Installation von SecureWay Boundary Server ber den Assistenten vorbereitet werden kann Es enth lt die folgenden Abschnitte e Vorbereitung e SecureWay Boundary Server auf Seite 16 Vorbereitung In diesem Abschnitt wird gezeigt wie die Komponenten f r den SecureWay Boundary Server vorbereitet werden Integration mit dem SecureWay Policy Director Gehen Sie zum Einrichten einer IBM SecureWay Policy Director Basiskonfiguration unter Windows NT oder AIX wie folgt vor 1 berpr fen Sie ob das Betriebssystem so konfiguriert ist da der Policy Director unterst tzt wird 2 Stellen Sie fest welche Server Komponenten f r Ihre Anforderungen am besten geeignet sind und auf welchen Maschinen diese Komponenten installiert werden sollen 3 Installieren und konfigurieren Sie eine DCE Infrastruktur falls noch keine DCE Infrastruktur besteht 4 Installieren und konfigurieren Sie das SecureWay Directory LDAP 5 Konfigurieren Sie den Certificate Authorization Service CAS wenn die Client Authentifizierung ber Zertifikate erfolgen soll 6 Installieren Sie den NetSEAT Client 7 Inst
15. r HTTP Windows NT Firewall In einem typischen Szenario geht eine HTTP Anforderung f r Internet Inhalt von der Client Maschine aus Die Anforderung wird zuerst an WEBsweeper weitergeleitet Auf dem Pfad f r abgehende Anforde rungen leitet WEBsweeper die Anforderung einfach an den Firewall HTTP Proxy weiter Am Firewall HTTP Proxy erfolgt die Authentifizierung des Benutzers Bei der ersten Anforderung der Client Sitzung f r eine Suche im Internet wird zur Eingabe der Benutzer ID und des Kennworts aufgefordert Die Benutzer ID wird zum Ermitteln der Client Sicherheitsrichtlinien in der vom Policy Director verwalteten LDAP Datenbank benutzt Abh ngig von den HTTP Authentifizierungsrichtlinien f r den Client und dem Ergebnis der Pr fung des eingegebenen Kennworts wird die Anforderung zur ckge wiesen oder zugelassen F r die Authentifizierungsoperation k nnen weitere Zugriffe auf die LDAP Datenbank oder den Security Dynamics ACE Server erforderlich sein Bei darauffolgenden Anforderungen dieser Sitzung f r eine Suche im Internet liefert der Browser die Benutzer ID und das Kennwort automatisch Der Client wird zwar nicht zur Eingabe von Benutzer ID und Kennwort aufgefordert die Anforderung wird jedoch ber denselben Proze wie bei der ersten Anforderung authentifiziert Ergibt die Authentifizierung da der Client die f r die Anforderung erforderliche Berech tigung hat wird die Anforderung an den entsprechenden Server im Internet weiterg
16. ssen sich die meisten Regeln in dem Regelsatz der unteren Ebene befinden Dynamische Regeln werden in der Mitte dieser beiden Regels tze hinzugef gt Befindet sich eine Regel in der oberen Ebene die den Datenverkehr zul t k nnen Sie den Datenverkehr nicht ber dynamische Regeln verhindern Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 37 Konfiguration testen 38 Haben Sie alle Konfigurationsaufgaben in den vorhergehenden Kapiteln ausgef hrt mu die Konfiguration getestet werden Gehen Sie wie folgt vor um die SecureWay Boundary Server Konfiguration zu testen 1 OO 109 Konfigurieren Sie einen Firewall Proxy Benutzer mit dem Policy Director Legen Sie fest da der Benutzer f r ein gesichertes Telnet Protokoll ein Firewall Kennwort verwenden mu und legen Sie das Kennwort f r den Benutzer fest Richten Sie mit dem SecureWay Boundary Server Assistenten die Verbindung zwi schen der Firewall und dem Directory LDAP ein Starten Sie von einem gesicherten Client eine Proxy Telnet Sitzung Geben Sie die Benutzerkonfiguration ber den Policy Director ein Sie werden zur Eingabe eines Kennworts aufgefordert Jetzt sind Sie authentifiziert IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 6 Referenzliteratur Die in diesem Kapitel aufgef hrten Dokumentationen enthalten weitere Informationen ber IBM SecureWay Boundary Server Version 2 0 und zu
17. Gate 4 05 sucht nach m glicherweise problematischen JavaScript Operationen und stoppt JavaScript Code der einen Konflikt mit den Sicher heitsrichtlinien des Unternehmens hervorruft Mit SurfinGate 4 05 k nnen Administratoren unternehmensweite Sicherheitsrichtlinien f r JavaScript Java und ActiveX Codes VisualBasic Scripts und Cookies zentral ver walten steuern und durchsetzen Aufgabenkritische Leistungs berwachung SurfinGate 4 05 enth lt ein automatisches Tool das ein abnormales Ver halten beispielsweise Laufzeitfehler erkennt und SurfinGate neu startet falls ein Fehler auftritt Dies ist eine wesentliche Sicherheitseinrichtung f r aufgabenkritische Bereiche Verbesserte Richtlinienverwaltung SurfinGate gibt unaufgel ste Minianwendungsprofile zum automatischen Blockieren in die Datenbank ein Administratoren k nnen die Liste der Minianwendungen Steuerungen bearbeiten Unterst tzung f r die Protokolle FTP und SSL SurfinGate 4 05 berwacht FTP Kan le auf mobilen Code und achtet auf Code der andernfalls unbemerkt aus dem Internet eindringen k nnte Neben dem FTP Datenverkehr berwacht SurfinGate auch den HTTP Datenverkehr auf mobilen Code und leitet den HTTPS Datenverkehr an zus tzliche Einheiten weiter Plug In Integration mit Firewall HTTP Proxy SurfinGate arbeitet als Proxy in einer Proxy Kette oder ber ein Plug In in WTE Web Traffic Express auf IBM Firewall f r Windows NT Zu diesem Handbuch Xii
18. IBM Secure Way Boundary Server f r Windows NT und AIX Installation und Konfiguration Version 2 0 IBM Secure Way Boundary Server f r Windows NT und AIX Installation und Konfiguration Version 2 0 m Anmerkung Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die allgemeinen Informa tionen unter Anhang B Bemerkungen auf Seite 47 gelesen werden Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM SecureWay Boundary Server for Windows NT and AIX Up and Running Version 2 0 IBM Teilenummer CT6RZNA herausgegeben von International Business Machines Corporation USA C Copyright International Business Machines Corporation 1999 C Copyright IBM Deutschland Informationssysteme GmbH 1999 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und verf gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderungen des Textes bleiben vorbehalten Herausgegeben von SW NLS Center Kst 2877 Oktober 1999 Inhaltsverzeichnis Zu diesem Handbuch 2 nn nn vii Zielgruppe u 2 wesen e ii a ch e ek vii Jahr 2000 F higkeit 2 2222 ann nn vii Service und Unterst tzung
19. MAlLsweeper das Erkennen und Entfernen von Viren in Nachrichten und Anlagen Die erweiterte Textanalyse mit den Ausdr cken NEAR AND NOT und OR bietet eine enorme Flexibilit t beim Erstellen benutzerfreundlicher effektiver Szenarien auf der Basis der Nachrichtensyntax oder architektur Erweiterte Protokollierungs Tools die Daten an eine beliebige ODBC konforme Datenbank senden k nnen Unterst tzung des RBL Servers RBL Real Time Black List der eine Liste mit Sites enth lt die f r das Senden von Junk E Mail bekannt sind MAlLsweeper kann Anforderungen zum Einrichten von Verbindungen von Hosts zur ckweisen die in dieser Liste aufgef hrt sind Content Security ist durch attraktive Berichte Grafiken und Tabellen ber den E Mail Datenverkehr leichter zu verwalten Integration mit LDAP Verzeichnissen Delivery Service Notification DSN unterst tzt jetzt SNMP und NT Alerter xii IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration WEBsweeper e Durch zus tzliche Verbesserungen der Leistung wird die Datenverarbeitungsge schwindigkeit erh ht e Es k nnen Virenpr fprogramme f r den HTTP und FTP Datenverkehr eingesetzt werden WEBsweeper HTTPS WEBsweeper bietet jetzt durch eine neue HTTPS Proxy L sung vollst ndige Unter st tzung f r web gest tzte e Commerce Anwendungen SurfinGate 4 05 Zu den Erweiterungen an SurfinGate geh ren Pr fung des JavaScript Inhalts Surfin
20. Windows NT Version 4 0 4 3 2 mit Service Pack 5 SecureWay Boundary Server MAlLsweeper IBM SecureWay Firewall 4 1 Windows NT Version 4 0 mit Service Pack 5 Internet Explorer 4 01 oder h her Microsoft Management Console 1 1 NTFS Laufwerk Windows Messaging IBM SecureWay Firewall 4 1 Die gew nschten Antivirus Tools WEBsweeper Windows NT Version 4 0 mit Service Pack 5 Die gew nschten Antivirus Tools SurfinGate Server Windows NT Version 4 0 mit Service Pack 5 SurfinGate 4 05 Console Windows NT Version 4 0 mit Service Pack 5 oder Windows 95 Kapitel 4 Voraussetzungen f r den IBM SecureWay Boundary Server SBS 21 22 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 5 SecureWay Boundary Server installieren und konfigurieren In diesem Kapitel wird gezeigt wie der SecureWay Boundary Server unter Windows NT und AIX konfiguriert und installiert wird Das Kapitel besteht aus folgenden Abschnitten e SecureWay Boundary Server Komponenten installieren e SecureWay Boundary Server Komponenten konfigurieren auf Seite 26 e Abwehren von Eindringlingen auf Seite 35 SecureWay Boundary Server Komponenten installieren Dieser Abschnitt dient als Hilfe bei der Installation von IBM SecureWay Firewall SurfinGate und MIMEsweeper f r Windows NT und AIX SecureWay Firewall installieren Weitere Informationen
21. allieren Sie die Policy Director Server Komponenten 8 Installieren Sie die Management Console Weitere Informationen ber den Policy Director enth lt das Buch IBM SecureWay Policy Director Installation und Konfiguration 3 0 Kapitel 3 Vor der Installation von SecureWay Boundary Server 13 SecureWay Firewall Gehen Sie zum Einrichten einer IBM Firewall Basiskonfiguration unter Windows NT oder AIX wie folgt vor 1 Achten Sie darauf da die in Hardwarevoraussetzungen f r den SecureWay Boundary Server auf Seite 19 aufgef hrten Vorbedingungen erf llt sind Planen Sie die IBM Firewall Konfiguration Legen Sie im voraus fest welche Firewall Funktionen Sie benutzen wollen und wie Sie die Funktionen benutzen wollen Teilen Sie der Firewall mit welche ihrer Schnittstellen mit gesicherten Netzen ver bunden sind Damit die Firewall ordnungsgem funktioniert mu sie ber eine gesicherte Schnittstelle und eine ungesicherte Schnittstelle verf gen ffnen Sie ber die Navigationsbaumstruktur des Konfigurations Clients den Ordner System verwaltung und klicken Sie auf Schnittstellen um eine Liste der Netzschnitt stellen auf der Firewall aufzurufen Wollen Sie den Sicherheitsstatus einer Schnittstelle ndern w hlen Sie eine Schnittstelle aus und klicken Sie auf ndern Anmerkung Wollen Sie eine Verbindung zum Internet einrichten nehmen Sie Kontakt mit Ihrem Internet Service Provider ISP auf und fordern Sie eine regis
