Innominate mGuard smart - Innominate Security Technologies AG
Contents
1. die Sie nicht als vertrauensw rdig eingestuft haben einem selbstunterzeichne Untersuchen Sie das Zertifikat um festzustellen ob Sie der e ausstellenden Institution vertrauen m chten ten Zertifikat ausgeliefert Das Datum des Sicherheitszertifikates ist g ltig Der auf dem Sicherheitszertifikat angegebene Name stimmt nicht mit dem Namen der Site berein Soll der Vorgang fortgesetzt werden Ja A L nin Zertifikat anzeigen Quittieren Sie den entsprechenden Sicherheitshinweis mit Ja Folge Nach Abfrage des Benutzernamens Login und Passwortes wird die Administra tor Website des mGuard angezeigt Werksseitig ist voreingestellt Login admin Passwort mGuard B gt Gro und Kleinschreibung beachten Zur Konfiguration gehen Sie wie folgt vor 1 ber das Men zur linken die Seite mit den gew nschten Einstellm glich keiten aufrufen siehe ab Seite 18 2 Auf der betreffenden Seite die gew nschten Eintr ge machen 3 Mit OK best tigen so dass die Einstellungen vom Ger t bernommen wer den Sie erhalten vom System eine best tigende R ckmeldung Sollte bei erneuter Anzeige einer Seite diese nicht aktuell sein weil der Browser sie aus dem Cache l dt aktualisieren Sie die Anzeige der Seite Dazu in der Browser Symbolleiste das Symbol zum Aktualisieren klicken 15 von 93 BO Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle2. ity Technologies AG Security Appliance Firewall gt NAT Network Address Transiation IP Masquerading 5 X E u I j132 168 0 0116 Diese Rageh lassen Verkehr von den hier angegeben IP Adressen nonmalerweise Adressen aus dem privaten Adress Bereich auf die Adresse des mGuard umschreiben Bitte beachten Sie Diese Regel geten nicht im Stealth Modus Das Ger t kann bei ausgehenden Datenpaketen die angegebenen Absender IP Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse um schreiben eine Technik die als NAT Network Address Translation bezeichnet wird Diese Methode wird benutzt wenn die internen Adressen extern nicht geroutet werden k nnen oder sollen z B weil ein privater Adressbereich wie 192 168 x x oder die interne Netzstruktur verborgen werden soll Dieses Verfahren wird auch P Masquerading genannt DO Arbeitet der mGuard im PPPoE PPTP Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden B gt Bei der Verwendung von mehreren statischen IP Adressen f r das externe In terface wird immer die erste IP Adresse der Liste f r IP Masquerading ver wendet Werkseinstellung Es findet kein NAT statt L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Von IP 0 0 0 0 0 be
3. lich auf die hier definierte VPN Verbindung Das bedeutet praktisch Haben Sie mehrere VPN Verbindungen definiert k nnen Sie f r jede einzelne den Zugriff von au en oder von innen beschr nken Versuche die Beschr nkun