22. alten Informationen ber MAlLsweeper und sind in PDF und HTM Format unter install auf der MIMEsweeper CD verf gbar e Getting Started Guide befindet sich in der Datei install MSW4_0_2 Doc qsg pdf e Die Informationsdatei befindet sich in der Datei install MSW4_0_2 README htm WEBsweeper Die folgenden Dokumente enthalten Informationen Uber WEBsweeper und sind in PDF und HTM Format unter install auf der MIMEsweeper CD verf gbar e WEBsweeper Administrator s Guide befindet sich in der Datei instal WSW3_2_5 Doc manual pdf e Die Release Beschreibung befindet sich in der Datei instal WSW3_2_5 Doc RELNOTES htm WEBsweeper HTTPS Proxy Das folgende Dokument enth lt Informationen ber den WEBsweeper HTTPS Proxy und ist in TXT Format unter install auf der MIMEsweeper CD verf gbar Die Informationsdatei befindet sich in der Datei instal WSWHTTPS1_0_2 readme txt SurfinGate Die folgenden Dokumente enthalten Informationen ber SurfinGate und sind in PDF Format unter docs auf der SurfinGate CD verf gbar SurfinGate Installation Guide befindet sich in der Datei Docs install pdf e SurfinGate User s Manual befindet sich in der Datei Docs manual pdf e Die Release Beschreibung befindet sich in der Datei Docs SFG 405 RelNotes pdf e Informationen ber das SurfinGate Plug In befinden sich im Verzeichnis docs 40 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Anhang A Fehlerbehe
23. an IBM Europe Director of Licensing F 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf englisch formuliert werden Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie li die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse Anfragen an diese Adresse m ssen auf englisch formuliert werden Site Counsel IBM SWG IBM Corporation P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 2195 USA Dieses Programm wird nicht unter den Allgemeinen Gesch ftsbedingungen der IBM sondern unter den Internationalen Nutzungsbedingungen der IBM f r Programmpa kete lizenziert Die Ver ffentlichung dient nicht f r Produktionszwecke IBM bernimmt keine Haftung Die in dieser Ver ffentlichung aufgef hrten Beispiele sollen lediglich zur Veran schaulichung und zu keinem anderen Zweck dienen Anhang B Bemerkungen 47 Dieses Produkt enth lt Computersoftware die von CERN erstellt oder zur Verf gung gestellt wurde Ein entsprechender Hinweis ist in allen Produkten enthalten die CERN Computersoftware oder Komponenten dieser Software enthalten Marken Folgende Namen sind in gewissen L ndern Marken der IBM Corporation AIX IBM Microso
24. bung Dieses Kapitel ist beim Erkennen und Beheben von Problemen hilfreich die bei dem SecureWay Boundary Server auftreten k nnen Allgemeine Probleme mit IBM SecureWay Firewall beheben Weiterleitungsprobleme IBM Firewall stellt ber die Anzeige Sicherheitsrichtlinien die Funktion P Weiterlei tung testen zur Verf gung die beim Beheben von Weiterleitungsproblemen n tzlich sein kann Aktivieren Sie dieses Kontrollk stchen aktivieren Sie die Verbindungskonfi guration und aktivieren Sie die Verbindungsregelprotokollierung berpr fen Sie dann im Firewall Protokol1 die detaillierten Informationen ber alle Pakete die die Firewall durchlaufen haben F hren Sie diese Tests zun chst mit IP Adressen und dann mit Host Namen aus Kein Befehl PING f r Hosts aus Firewall m glich Erkl rung des Problems Die Netzschnittstelle ist nicht korrekt konfiguriert Empfohlene Aktion Siehe Dokumentation des Betriebssystems Erkl rung des Problems Die Verbindung zu dem ungesicherten Netz ist nicht korrekt konfiguriert Empfohlene Aktion Nehmen Sie Kontakt zu Ihrem Internet Service Provider auf Erkl rung des Problems Wenn das gesicherte Netz hinter einem Router isoliert ist ben tigt die Firewall einen statischen Leitweg zu diesem Router berpr fen Sie die statische Weiterleitung mit dem Befehl netstat rn netstat rn Die Ausgabe mu f r die Protokollfamilie 2 wie folgt aussehen Destination Gateway Flags default nrr nrr nr
25. die Adresse der gesicherten Schnittstelle der Firewall fest WEBsweeper mu so konfiguriert sein da Proxy Anforderungen an den HTTP Proxy auf der Firewall weitergeleitet werden e Wollen Sie verhindern da Clients das Filtern des Web Inhalts umgehen k nnen m ssen Sie eine Verbindung auf der Firewall einrichten um den Proxy Zugriff auf die WEBsweeper und oder SurfinGate Server zu begrenzen 18 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 4 Voraussetzungen f r den IBM SecureWay Boundary Server SBS In diesem Kapitel sind die Mindestvoraussetzungen f r den SecureWay Boundary Server aufgef hrt Hardwarevoraussetzungen f r den SecureWay Boundary Server In der folgenden Tabelle sind die Hardwarevoraussetzungen f r die Boundary Server Komponenten aufgef hrt Tabelle 2 Seite 1 von 2 Hardwarevoraussetzungen f r die Boundary Server Komponenten Boundary Server Maschinentyp Plattenspeicher Hauptspeicher Weitere Voraus Komponente platz setzungen Policy Director a 64 MB 16 MB IBM Firewall Windows NT Windows NT 200 Windows NT 64 2 Netzschnitt 266 MHz oder MB MB stellenkarten hoher AIX 200 MB AIX 128 MB AIX RS 6000 Maschine die AIX 4 3 2 unterst tzt ACE Server Windows NT Software f r pri Minimum 32 MB Der tats chliche 166 MHz oder m ren Server Speicherbedarf h her nur Einzel 50 MB h ngt von der prozessor A
26. e leitet 2 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kommt der Inhalt des Internet Servers wieder am Firewall HTTP Proxy an wird der Inhalt vom SurfinGate Plug In untersucht Dem Plug In werden f r Richtlinienentschei dungen Gruppeninformationen f r den Benutzer aus der LDAP Datenbank zur Verf gung gestellt Hat SurfinGate nichts am Inhalt auszusetzen wird der Inhalt schnell und mit minimalem Verarbeitungsaufwand durch das Plug In weitergeleitet Inhalt mit JavaScript Code wird im Plug In gefiltert Inhalt mit Java oder ActiveX Code wird zum Filtern an den SurfinGate Server weitergeleitet und der gefilterte Inhalt an den Firewall HTTP Proxy zur ckgegeben Der Inhalt der das Ergebnis der Verarbeitung durch das SurfinGate Plug In ist wird an den WEBsweeper Server zur ckgesendet Wenn der Inhalt wieder am WEBsweeper Server ankommt wird er entsprechend der WEBsweeper Richtlinien gefiltert und an den Client zur ckgegeben Beispiel fur HTTP AIX Firewall Unter AIX ist der Flu des Datenverkehrs weitge hend identisch nur steht auf der AIX Firewall kein SurfinGate Plug In zur Verf gung Daher mu der SurfinGate Server als Proxy in einer Proxy Kette vom Client zur Firewall konfiguriert werden WEBsweeper mu so konfiguriert werden da Anforde rungen an den SurfinGate Server und nicht direkt an den Firewall HTTP Proxy weiter geleitet werden Der SurfinGate Server mu dann so konfigurie
27. e Sicherheit von Grenzen setzt voraus da gesteuert wird wer auf Ihr Netz zugreifen kann und welche Informationen in Ihr Netz gelangen oder Ihr Netz verlassen k nnen Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server 5 Bedeutung von SecureWay Boundary Server in FirstSecure IBM SecureWay FirstSecure ist ein Paket von integrierten Produkten und bietet ein benutzerfreundliches Ger st zum Schutz des Netzbetriebs ber das Internet und andere Netze Es sch tzt Kundeninvestitionen durch ein modulares Design und mitein ander kombinierbare Angebote und reduziert die Gesamtkosten f r einen gesicherten e business Betrieb Es bietet Virenschutz Zugriffssteuerung Steuerung des Datenver kehrsinhalts Verschl sselung digitale Zertifikate Firewall Toolkits und Implementie rungsservices Der Boundary Server ist ein Paket von Produkten zur Erg nzung von FirstSecure Er erstellt eine Grenze zum Internet durch die gef hrliche Viren Uber integrierte Virenpr fprogramme JavaScript Code Java Minianwendungen ActiveX Steuerungen und auch Junk E Mail Spam blockiert werden k nnen Mit dem Boundary Server kann genau gesteuert werden welcher Internet Inhalt in das eigene Netz gelangen darf Mit dem SecureWay Policy Director werden Firewall Proxy Benutzer und ihre Authentifi zierungsrichtlinien verwaltet Komponenten des SecureWay Boundary Server Der SecureWay Boundary Server besteht aus den drei Komponenten IBM Firewall MIME
28. ecureWay Policy Director Wird der IBM SecureWay Policy Director zusammen mit dem SecureWay Boundary Server benutzt bietet er das Speichern von Richtlinien und Authentifizierungs informationen f r Proxy Benutzer Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server 7 Ubersicht ber IBM SecureWay Firewall IBM SecureWay Firewall ist ein Programm f r die Netzsicherheit Eine Firewall ist eine Blockade zwischen gesicherten internen privaten Netzen und anderen Netzen oder dem Internet Eine Firewall sch tzt vor unerw nschtem oder unbefugtem Datenverkehr in das und aus dem gesicherten Netz Funktionsweise von IBM SecureWay Firewall IBM SecureWay Firewall schr nkt den Zugriff zwischen einem gesch tzten Netz dem Internet und anderen Gruppen von Netzen ein Zudem sorgt IBM SecureWay Firewall f r folgendes e Personen k nnen nur an einem sorgf ltig gesteuerten Punkt in das Netz gelangen e Attacken werden fr hzeitig abgeblockt und gelangen nicht in die N he anderer Schutzeinrichtungen e Personen k nnen nur an einem sorgf ltig gesteuerten Punkt aus dem Netz gelangen Interne Firewalls trennen sensible interne Informationen von unbefugten Mitar beitern e Es kann festgelegt werden welcher Datenverkehr in das Netz und aus dem Netz gelangen kann bersicht ber MIMEsweeper MIMEsweeper bietet Content Security indem der die Firewall durchlaufende E Mail oder Web Datenverkehr analysiert wird Durch Content Security
29. egeln f r ankommende Verbindungen wie folgt konfiguriert werden e Die Quellenadresse ist die SecureWay Directory Adresse Die Zieladresse ist die Adresse des gesicherten Firewall Adapters Der Quellenanschlu ist gleich 389 Der Zielanschlu ist gr er als 1023 e Die Schnittstelle ist gesichert e Die Weiterleitung erfolgt lokal e Die Richtung ist ankommend Nachfolgend wird ein Beispiel f r eine solche Verbindung gezeigt Service ldap Description permit 9 67 130 153 255 255 255 255 9 67 141 85 255 255 255 255 tcp gt 1023 eq 389 secure both outbound l y f y t 0 e none a none permit 9 67 141 85 255 255 255 255 9 67 130 153 255 255 255 255 tcp ack eq 389 gt 1023 secure local inbound l y f y t 0 e none a none Rufen Sie den SecureWay Boundary Server Konfigurationsassistenten auf Wahlen Sie die Option zum Aktivieren der Zusammenarbeit von Firewall und Policy Director aus Weitere Informationen enthalt SecureWay Boundary Server f r Policy Director Integration konfigurieren auf Seite 31 28 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration SecureWay Firewall f r die Benutzung von SurfinGate Plug Ins konfigurieren nur Windows NT Es mu eine Verbindung eingerichtet werden damit SecureWay Firewall mit dem SurfinGate Server kommunizieren kann Der SurfinGate Server mu sich auf der gesi cherten Seite der Firewall befinden Weitere Informationen ber die Einrich
30. ehmen Sie zunachst Kontakt zu Ihrem Internet Service Provider ISP auf und fordern Sie eine registrierte Internet Adresse an die f r die Viele zu Eins Adressenumsetzung benutzt werden soll Diese Adresse ist zus tzlich zu der in Schritt 3 auf Seite 14 angeforderten Adresse erforderlich Dann m ssen Sie Uber die Anzeige Konfiguration der NAT Netzadres senumsetzung hinzuftigen die registrierte Internet Adresse als Viele zu Eins IP Adresse hinzuf gen Anhand dieser Schritte k nnen Sie eine Firewall Basiskonfiguration einrichten IBM Firewall verf gt ber weitere Funktionen beispielsweise ber Systemprotokolle die bei der Gew hrleistung der Sicherheit des Netzes hilfreich sind Wird die Firewall normal oder abnormal abgeschaltet gehen die Konfigurationsdaten nicht verloren da sie auf der Festplatte gespeichert und beim Neustart automatisch wieder aktiviert werden Es liegen jedoch bestimmte Firewall Protokollnachrichten vor in denen angegeben ist da bestimmte aktive Verbindungen unterbrochen wurden bei spielsweise eine aktive FTP Sitzung Kapitel 3 Vor der Installation von SecureWay Boundary Server 15 SecureWay Boundary Server IBM Firewall kann ber den SecureWay Boundary Server Assistenten so konfiguriert werden daf IBM Firewall den IBM SecureWay Policy Director f r die Benutzerverwal tung verwendet Mit diesem Assistenten kann der Firewall HTTP Proxy auch f r das Weiterleiten von Authentifizierungsinformationen an das S
31. eispielsweise Datei bertragung festzulegen S Server Ein Computer der gemeinsame Services f r andere Computer ber ein Netz liefert beispielsweise ein Datei Server ein Druck Server oder ein Post Server Server Adresse Der eindeutige Code der einem Computer zugeordnet wird der gemeinsame Services f r andere Computer ber ein Netz liefert beispielsweise ein Datei Server ein Druck Server oder ein Post Server Eine Standard IP Adresse ist ein 32 Bit Adre feld Die Server Adresse kann als IP Adresse in Schreibweise mit Trennzeichen oder als Host Name angegeben werden Service Eine Funktion die von Knoten zur Verf gung gestellt wird beispielsweise HTTP FTP Telnet Shell Die Software die Befehlszeilen einer Workstation des Benutzers akzeptiert und verarbeitet Die Korn Shell ist beispielsweise eine von mehreren ver f gbaren UNIX Shells SMTP Simple Mail Transfer Protocol In der Internet Protokollgruppe ein Anwendungsprotokoll zur bertra gung von Post zwischen Benutzern in der Internet Umgebung SMTP gibt die Reihenfolge des Postaustauschs und das Nachrichtenformat an SMTP nimmt TCP Transmission Control Protocol als unterge legtes Protokoll an Standardwert Ein Wert ein Attribut oder ein Para meter der das angenommen wird wenn kein Wert Attribut oder Parameter explizit angegeben wird T TCP Transmission Control Protocol Ein bertragungs protokoll das im Internet benutzt wird TCP erm gl
32. eordnet werden Werden Regeln ber das Programm fwdelete_dynamic gel scht wird als Verweis auf diese Regeln die ID benutzt Achten Sie beim Erstellen von Regeln anhand von IDs daher darauf da sie als Gruppe gel scht werden k nnen wenn ihnen dieselbe ID zugeordnet wurde Wurde die Regel hinzugef gt wird die benutzte ID Nummer angezeigt F r Firewall f r AIX gilt folgendes Eine ID kann anhand einer Nummer zugeordnet werden Wollen Sie beispielsweise die Filter ID 12 angeben wird sie als ID 12 zugeordnet Unter AIX ist es nicht m glich mehreren Filtern dieselbe ID Nummer zuzuordnen Jeder Filter hat eine eigene eindeutige ID Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 35 Quellen IP Adresse Die IP Adresse f r die Quelle der Pakete mu in Schreibweise mit Trennzeichen eingegeben werden beispielsweise 255 255 255 255 Quellen IP Maske Dieses Feld wird in Verbindung mit der Quellen IP Adresse benutzt und in Schreibweise mit Trennzeichen eingegeben Wurde beispielsweise die Quellen IP Adresse 10 5 8 0 einge geben und ist die Quellen IP Maske 255 255 255 0 werden alle Pakete von 10 5 8 1 bis 10 5 8 255 abgeglichen Ziel IP Adresse Die IP Adresse f r das Ziel der Pakete mu in Schreibweise mit Trennzeichen eingegeben werden beispielsweise 255 255 255 255 Ziel IP Maske Dieses Feld wird in Verbindung mit der Ziel IP Adresse benutzt und in Schreibweise mit Trennzeichen eingegeben Wurde bei sp
33. erden soll Im Buch BM SecureWay Directory Administrator s Guide wird gezeigt wie LDAP ein Suffix hin zugef gt wird Ein typisches Suffix kann beispielsweise wie folgt aussehen o yourcompany c yourcountry Haben Sie das Suffix zum Speichern von Policy Director Benutzern hinzugef gt m ssen sie seine Zugriffssteuerungsliste Access Control List ACL korrekt festlegen Sie m ssen dem neuen Suffix alle Zugriffsrechte f r die Policy Director Sicherheits gruppe liefern Der registrierte Name Distinguished Name DN f r die Policy Director Sicherheitsgruppe lautet cn securitygroup secauthority default SecureWay Boundary Server f r Policy Director Integration konfigurieren Der SecureWay Boundary Server kann ber den Assistenten konfiguriert werden Dieser Assistent f hrt durch die Schritte die erforderlich sind um die Firewall f r die Zusammenarbeit mit anderen Produkten im Boundary Server und Policy Director zu konfigurieren In den Anzeigen werden Fragen ber den LDAP Server gestellt Haben Sie alle erforderlichen Informationen eingegeben konfiguriert der Assistent die Firewall so da sie die LDAP Datenbank benutzt die auch der Policy Director f r Benutzer und Gruppenrichtlinien verwendet Mit diesem Assistenten kann der Firewall HTTP Proxy auch f r das Weiterleiten von Authentifizierungsinformationen an das SurfinGate Plug In konfiguriert werden nur Windows NT Firewall Der Assistent kann diese Konfiguration auch wieder e
34. et WEBsweeper HTTPS konfigurieren Rufen Sie zum Konfigurieren die Systemsteuerung auf und w hlen Sie die WEBsweeper HTTPS Minianwendung aus Weitere Informationen enth lt das Buch WEBsweeper Administrator s Guide 34 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Abwehren von Eindringlingen Benutzen Sie die Befehlszeilendienstprogramme um Filter zu erstellen mit denen bestimmte IP Adressen blockiert werden k nnen Die zu blockierenden Adressen k nnen als Ergebnis der Pr fung des Inhalts dynamisch ermittelt werden Es gibt folgende Befehle e fwadd_deny e fwdelete_dynamic fwadd_deny Wird das Programm ohne Parameter aufgerufen erscheint eine Eingabe aufforderung in der das Format der erforderlichen Parameter eingegeben werden mu Es gibt folgende Parameter Filter ID Filter ID F r Firewall f r Windows NT gilt folgendes Filtern kann zwecks Identifikation eine ID zugeordnet werden Die Zuord nung der IDs erfolgt aufsteigend sortiert und beginnt mit 1 Wird eine ID angegeben die h her als die n chste verf g bare ID Nummer ist wird als ID die als n chste verf g bare ID Nummer und nicht die angegebene ID zugeordnet Bestehen beispielsweise Regeln mit der ID Nummer 1 und ver suchen Sie eine Gruppe von Filterregeln mit der ID Num mer 3 zu erstellen wird nicht die ID Nummer 3 sondern die ID Nummer 2 zugeordnet Derselben ID Nummer k nnen mehrere Regeln zug
35. fgef hrten Vorbedingungen erf llt sind MAILsweeper Wenn Sie MIMEsweeper konfigurieren m ssen sich MAlLsweeper und WEBsweeper auf separaten Maschinen befinden F hren Sie die folgenden Aufgaben aus bevor Sie MAlLsweeper konfigurieren e Legen Sie die Postdom nen fest die Sie intern benutzen MAlLsweeper und der Firewall Mail Exchanger m ssen so konfiguriert sein daB Post f r jede dieser Post domanen akzeptiert wird e Legen Sie fest welche gesicherten Post Server die einzelnen Dom nen unter st tzen MAlLsweeper mu so konfiguriert sein da an eine Postdom ne adres sierte Post an den korrekten gesicherten Post Server weitergeleitet wird e Legen Sie die Adresse des MAlLsweeper Servers fest Alle gesicherten Post Server m ssen so konfiguriert sein da die von internen Clients empfangene Post an den MAlLsweeper Server weitergeleitet wird e Legen Sie die Adresse der Firewall fest MAlLsweeper mu so konfiguriert sein da die an externe Dom nen adressierte Post an den Firewall Mail Exchanger weitergeleitet wird Kapitel 3 Vor der Installation von SecureWay Boundary Server 17 WEBsweeper F hren Sie die folgenden Aufgaben aus bevor Sie WEBsweeper konfigurieren e Legen Sie die Adresse des WEBsweeper Servers fest Diese Adresse wird von allen Client Web Browsern im Netz ben tigt Die Browser m ssen so konfiguriert sein da der WEBsweeper Server als Proxy f r HTTP FTP und HTTPS benutzt wird e Legen Sie
36. ft und Windows NT sind Marken der Microsoft Corporation SurfinGate ist eine Marke der Finjan Software Ltd MIMEsweeper MAlLsweeper und WEBsweeper sind Marken der Content Technologies Ltd Mit gekennzeichnete Namen k nnen Marken oder Dienstleistungsmarken anderer Unternehmen sein 48 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Glossar A AnschluB Eine Nummer mit der die Kurzform einer DFV Einheit identifiziert wird Web Server benutzen standardm ig den Anschlu 80 Assistent Ein Dialog innerhalb einer Anwendung der Benutzer Schritt f r Schritt durch eine bestimmte Aufgabe f hrt C Client Ein Datenverarbeitungssystem oder ein Proze das der einen Service eines anderen Datenverarbei tungssystems oder Prozesses anfordert das der norma lerweise als Server bezeichnet wird Mehrere Clients k nnen gemeinsam auf einen allgemeinen Server zugreifen D DMZ Demilitarized Zone Eine Einheit die verhindert da externe Benutzer direkt auf einen Server mit Unter nehmensdaten zugreifen k nnen F Firewall Eine Funktionseinheit die die Verbindung eines Netzes zu anderen Netzen sch tzt und steuert Die Firewall verhindert unerw nschte oder unbefugte Daten bertragungen in das gesicherte Netz und erm g licht nur ausgew hlten Daten bertragungen das Ver lassen des gesicherten Netzes FTP File Transfer Protocol Ein Anwendungsproto koll das benutzt wird
37. geh rige Produkte IBM SecureWay FirstSecure Das Buch IBM SecureWay FirstSecure Planung und Integration Version 2 0 enth lt Informationen ber FirstSecure In diesem Buch werden FirstSecure und die Produkte beschrieben die zu FirstSecure geh ren Zudem wird die Planung des Einsatzes der IBM SecureWay Produkte beschrieben IBM SecureWay Firewall Die folgenden Dokumente enthalten Informationen ber IBM SecureWay Firewall f r Windows NT und sind in PDF und HTM Format im Verzeichnis x books in verschie denen Sprachen auf der IBM SecureWay Firewall CD verf gbar IBM SecureWay Firewall f r Windows NT Konfiguration und Installation IBM SecureWay Firewall f r Windows NT Benutzerhandbuch IBM SecureWay Firewall f r Windows NT Referenzhandbuch Guarding the Gates Using the IBM eNetwork Firewall for Windows NT 3 3 ein Redbook Die folgenden Dokumente enthalten Informationen ber IBM SecureWay Firewall f r AIX und sind in PDF und HTM Format im Verzeichnis x books in verschiedenen Sprachen auf der IBM SecureWay Firewall CD verf gbar IBM SecureWay Firewall f r AIX Konfiguration und Installation IBM SecureWay Firewall f r AIX Benutzerhandbuch IBM SecureWay Firewall f r AIX Referenzhandbuch A Comprehensive Guide to Virtual Private Networks Volume 1 IBM Firewall Servers and Client Solutions ein Redbook Kapitel 6 Referenzliteratur 39 MIMEsweeper MAlLsweeper Die folgenden Dokumente enth
38. hnis docs auf der SurfinGate CD 24 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration MIMEsweeper installieren Zu MIMEsweeper geh ren die drei Komponenten MAlLsweeper WEBsweeper und WEBsweeper HTTPS MAlLsweeper 4 1 mu auf einer NTFS Partition installiert werden MAlLsweeper installieren Informationen ber die Installation von MAlLsweeper enth lt das Buch Getting Started Guide das sich in der Datei instal1 MSW4_0 2 docs qsg pdf auf der MIMEsweeper CD befindet Installieren Sie MAlLsweeper NICHT auf derselben Maschine wie den WEBsweeper HTTP Proxy Installieren Sie MAlLsweeper NICHT auf derselben Maschine wie den WEBsweeper HTTPS Proxy Wenn Sie die Datei MAPI32 d11 von der Windows NT CD und dann die Microsoft Mana gement Console 1 1 von der MIMEsweeper CD installieren wird die korrekte Version der Datei MAPI32 d11 durch eine fr here Version berschrieben die mit der Microsoft Management Console installiert wird Achten Sie darauf daB Sie nach der Installation der Microsoft Management Console die Datei MAPI32 d11 mit Version 4 0 oder h her installieren Die d11 befindet sich normalerweise in der Komponente Windows Messaging WEBsweeper installieren Informationen ber die Installation von WEBsweeper enth lt das Buch Administrator s Guide das sich in der Datei instal1 WSW3_2_5 docs manual pdf auf der MIMEsweeper CD befindet Installieren Sie WEBsweeper NICHT auf derselben Maschi
39. i xiv IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 1 bersicht ber den SecureWay Boundary Server Gesichertes Netz AS Firewall Client MailSweeper WebSweeper Abbildung 1 Beispiel f r eine IBM SecureWay Boundary Server Konfiguration In diesem Beispiel benutzen f nf Workstations die Komponenten MAlLsweeper WEBsweeper Policy Director und SurfinGate um Web Datenverkehr und Post zwi schen Clients und Servern ber eine Firewall zu berwachen und weiterzuleiten In diesem Beispiel werden f nf physisch voneinander getrennte Workstations benutzt Kapitel 1 bersicht ber den SecureWay Boundary Server 1 Beispiele f r eine typische SecureWay Boundary Server Konfiguration Es wird empfohlen die folgenden Maschinen f r eine Mindestkonfiguration zu benutzen Tabelle 1 Hardwarevoraussetzungen f r Boundary Server Komponenten Produkt Maschine IBM Firewall Windows NT oder AIX MAlLsweeper Windows NT WEBsweeper Windows NT SurfinGate Windows NT Wollen Sie den SecureWay Boundary Server optimal nutzen mu der SecureWay Policy Director im Netz vorhanden sein damit Firewall Proxy Benutzer im SecureWay Directory LDAP gespeichert werden k nnen Beispiel f
40. icht den zuverl ssigen Austausch von Informationen zwi schen Hosts TCP benutzt IP Internet Protocol als untergelegtes Protokoll TCP IP Transmission Control Protocol Internet Protocol Eine Protokollgruppe die eine von den ber tragungstechnologien in den einzelnen Netzen unabh n gige bertragung zwischen Netzen erm glicht Telnet Terminal Emulationsprotokoll ein TCP IP Anwendungsprotokoll f r Fernverbindungsservice Telnet bietet dem Benutzer die M glichkeit so auf einen fernen Host zuzugreifen als ob die Workstation des Benutzers direkt mit diesem fernen Host verbunden w re U UDP User Datagram Protocol In der Internet Protokollgruppe ein Datagrammprotokoll f r virtuelle Ver bindungen Es erm glicht einem Anwendungsprogramm auf einer Maschine oder einem Proze das Senden eines Datagramms an ein Anwendungsprogramm auf einer anderen Maschine oder einem anderen Proze UDP benutzt das Internet Protocol IP zur Zustellung von Datagrammen V VPN Virtuelles Privates Netz Ein Netz das aus gesi cherten IP Tunneln besteht ber die Netze miteinander verbunden werden 50 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration W Web Das Netz von HTTP Servern die Programme und Dateien enthalten von denen viele Hypertext Dokumente mit Verbindungen zu anderen Dokumenten auf HTTP Servern sind Wird auch World Wide Web genannt WTE Web Traffic Express Ein Caching Prox
41. ielsweise die Ziel IP Adresse 10 5 8 0 eingegeben und ist die Ziel IP Maske 255 255 255 0 werden alle Pakete von 10 5 8 1 bis 10 5 8 255 abgeglichen Adapter F r die Adapterspezifikation gilt folgendes S f r gesicherte Adapter N f r ungesicherte Adapter B f r alle Adapter gesicherte und ungesicherte Pakete die von den Adaptern stammen die mit der angege benen Adapterart bereinstimmen entsprechen der Regel Bereich Mit diesem Parameter wird der Bereich des Paketdurchlaufs durch die Firewall angegeben Einer der folgenden Werte ist m glich L f r lokale Pakete R f r weitergeleitete Pakete B f r lokale und weitergeleitete Pakete Richtung Gibt an ob der Datenverkehr ankommt abgeht oder sowohl ankommt als auch abgeht l f r ankommenden Datenverkehr O f r abgehenden Datenverkehr B f r ankommenden und abgehenden Datenverkehr 36 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Protokollierung Geben Sie Y ein wenn Sie die Protokollierung f r das dyna mische Filtern einschalten wollen Geben Sie N ein wenn Sie die Protokollierung f r das dynamische Filtern ausschalten wollen fwdelete_dynamic Wird dieser Befehl ohne Parameter eingegeben werden alle definierten dynamischen Filter aufgelistet gt gt gt gt Dynamic Rule Id 1 gt gt gt gt gt gt gt gt Jump 0 gt gt gt gt gt gt gt gt Filter Action Deny gt gt gt gt gt gt gt gt Source
42. ionen sind nachfolgend aufgef hrt Integration mit dem SecureWay Policy Director Der SecureWay Policy Director kann Firewall Proxy Benutzer verwalten wenn IBM Firewall f r den SecureWay Boundary Server aktiviert ist Firewall Proxy Benutzer werden f r die folgenden Firewall Services definiert e Telnet e FTP e HTTP e Socks Benutzer werden einschlie lich der ihnen zugeordneten Richtlinien in einer LDAP Datenbank LDAP Lightweight Directory Access Protocol gespeichert Im SecureWay Directory bietet LDAP eine M glichkeit zum Verwalten von Verzeichnis informationen an einem zentralen Standort Speichern Aktualisieren Abrufen und Datenaustausch Der SecureWay Policy Director verwaltet Firewall Proxy Benutzer in der LDAP Datenbank Optimierte Weiterleitung Zur Optimierung der Weiterleitung wird ein SurfinGate Plug In der Finjan Software Ltd benutzt um den Datenaustausch auf dem Netz zum Filtern des Inhalts zu reduzieren Abwehren von Eindringlingen Intrusion Blocking ber Befehlszeilenprogramme k nnen in IBM Firewall dynamische Regeln zum Verweigern des Zugriffs erstellt werden Das Abwehren von Eindringlingen kann in eine automatisierte Prozedur integriert werden IBM SecureWay Firewall 4 1 IBM SecureWay Firewall f r Windows NT bietet folgendes RAS Dienst Der Windows NT RAS Dienst Remote Access Service bietet Netzan schl sse ber W hlverbindungen ISDN Verbindungen oder X 25 Ver bindungen mit dem Protokol
43. k nnen Unternehmen die durch die Benutzung von E Mail und World Wide Web m glicherweise auftretenden Probleme l sen Diese Probleme k nnen in die Netzintegrit t und die Gesch ftsinte grit t unterteilt werden Durch das Filtern zur Sicherung der Netzintegrit t e k nnen Viren bei ankommender und abgehender E Mail identifiziert und entfernt werden e k nnen unerw nschte Dateitypen gefiltert werden e k nnen zu gro e Dateien blockiert oder verz gert werden e k nnen Netze gegen berlastung oder Lahmlegung durch Mail Bomb Attacken gesch tzt werden 8 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Durch das Filtern zur Sicherung der Gesch ftsintegrit t k nnen Verletzungen der Vertraulichkeit und der Verlust von Betriebsgeheimnissen verhindert werden e k nnen m gliche juristische Folgen begrenzt werden e kann Produktivit tsverlust durch Mi brauch von E Mail und World Wide Web Services verringert werden e besteht Schutz gegen den Ausfall von Netzservices durch Mi brauch und feind liche Attacken Gefahrenquellen f r die Netzintegrit t k nnen zur Besch digung oder zum Verlust von Daten zur Unterbrechung des E Mail Flusses und zur Besch digung von Systemhard ware und damit zu Netzausfallzeiten Produktivit tsverlusten und hohen Kosten f r die Bereinigung und Wiederherstellung f hren Gefahrenquellen f r die Gesch ftsintegrit t k nnen jedoch weit h here
44. l f r Punkt zu Punkt Verbindungen Point to Point Protocol PPP NDISWAN ist ein Treiber f r den Netzbetrieb der als Teil des RAS Dienstes geliefert wird und die untergelegten PPP Daten so umsetzt da sie Ethernet LAN Daten hnlich sind Zu diesem Handbuch IX IBM SecureWay Firewall Erweiterungen f r AIX 4 1 IBM SecureWay Firewall f r AIX bietet folgendes Erweiterte IPSec Unterst tzung IBM SecureWay Firewall 4 1 beinhaltet erweiterte IPSec Unterst tzung ein schlie lich dreifache DES Verschl sselung und Unterst tzung f r neue Kopfzeilenbereiche Zudem werden die Interoperabilit t mit mehreren IBM Servern und Routern sowie viele nicht von IBM stammende VPN Produkte unterst tzt die die neuen Kopfzeilenbereiche unterst tzen Symmetrischer Mehrprozessor SMP Firewall Benutzer k nnen die RS 6000 Mehrprozessoreinrichtungen zur Skalierungs und Leistungsverbesserung nutzen Filtererweiterungen Filter wurden erweitert und bieten eine bessere Leistung bei der Konfigura tion Sie k nnen die Leistung von IBM Firewall optimieren indem Sie die Position unterschiedlicher Arten von Filterregeln ausw hlen k nnen Zudem wird protokolliert wie oft eine Verbindung benutzt wird Konfigurationsassistent Ein Assistent ist bei der ersten Konfiguration von IBM SecureWay Firewall hilfreich Durch diesen Konfigurationsassistenten k nnen neue Benutzer nach der Installation von IBM Firewall schnell eine Firewall Basiskon figurati
45. n Schaden anrichten der zu enormen Kosten f r Rechtsstreite zum Verlust von gewerblichen Schutzrechten und zu einer Sch digung des Ansehens des Unternehmens f hren kann Probleme mit der Gesch ftsintegrit t k nnen zu einem Stillstand der kommerziellen Operationen f hren MIMEsweeper ist das f hrende Produkt zum Schutz von Unternehmen gegen Probleme mit der Netz und Gesch ftsintegrit t die durch die Nutzung von E Mail und Internet in Unternehmen auftreten Funktionsweise von MIMEsweeper MIMEsweeper kann e abgehender Post rechtliche Ablehnungserkl rungen hinzuf gen vertrauliche Dokumente und Daten sch tzen e E Mail und Web Benutzer berechtigen und steuern e nicht der Netiquette entsprechendes Material isolieren oder blockieren e Junk E Mail blockieren den Inhalt von Anlagen und heruntergeladenen Dateien berpr fen e Viren und heimt ckischen Code stoppen e bestimmte unerw nschte Web Seiten und Sites blockieren Berichte Protokolle und Archive anlegen Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server 9 Ubersicht ber SurfinGate SurfinGate 4 05 ist ein Sicherheits Tool f r mobilen Code f r alle Gesch ftstransak tionen die ber das Internet Extranet oder Intranet ablaufen Durch die Pr fung des Inhalts von mobilem Code auch JavaScript Code hilft SurfinGate Computernetze gegen beabsichtigte oder unbeabsichtigte Besch digung zu sch tzen beispielsweise gegen Industriespionage u
46. nd das Ver ndern und L schen von Informationen SurfinGate berpr ft den Inhalt von mobilem Java JavaScript und ActiveX Code auf Gateway Ebene h lt solchen Code also von Ihren wichtigen Ressourcen fern und ordnet dem Code eine eindeutige ID und ein Sicherheitsprofil f r Minianwendungen Applet Security Profile ASP zu damit alle m glichen Sicherheitsl cken erkannt werden SurfinGate identifiziert Code der m glicherweise problematisch ist bereits bevor er das Netz gelangt SurfinGate 4 05 enth lt vier Komponenten SurfinGate Server e SurfinConsole e SurfinGate Datenbank e SurfinGate Plug In f r WTE Integration f r Windows NT Der SurfinGate Server agiert als HTTP Proxy Server SurfinGate kann als Teil einer Proxy Kette zusammen mit dem Firewall HTTP Proxy und dem WEBsweeper Proxy plaziert werden F r Windows NT kann SurfinGate alternativ als Plug In f r den Firewall HTTP Proxy benutzt werden Bei der Benutzung als Plug In erh lt SurfinGate Gruppeninformationen ber den Proxy Benutzer der die Anforderung vornimmt Die SurfinGate Richtlinien zum Filtern k nnen auf diese Gruppeninformationen gest tzt werden Durch diese Architektur ist es m glich Datenverkehr mit mobilem Code zu stoppen und zu berpr fen bevor er Schaden anrichten kann Diese Komponente bietet Schutz auf der Basis der Sicherheitsrichtlinien im Unternehmen SurfinConsole ist eine benutzerfreundliche Schnittstelle zum Verwalten und Einrichten zentrale
47. ne wie MAlLsweeper WEBsweeper HTTPS installieren Informationen Uber die Installation von WEBsweeper HTTPS enthalt die Informations datei Readme in der Datei instal1 WSWHTTPS1_0_2 readme txt auf der MIMEsweeper CD Installieren Sie den WEBsweeper HTTPS Proxy NICHT auf derselben Maschine wie MAILsweeper Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 25 SecureWay Boundary Server Komponenten konfigurieren SecureWay Firewall konfigurieren Gehen Sie wie folgt vor um eine IBM Firewall Basiskonfiguration einzurichten 1 Planen Sie die IBM Firewall Konfiguration Legen Sie im voraus fest welche Firewall Funktionen Sie benutzen wollen und wie Sie die Funktionen benutzen wollen Teilen Sie der Firewall mit welche ihrer Schnittstellen mit gesicherten Netzen ver bunden sind Damit die Firewall ordnungsgem funktioniert mu sie ber eine gesicherte Schnittstelle und eine ungesicherte Schnittstelle verf gen ffnen Sie ber die Navigationsbaumstruktur des Konfigurations Clients den Ordner System verwaltung und klicken Sie auf Schnittstellen um eine Liste der Netzschnitt stellen auf der Firewall aufzurufen Wollen Sie den Sicherheitsstatus einer Schnittstelle ndern w hlen Sie eine Schnittstelle aus und klicken Sie auf ndern Konfigurieren Sie die allgemeinen Sicherheitsrichtlinien ber die Anzeige Sicher heitsrichtlinien des Ordners Systemverwaltung Typische Firewall Kon figurationen sehen wie f
48. nfigurieren SecureWay Boundary Server zur Aktivierung des SurfinGate Plug Ins konfigurieren nur Windows NT 0 o e SurfinGate konfigurieren ooa MIMEsweeper konfigurieren 2 222 2 nn nn Abwehren von Eindringlingen 2 22 2m nn nn Konfiguration testen 2222 non Kapitel 6 Referenzliteratur 0 IBM SecureWay FirstSecure 0 ee IBM SecureWay Firewall 0 o e MIMEsWeeper e MAllsweeper circo a A A WEBsweeper iia ea AAA AAA a a WEBsweeper HTTPS Proxy 222 En nn Surfin le 2 8 a ee ee ee Anhang A Fehlerbehebung nn nn Allgemeine Probleme mit IBM SecureWay Firewall beheben Weiterleitungsprobleme e BNS Fehler 4 2 pu a 5 au a ee eae a ee eo Allgemeine Probleme mit MIMEsweeper beheben WEBsweeper und MAlLsweeper scheinen auf derselben Maschine nicht zu A ne ine ee ROE Geringe Leistung von WEBsweeper Co a Probleme mit der WEBsweeper Lizenzierung 2m WEBsweeper hat Probleme beim Herunterladen gro er Dateien Allgemeine Probleme mit SurfinGate beheben SurfinConsole antwortet bei ge ffnetem Microsoft Internet Explorer nicht mehr Geringe Leistung des SurfinGate Plug Ins IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration 29 30 30 31 31 32 32 34 35 38 39 39 39 40 40 40 40 40 41
49. ntfernen Rufen Sie den SecureWay Boundary Server Assistenten auf wenn Sie den IBM SecureWay Boundary Server konfigurieren wollen Geben Sie unter AIX den Befehl sbswizard ein W hlen Sie unter Windows NT Start gt Programme gt SecureWay Boundary Server aus Daraufhin wird der SecureWay Boundary Server Assistent auf gerufen 1 W hlen Sie die Option Firewall f r eine gemeinsame Benutzung einer LDAP Datenbank mit dem Policy Director konfigurieren aus 2 Beantworten Sie die gestellten Fragen anhand der Informationen in SecureWay Boundary Server auf Seite 16 Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 31 SecureWay Boundary Server zur Aktivierung des SurfinGate Plug Ins konfigurieren nur Windows NT W hlen Sie Start gt Programme gt SecureWay Boundary Server aus Daraufhin wird der SecureWay Boundary Server Assistent aufgerufen 1 W hlen Sie die Option Firewall HTTP Proxy so konfigurieren da Informa tionen zur Identifikations berpr fung an das SurfinGate Plug In bergeben werden aus 2 Beenden Sie den Dialog SurfinGate konfigurieren Unter Windows NT kann SurfinGate auf zwei Arten konfiguriert werden Als verketteter Proxy Als Plug In f r den Firewall HTTP Proxy Unter AIX kann SurfinGate nur auf eine einzige Art konfiguriert werden e Als verketteter Proxy SurfinGate als verketteten Proxy konfigurieren Als HTTP Proxy DT 5 A j SS mm
50. o konfigurieren da die Daten durchsucht werden k nnen In der SurfinConsole der Verwaltungsschnittstelle von SurfinGate m ssen Sie die Option Plugin Mode der Registerkarte General markieren Zudem m ssen Sie die Adresse und Anschlu nummer des Firewall HTTP Proxy in das Feld Next Proxy der Registerkarte Proxy eingeben Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 29 SecureWay Firewall f r die Benutzung von MAlLsweeper konfigurieren Der in SecureWay Firewall definierte Mail Exchanger mu auf die MAlLsweeper Maschine und nicht auf den aktuellen gesicherten Post Server zeigen MAlLsweeper selbst leitet Post an die gesicherten Post Server weiter SecureWay Policy Director konfigurieren berpr fen Sie ob das SecureWay Directory installiert wurde Sie m ssen wissen welche Adresse die Maschine hat auf der das SecureWay Directory installiert ist auf welchem Anschlu das SecureWay Directory empfangsbereit ist welche Admini strator ID dem SecureWay Directory Server zugeordnet ist und wie das Administrator kennwort lautet Installieren Sie den SecureWay Directory LDAP Client auf derselben Maschine wie den SecureWay Policy Director Der Client kann bereits installiert sein wenn Sie f r das SecureWay Directory und den SecureWay Policy Director dieselbe Maschine benutzen Sie m ssen das LDAP Schema des SecureWay Directory ndern wenn Policy Director eProxy Benutzer unterst tzt werden sollen Die am Schema v
51. olgt aus e DNS Abfragen sind zugelassen e Rundsendenachrichten an ungesicherten Schnittstellen werden verweigert e Socks an ungesicherten Adaptern werden verweigert Konfigurieren Sie den Dom nennamensservice und die Postfunktion Eine effi ziente Kommunikation ist nur m glich wenn eine DNS Aufl sung zur Verf gung gestellt wird Greifen Sie ber den Ordner Systemverwaltung der Navigations baumstruktur des Konfigurations Clients auf diese Funktionen zu Definieren Sie Schl sselelemente ihres Netzes f r die Firewall ber die Funktion Netzobjekte in der Navigationsbaumstruktur des Konfigurations Clients Netz objekte steuern den Datenverkehr ber die Firewall Definieren Sie die folgenden Schl sselelemente als Netzobjekte e Gesicherte Schnittstelle der Firewall e Ungesicherte Schnittstelle der Firewall e Gesichertes Netz e Alle Teilnetze des gesicherten Netzes Ein Host Netzobjekt f r die Security Dynamics Server und die Windows NT Dom nen Server falls anwendbar 26 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration 6 Aktivieren Sie Services auf der Firewall Dies sind die Methoden ber die Benutzer im gesicherten Netz auf das ungesicherte Netz zugreifen k nnen beispielsweise Socks oder Proxy Welche Services implementiert werden h ngt von den Ent scheidungen ab die Sie im Planungsstadium getroffen haben Wird ein Service implementiert m ssen oft bestimmte Verbindungskonfigu
52. on Korrigieren Sie die Maskeneinstellungen ber die Client Konfigurationsdienstprogramme 42 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration DNS Fehler Kein Befehl PING f r ungesicherte Hosts aus gesicherten Hosts oder umgekehrt m glich Erkl rung des Problems Jeder der Firewall benachbarte Router mu einen statischen Leitweg ent halten in dem die Firewall als Gateway f r Zielnetze hinter der Firewall angegeben ist Empfohlene Aktion Nehmen Sie Kontakt mit dem Router Administrator auf Erkl rung des Problems Wenn das gesicherte Netz Adressen benutzt die nicht registriert sind und auf dem ungesicherten Netz nicht weitergeleitet werden k nnen auch private Adressen siehe RFC 1597 werden Pakete nicht an den Absender zur ckgeleitet Empfohlene Aktion Nur f r Windows NT Benutzen Sie einen Client mit einer registrierten Adresse F r den TCP und UDP Datenverkehr kann die Funktion f r Netz adressenumsetzung der Firewall benutzt werden aber die Netzadressen umsetzung setzt keine Adressen in ICMP Paketen um ICMP Pakete werden beispielsweise gesendet wenn der Befehl PING abgesetzt wird Empfohlene Aktion Nur f r AIX Benutzen Sie einen Client mit einer registrierten Adresse Anmerkung DNS bezieht sich nur auf Windows NT Erkl rung des Problems Es wurden DNS Fehlernachrichten gesendet da Microsoft DNS mit dem Microsoft DNS Manager konfiguriert wurde Empfohlene Aktion
53. on Policy Director konfigurieren Die Firewall mu ber den SecureWay Boundary Server Assistenten so konfiguriert werden da sie den IBM SecureWay Policy Director benutzt damit die Policy Director Integration genutzt werden kann Wird der IBM SecureWay Policy Director nicht be nutzt werden Proxy Benutzer nur ber die grafische Firewall Benutzerschnittstelle defi niert Solche Benutzer k nnen nicht mit dem SecureWay Policy Director verwaltet werden Es mu eine Verbindung eingerichtet werden damit SecureWay Firewall mit dem SecureWay Directory kommunizieren kann Das SecureWay Directory mu sich auf der gesicherten Seite der Firewall befinden gesicherte DMZ oder gesichertes Netz Weitere Informationen ber die Einrichtung von Verbindungen enthalten die B cher IBM SecureWay Firewall f r Windows NT Benutzerhandbuch und IBM SecureWay Firewall f r AIX Benutzerhandbuch Es folgen Informationen zur Einrichtung der Verbindung Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 27 F r die Anforderung m ssen die Regeln f r abgehende Verbindungen wie folgt konfiguriert werden e Die Quellenadresse ist die Adresse des gesicherten Firewall Adapters e Die Zieladresse ist die SecureWay Directory Adresse e Der QuellenanschluB ist gr er als 1023 e Der Zielanschlu ist gleich 389 e Die Schnittstelle ist gesichert e Die Weiterleitung erfolgt lokal e Die Richtung ist abgehend F r die Antwort m ssen die R
54. on einrichten Network Security Auditor Der Network Security Auditor NSA berpr ft die Netz Server und die Firewall auf L cken im Sicherheitssystem oder Konfigurationsfehler Er ist jetzt schneller und zuverl ssiger Unterst tzung in der Landessprache f r Deutsch Neben Brasilianisch brasilianischem Portugiesisch Englisch Franz sisch Italienisch Japanisch Koreanisch vereinfachtem Chinesisch Spanisch und traditionellem Chinesisch wird jetzt auch Deutsch unterst tzt Netzadressenumsetzung Die Netzadressenumsetzung wurde erweitert und unterst tzt jetzt Viele zu Eins Adressenzuordnungen Bei dieser Zuordnung werden mehrere interne unregistrierte oder private Adressen ber Anschlu nummern einer regi strierten g ltigen Adresse zugeordnet um die eindeutigen Zuordnungen zu erstellen X IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Von AIX und Windows NT unterst tzte allgemeine Funktionen Security Dynamics ACE Server Der Security Dynamics ACE Server bietet zwei Authentifizierungsfaktoren Diese Funktion wird erweitert und sch tzt das Netz und die Datenres sourcen vor Eindringlingen deren Aktionen unabsichtlich oder absichtlich zu Sch den f hren k nnen Erweiterungen am Proxy f r gesicherte Post Der IBM Firewall Proxy f r gesicherte Post wurde erweitert und enth lt die folgenden neuen Funktionen e Anti SPAM Algorithmen mit denen Nachrichten bekannter Spammer
55. orgenommenen Hinzuf gungen werden in zwei vom Policy Director zur Verf gung gestellten Dateien gespeichert Sie ben tigen die Dateien secschema def und puschema def die sich im Verzeichnis schema der Policy Director CD befinden Geben Sie auf der Policy Director Maschine die folgenden Befehle ein um das LDAP Schema auf dem SecureWay Directory Server zu ndern ldapmodify h lt LDAPHOST gt p lt LDAPPORT gt D lt LDAPADMBENID gt w lt LDAPADMKW gt f secschema def ldapmodify h lt LDAPHOST gt p lt LDAPPORT gt D lt LDAPADMBENID gt w lt LDAPADMKW gt f puschema def Dabei gilt folgendes e lt LDAPHOST gt ist der SecureWay Directory Server Name e lt LDAPPORT gt ist der Anschlu auf dem der Server empfangsbereit ist e lt LDAPADMBENID gt ist die Administrator ID e lt LDAPADMKW gt ist das Administratorkennwort Haben Sie das LDAP Schema f r die Unterst tzung von Proxy Benutzern ge ndert m ssen Sie die Bearbeitung von Proxy Benutzern f r die Policy Director Console akti vieren Hierzu m ssen Sie die Kommentarzeichen in der Zeile Proxyusers TaskView der Datei console properties entfernen Diese Datei befindet sich im Verzeichnis Program Files IBM IVConsole 30 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration SecureWay Directory konfigurieren F r das SecureWay Directory mu ein Suffix definiert werden das als Stamm zum Speichern von Policy Director Benutzern verwendet w
56. r Browser mu f r die Benutzung eines HTTP Proxy konfiguriert sein Zu diesem Handbuch Xi MIMEsweeper 2 0 f r SecureWay MIMEsweeper beinhaltet drei wichtige Komponenten MAlLsweeper 4 1_2 WEBsweeper 3 2 5 und WEBsweeper 1 0_2 Nachfolgend sind einige Erweiterungen aufgef hrt MAlLsweeper MAILsweeper 4 1_2 f r SMTP ist eine wichtige Erweiterung an dem Produkt MIMEsweeper der Content Technologies und bietet die folgenden neuen Einrichtungen Eine benutzerfreundliche hierarchische Richtlinienarchitektur bietet die Flexibilit t zum Anwenden von Richtlinien auf der entsprechenden organisatorischen Stufe bis hin zu einzelnen Benutzern Eine grafische Benutzerschnittstelle im Industriestandard vereinfacht das Konfigurieren von Software und das Erstellen und Verwalten von Richtlinien Eine neue Einrichtung zum Aufteilen der Zustellung Split Delivery ist eine Funk tion der hierarchischen Richtlinienimplementierung von Version 4 Bei Nachrichten mit mehreren Empf ngern gelten f r jeden einzelnen Empf nger individuelle Richt linien Berechtigte Empf nger erhalten die Nachricht w hrend unbefugten Empf n gern die Nachrichtenzustellung verweigert wird Durch die Multithreading Nachrichtenverarbeitung wird der Durchsatz verbessert und die Zuverl ssigkeit erh ht da bei fehlerhaften Threads die Nachrichtenverar beitung mit den restlichen Threads fortgesetzt werden kann Zusammen mit Antivirusprodukten anderer Anbieter erm glicht
57. r Sicherheitsrichtlinien f r mobilen Code im Unternehmen SurfinConsole kann mehrere SurfinGate Server im Netz steuern und auf der Basis von Benutzern oder Gruppen oder ber angepa te Listen von akzeptablem oder nicht akzeptablem Code Regeln f r mobilen Code innerhalb des Unternehmens durchsetzen Die SurfinGate Datenbank speichert Details von Sicherheitsprofilen f r Minian wendungen Applet Security Profiles ASPs einschlie lich der Informationen ber Benutzer und Gruppen und der f r sie geltenden Sicherheitsrichtlinien Die Datenbank kann eine eingebaute Datenbanksteuerkomponente f r den Zugriff oder eine vorhan dene Oracle Datenbank verwenden Da SurfinGate den Inhalt des gesamten mobilen Codes dynamisch untersucht ist die Datenbank f r die Sicherheit nicht erforderlich sie verbessert jedoch die Leistung bei umfangreichen Operationen 10 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Funktionsweise von SurfinGate SurfinGate bietet e einen Server zur Pr fung des Inhalts von Java Minianwendungen JavaScript Code und ActiveX Steuerungen auf Gateway Ebene eine berwachung in Echtzeit und dynamische Pr fung e die Durchsetzung der Sicherheitsrichtlinien f r web gest tzten mobilen Code e die Pr fung von mobilem Code beispielsweise Java Minianwendungen JavaScript Code ActiveX Steuerungen Visual Basic Scripts Plug Ins Cookies SurfinGate kann mit einem Proxy in einer Proxy Kette
58. r nrr UG nnn nnn nnn nnn nnn nnn nnn U SSS SSS SSS SSS SSS SSS SSS_ U ssl ssl ssl srr srr srr srr UG 127 127 0 0 1 U Abbildung 6 Beispielausgabedaten des Befehls netstat rn Anhang A Fehlerbehebung 41 nrr nrr nrr nrr steht f r den Router zum Internet und ist der Standardleitweg Der Standardleitweg ist ein statischer Leitweg Flag UG nnn nnn nnn steht f r die ungesicherte Dom ne Dies ist ein Schnittstellenleitweg Flag U nnn nnn nnn nnn steht f r die ungesicherte Schnittstelle SSS SSS SSS steht f r die gesicherte Dom ne Dies ist ein Schnittstellenleitweg Flag U SSS SSS SSS SSS steht f r die gesicherte Schnittstelle ss1 ss1 ss1 steht fur eine Unterdom ne auf der gesicherten Seite des Netzes und srr srr srr srr steht fur den Router zu dieser Unterdomane Dieser Leitweg ist ein statischer Leitweg Flag UG 127 0 0 1 ist die Loopback Adresse oder der lokale Host Dies ist ein Schnittstellenleitweg Flag U F r jede Schnittstelle mu ein Schnittstellenleitweg vorhanden sein und der Standardleitweg muB auf den Router auf der ungesicherten Seite der Firewall zeigen Empfohlene Aktion F gen Sie dem Router einen statischen Leitweg hinzu Nehmen Sie Kontakt mit dem Router Administrator auf Benutzen Sie den Befehl route add Erkl rung des Problems M glicherweise ist die Teilnetzmaske auf der gesicherten Schnittstelle oder der Host mit dem Kontakt aufgenommen werden sollte falsch Empfohlene Akti
59. rationen eingerichtet werden damit bestimmte Arten des Datenverkehrs erlaubt sind Sollen beispiels weise gesicherte Benutzer ber den HTTP Proxy im Internet surfen d rfen mu nicht nur der HTTP Proxy D mon auf der Firewall konfiguriert werden sondern es m ssen auch Verbindungen eingerichtet werden die den HTTP Datenverkehr erlauben 7 Definieren Sie Firewall Benutzer Ist f r Funktionen wie abgehende Web Zugriffe oder f r Firewall Administratoren eine Authentifizierung erforderlich m ssen Sie diese Benutzer f r die Firewall definieren Wenn Sie den SecureWay Policy Director benutzen um Proxy Benutzer im LDAP zu speichern erstellen Sie jetzt noch keine Proxy Benutzer Erstellen Sie Firewall Proxy Benutzer w hrend der Policy Director Konfiguration ber die Policy Director Konsole Anhand dieser Schritte k nnen Sie eine Firewall Basiskonfiguration einrichten IBM Firewall verf gt ber weitere Funktionen beispielsweise ber Systemprotokolle die bei der Gew hrleistung der Sicherheit des Netzes hilfreich sind Wird die Firewall normal oder abnormal abgeschaltet gehen die Konfigurationsdaten nicht verloren da sie auf der Festplatte gespeichert und beim Neustart automatisch wieder aktiviert werden Es k nnen jedoch bestimmte Firewall Protokollnachrichten vor liegen in denen angegeben ist da bestimmte aktive Verbindungen unterbrochen wurden beispielsweise eine aktive FTP Sitzung SecureWay Firewall f r die Integration v
60. reWay Boundary Server CD die Datei setup exe aus W hlen Sie die gew nschte Sprache und klicken Sie auf OK InstallShield fragt nach wo der SecureWay Boundary Server installiert werden soll Das Windows NT Standardverzeichnis ist C Program Files IBM SBS Starten Sie das System neu Gehen Sie wie folgt vor um den SecureWay Boundary Server unter AlX zu installieren Installieren Sie SecureWay Firewall f r AIX Legen Sie die CD ein und f hren Sie die Installation ber SMITTY aus W hlen Sie Softwareinstallation und Wartung aus W hlen Sie Software installieren und aktualisieren aus W hlen Sie Neueste verf gbare Software installieren und aktualisieren aus Wenn Sie nach der Eingabeeinheit gefragt werden w hlen Sie das CD ROM Lauf werk aus W hlen Sie aus der Liste der installierbaren Software sbs aus Dr cken Sie die Eingabetaste um die Software zu installieren Starten Sie das System neu SurfinGate installieren Zu SurfinGate geh ren die beiden Komponenten SurfinGate Server und SurfinGate Console Wollen Sie eine dieser SurfinGate Komponenten installieren k nnen Sie weitere Informationen dem Installationsbuch entnehmen Dieses Buch befindet sich auf der SurfinGate CD in der Datei docs install pdf SurfinGate Plug In Wollen Sie das SurfinGate Plug In f r IBM SecureWay Firewall f r Windows NT instal lieren k nnen Sie weitere Informationen dem Installationsbuch entnehmen Dieses Buch befindet sich im Verzeic
61. ren welche Daten in das Netz und aus dem Netz gelangen d rfen Auf diese Weise werden Denial of Service Attacken und das Eindringen von Hackern in das Netz verhindert Zudem k nnen m gliche juristische Folgen begrenzt werden Der SecureWay Boundary Server bietet eine VPN L sung damit Sie ferne Server und Modemgruppen durch eine Internet gest tzte L sung ersetzen k nnen Wird der SecureWay Boundary Server zusammen mit dem Policy Director genutzt bietet er die Authentifizierung von Benutzern ber ein zentrales richtliniengest tztes Schema Als Schutz des Standorts gegen Viren kann mit dem SecureWay Boundary Server Antivirussoftware eingesetzt werden bersicht ber den IBM SecureWay Policy Director Der Policy Director ist eine eigenst ndige L sung f r die Berechtigungs und Sicher heitsverwaltung die die Endpunkt zu Endpunkt Sicherheit von Ressourcen ber geografisch weit verstreute Intranets und Extranets bietet Ein Extranet ist ein virtuelles privates Netz VPN das ber Zugriffssteuerungs und Sicherheitseinrichtungen die Benutzung von Intranets die an das Internet angeschlossen sind auf ausgew hlte Subskribenten beschr nkt Der Policy Director bietet Services zur Authentifizierungs Berechtigungs Datensicherheits und Ressourcenverwaltung Der Policy Director wird zusammen mit Internet gest tzten Standardanwendungen benutzt um gesicherte und gut verwaltete Intranets und Extranets aufzubauen Funktionsweise von IBM S
62. rfinGate m ssen Sie die Option Plugin Mode der Registerkarte General markieren Zudem m ssen Sie die Adresse und Anschlu nummer des Firewall HTTP Proxy in das Feld Next Proxy der Registerkarte Proxy eingeben Anmerkung Diese Funktionalit t ist nur auf IBM SecureWay Firewall f r Windows NT verf gbar Kapitel 5 SecureWay Boundary Server installieren und konfigurieren 33 MIMEsweeper konfigurieren Internet Post Server MAlLsweeper konfigurieren Mt Firewall MailSweeper Gesicherter Post Server Abbildung 4 MAlLsweeper Konfigurationen In einer einfachen Umgebung mu MAlLsweeper anhand der w hrend der Installation gestellten Fragen konfiguriert werden Wollen Sie weitere Konfigurationsaufgaben aus f hren w hlen Sie Start gt Programme gt MAlLsweeper for SMTP gt MAlLsweeper for SMTP Console aus Weitere Informationen enth lt das Buch MAlLsweeper Getting Started Guide WEBsweeper konfigurieren INS Web Server Firewall WebSweeper Client Abbildung 5 WEBsweeper Konfigurationen Rufen Sie zum Konfigurieren die Systemsteuerung auf und w hlen Sie die WEBsweeper Minianwendung aus Weitere Informationen enth lt das Buch WEBsweeper Administrator s Guide das sich auf der MIMEsweeper CD befind
63. rt werden da Anforderungen an den Firewall HTTP Proxy weitergeleitet werden Am SurfinGate Server sind keine Gruppeninformationen verf gbar daher k nnen Richtlinienentschei dungen nur anhand der IP Adresse getroffen werden Beispiel f r Post MAlLsweeper wird als Post Gateway konfiguriert Der Inhalt der am MAlLsweeper Server ankommenden Post wird gefiltert bevor er an den n chsten Post Server weitergeleitet wird Alle gesicherten Post Server m ssen so konfiguriert sein da Client Postanforderungen an den MAlLsweeper Server weitergeleitet werden Der Firewall Mail Exchanger mu so konfiguriert sein da ankommende Post an den MAlLsweeper Server weitergeleitet wird MAlLsweeper mu so konfiguriert sein da die an eine beliebige externe Dom ne adressierte Post an den Firewall Mail Exchanger gesendet wird MAlLsweeper mu so konfiguriert sein daf die an interne Dom nen adressierte Post an den korrekten gesi cherten Post Server gesendet wird Kapitel 1 bersicht ber den SecureWay Boundary Server 3 4 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Kapitel 2 Einf hrung in den IBM SecureWay Boundary Server Dieses Kapitel enth lt eine bersicht ber den SecureWay Boundary Server und besteht aus folgenden Abschnitten Beschreibung des SecureWay Boundary Server e Vorteile des SecureWay Boundary Server e Bedeutung von SecureWay Boundary Server in FirstSecure
64. rten Netz auf das ungesicherte Netz zugreifen k nnen Welche Services implementiert werden h ngt von Ent scheidungen ab die Sie im Planungsstadium getroffen haben Wird ein Service implementiert m ssen oft bestimmte Verbindungskonfigurationen eingerichtet werden damit bestimmte Arten des Datenverkehrs erlaubt sind Sollen beispiels weise gesicherte Benutzer ber den HTTP Proxy im Internet surfen d rfen mu nicht nur der HTTP Proxy D mon auf der Firewall konfiguriert werden sondern es m ssen auch Verbindungen eingerichtet werden die den HTTP Datenverkehr erlauben Wollen Sie den Policy Director konfigurieren k nnen Sie weitere Infor mationen dem Abschnitt Integration mit dem SecureWay Policy Director auf Seite 13 entnehmen 8 Nur Windows NT Da NetBIOS bei dem Proze zur Erh hung der Netzsicherheit inaktiviert wird wenn Sie Windows NT Dom nenkennw rter f r die Authentifi zierung benutzen wollen m ssen Sie den Windows Client Code konfigurieren der die F higkeit zum Suchen von gesicherten Windows NT Dom nen zu Authentifi zierungszwecken implementiert Die gesicherten Windows NT Server ben tigen TCP IP Host Namen und Adressen sowie TCP IP Konnektivitat zwischen ihnen und der Firewall Der Firewall Administrator mu Verbindungen zwischen der Firewall und den gesicherten Windows NT Servern erstellen damit der Datenver kehr zwischen Firewall und Servern erm glicht wird 9 Wird die Netzadressenumsetzung benutzt n
65. sweeper und SurfinGate Der SecureWay Boundary Server kann mit dem IBM SecureWay Policy Director integriert werden bersicht ber den IBM SecureWay Boundary Server Der IBM SecureWay Boundary Server bietet gro en Unternehmen die Vorausset zungen hinsichtlich des Zugriffsschutzes der Zugriffssteuerung und der Content Security die f r die Ausnutzung des e business durch eine sichere ffnung ihrer Netze und Systeme f r Kunden Lieferanten und Gesch ftspartner erforderlich sind Zu den Einrichtungen geh ren e Firewall Schutz f r das Netz Betrieb eines virtuellen privaten Netzes VPN zur Vergr erung der Reichweite des eigenen Netzes e Pr fprogramme f r den Inhalt des E Mail und Web Datenverkehrs um die Daten des Unternehmens zu sch tzen juristische Folgen zu begrenzen und die Produk tivit t aufrechtzuerhalten Der SecureWay Boundary Server kombiniert f hrende Technologie der Industrie mit einer integrierten L sung die von IBM Unterst tzung und Services flankiert wird Der SecureWay Boundary Server ist f r die Betriebssysteme AIX und Windows NT ver f gbar 6 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Funktionsweise von SecureWay Boundary Server Der SecureWay Boundary Server sch tzt und verdeckt Ihr Netz und Ihre Systeme durch Paketfilterung Proxies und Socks Server Technologie sowie Content Security Durch diese Technologien k nnen Administratoren explizit definie
66. t von WEBsweeper lautet PAKMSG error Username conflicts with previously defined license section Empfohlene Aktion Entfernen Sie die alte Lizenzberechtigung aus der Windows Registrierung Geben Sie den Befehl regedit ein und suchen Sie unter dem Pfad HKEY_LOCAL_MACHINE SOFTWARE Content Technologies MIMEsweeper License nach Lizenzberechtigungen Befinden sich dort mehrere Lizenzberechtigungen l schen Sie die Lizenzberechti gung die nicht mit IBM MIMEsweeper System gekennzeichnet ist Starten Sie das System neu 44 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration WEBsweeper hat Probleme beim Herunterladen gro er Dateien Erkl rung des Problems M glicherweise reicht der virtuelle Speicher von WEBsweeper nicht aus um Dateien beim Filtern zu speichern Empfohlene Aktion Erh hen Sie den physischen Speicher auf dem WEBsweeper Server Allgemeine Probleme mit SurfinGate beheben SurfinConsole antwortet bei ge ffnetem Microsoft Internet Explorer nicht mehr Erkl rung des Problems Die Anwendung SurfinConsole verh lt sich bei ge ffnetem Microsoft Internet Explorer nicht wie erwartet oder antwortet bei ge ffnetem Microsoft Internet Explorer nicht mehr Zwischen diesen beiden Anwendungen besteht ein Konflikt und sie k nnen nicht gleichzeitig ausgef hrt werden Empfohlene Aktion Laden Sie den Internet Explorer und die SurfinConsole nicht gleichzeitig Geringe Leistung des SurfinGate Plug
67. tion und Konfiguration des SecureWay Boundary Server auf den Betriebssystemen Windows NT und AIX beschrieben In Kapitel 6 Referenzliteratur auf Seite 39 sind weitere Dokumentationen ber den SecureWay Boundary Server und zugeh rige Produkte aufgef hrt Konventionen In diesem Buch werden die folgenden Konventionen benutzt Konvention Bedeutung Fettdruck Benutzerschnittstellenelemente wie Kontrollk stchen Schaltfl chen und Befehle Monospace Schrift Syntax und Verzeichnisstandardwerte die sich auf den SecureWay Boundary Server beziehen Steht f r eine auszuw hlende Folge von Men optionen Beispiel W hlen Sie Datei gt Aus f hren aus Dies bedeutet da erst auf Datei und dann auf Ausf hren geklickt werden mu Web Informationen Informationen ber die neuesten nderungen an dem SecureWay Boundary Server sind unter der folgenden Web Adresse verf gbar http www ibm com software security boundary library Informationen ber Aktualisierungen an anderen IBM SecureWay FirstSecure Produkten sind unter der folgenden Web Adresse verf gbar http www ibm com software security firstsecure library viii IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Neue Einrichtungen und Funktionen Version 2 0 von SecureWay Boundary Server enth lt eine Vielzahl neuer Einrichtungen und Funktionen Die wichtigsten neuen Einrichtungen und Funkt
68. trierte IP Adresse f r die ungesicherte Firewall Schnittstelle an Konfigurieren Sie die allgemeinen Sicherheitsrichtlinien ber die Anzeige Sicher heitsrichtlinien des Ordners Systemverwaltung Typische Firewall Konfigu rationen sehen wie folgt aus DNS Abfragen sind zugelassen e Rundsendenachrichten an ungesicherten Schnittstellen werden verweigert e Socks an ungesicherten Adaptern werden verweigert Konfigurieren Sie den Dom nennamensservice und die Postfunktion Eine effi ziente Kommunikation ist nur m glich wenn eine DNS Aufl sung zur Verf gung gestellt wird Greifen Sie ber den Ordner Systemverwaltung der Navigations baumstruktur des Konfigurations Clients auf diese Funktionen zu Definieren Sie Schl sselelemente ihrer Netze ber die Funktion Netzobjekte der Navigationsbaumstruktur des Konfigurations Clients f r die Firewall Netzobjekte steuern den Datenverkehr durch die Firewall Definieren Sie die folgenden Schl s selelemente als Netzobjekte e Gesicherte Schnittstelle der Firewall e Ungesicherte Schnittstelle der Firewall e Gesichertes Netz e Alle Teilnetze des gesicherten Netzes Ein Host Netzobjekt f r die Security Dynamics Server und die Windows NT Dom nen Server falls anwendbar 14 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration 7 Aktivieren Sie Services auf der Firewall Dies sind die Methoden beispielsweise Socks oder Proxy ber die Benutzer im gesiche
69. tung von Verbindungen enth lt das Buch BM SecureWay Firewall f r Windows NT Benutzerhandbuch Es folgen Informationen zur Einrichtung der Verbindung F r die Anforderung m ssen die Regeln f r abgehende Verbindungen wie folgt konfiguriert werden e Die Quellenadresse ist die Adresse des gesicherten Firewall Adapters e Die Zieladresse ist die Adresse des SurfinGate Servers Der Quellenanschlu ist gr er als 1023 Der Zielanschlu ist gleich 3141 e Die Schnittstelle ist gesichert e Die Weiterleitung erfolgt lokal e Die Richtung ist abgehend F r die Anforderung m ssen die Regeln f r ankommende Verbindungen wie folgt konfiguriert werden Die Quellenadresse ist die Adresse des SurfinGate Servers e Die Zieladresse ist die Adresse des gesicherten Firewall Adapters Der Quellenanschlu ist gleich 3141 e Der Zielanschlu ist gr er als 1023 e Die Schnittstelle ist gesichert e Die Weiterleitung erfolgt lokal e Die Richtung ist ankommend Nachfolgend wird ein Beispiel f r eine solche Verbindung gezeigt Service SurfinGate Plugin Communication Description permit 9 67 143 113 255 255 255 255 9 67 143 115 255 255 255 255 tcp gt 1023 eq 3141 secure local outbound l y f y permit 9 67 143 115 255 255 255 255 9 67 143 113 255 255 255 255 tcp eq 3141 gt 1023 secure local inbound 1 y f y Anmerkung Die Verbindungen m ssen ber dieselbe Leitung erfolgen Sie m ssen zudem den SurfinGate Server s
70. urfinGate Plug In konfiguriert werden nur Windows NT F r die Konfiguration von IBM SecureWay Boundary Server f r IBM Firewall sind fol gende Informationen erforderlich e Der Host Name und die Dom ne des IBM SecureWay Directory Servers den die Firewall benutzen wird e Die Nummer des Anschlusses auf dem der IBM SecureWay Directory Server emp fangsbereit ist Der Standardanschlu ist 389 e Das Sicherheitshauptkennwort f r den IBM SecureWay Directory Server e Der Dom nenname der zur Unterscheidung der Proxy Benutzer f r diese Firewall benutzt wird Alle Firewalls die diesen Namen verwenden verwalten dieselbe Benutzergruppe Normalerweise wird der vollst ndig qualifizierte Host Name der Firewall Maschine benutzt Der Name des Firewall Administrators der f r den Zugriff auf die im SecureWay Directory gespeicherten Proxy Benutzer verwendet wird Diesem Namen wird Zugriff zum ndern aller im SecureWay Policy Director erstellten Proxy Benutzer erteilt Sie m ssen den vollst ndig qualifizierten Host Namen der Firewall Maschine benutzen e Der registrierte Name den das IBM SecureWay Directory als Stamm benutzt von dem aus die Suche nach Firewall Benutzern in der Datenbank gestartet wird Dies mu das Suffix sein das Sie in dem SecureWay Directory zum Speichern von Policy Director Benutzern erstellt haben e Ein Kennwort f r die Administrator ID der Firewall das bei der Verbindung zu dem IBM SecureWay Directory Ser
71. usweich Server en a AIX 22 MB tie Ao Benutzerdatenbank is anf nglich 4 MB Installation 240 MB Kapitel 4 Voraussetzungen f r den IBM SecureWay Boundary Server SBS 19 Tabelle 2 Seite 2 von 2 Hardwarevoraussetzungen f r die Boundary Server Komponenten MAlLsweeper Windows NT 400 1 GB 128 MB MHz Prozessor oder h her WEBsweeper Windows NT 450 1 GB 128 MB MHz Prozessor oder h her WEBsweeper Windows NT 450 3 GB 512 MB Systemvoraus MHz Prozessor setzungen fir oder h her eine Umgebung mit hohem Volumen SurfinGate 4 05 Windows NT 233 20 MB 256 MB Server MHz Prozessor oder h her SurfinGate 4 05 Windows NT 233 15 MB 64 MB Console MHz Prozessor oder h her Anmerkung Weitere Informationen enth lt das Buch BM SecureWay Firewall for AIX or Windows NT Version Setup and Installation for Multiple Languages Zudem sind 138 MB Plattenspeicherplatz f r den Netscape Browser erforderlich 20 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Softwarevoraussetzungen f r den SecureWay Boundary Server In der folgenden Tabelle sind die Softwarevoraussetzungen f r die Boundary Server Komponenten aufgef hrt Tabelle 3 Mindestsoftwarevoraussetzungen f r die Boundary Server Komponenten Produkt Windows AIX Weitere Vorausset zungen Policy Director Server Windows NT Version 4 0 4 3 1 mit Service Pack 5 IBM Firewall
72. ver benutzt wird Sie m ssen eine Verbindung erstellen damit Datenverkehr zwischen der Firewall und dem SecureWay Directory Server flie en kann Achten Sie darauf da die in Hardwarevoraussetzungen f r den SecureWay Boundary Server auf Seite 19 aufgef hrten Vorbedingungen erf llt sind 16 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration SurfinGate Als Vorbereitung f r die Benutzung von SurfinGate mu der Windows NT Service Pack 5 installiert werden Achten Sie darauf da die in Hardwarevoraussetzungen f r den SecureWay Boundary Server auf Seite 19 aufgef hrten Vorbedingungen erf llt sind Gehen Sie wie folgt vor um die Benutzung von SurfinGate vorzubereiten Wenn Sie eine Oracle Datenbank benutzen mu sie konfiguriert werden Wenn Sie Windows NT Firewall benutzen m ssen Sie entscheiden ob Sie den Plug In Modus oder den Proxy Modus verwenden e Installieren Sie zum Aktivieren des SurfinGate Plug Ins auf WTE das SurfinGate Plug In auf der Firewall Maschine und rufen Sie den SecureWay Boundary Server Assistenten auf e Sie m ssen eine Verbindung erstellen damit Datenverkehr zwischen dem SurfinGate Plug In und dem SurfinGate Server flie en kann MIMEsweeper Zur Vorbereitung der Benutzung von MIMEsweeper m ssen Sie wissen wie das Netz funktioniert Achten Sie darauf da die in Hardwarevoraussetzungen f r den SecureWay Boundary Server auf Seite 19 au
73. y Server der die Antwortzeiten f r Endbenutzer durch leistungsfa hige Caching Schemata verbessern kann Durch flexible PICS Filterung k nnen Netzadministratoren den Zugriff auf web gest tzte Informationen von einem zentralen Standort aus steuern Z Zeitlimit Ein f r eine bestimmte Operation vorgese henes Zeitintervall Glossar 51 52 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Antwort IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Version 2 0 IBM Teilenummer CT6RZDE Anregungen zur Verbesserung und Erg nzung dieser Ver ffentlichung nehmen wir gerne entgegen Bitte informieren Sie uns ber Fehler ungenaue Darstellungen oder andere M ngel Senden Sie Ihre Anregungen bitte an die angegebene Adresse IBM Deutschland Informationssysteme GmbH SW NLS Center 70548 Stuttgart Kommentare Zu Ihrer weiteren Information Zur Kl rung technischer Fragen sowie zu Lieferm glichkeiten und Preisen wenden Sie sich bitte entweder an Ihre IBM Gesch ftsstelle Ihren IBM Gesch ftspartner oder Ihren H ndler Unsere Telefonauskunft Hallo IBM Telefonnr 0180 3 31 3233 steht Ihnen ebenfalls zur Kl rung allgemeiner Fragen zur Verf gung 53 54 IBM SecureWay Boundary Server f r Windows NT und AIX Installation und Konfiguration Teilenummer CT6RZDE Printed in Denmark CT6RZDE
Download Pdf Manuals
Related Search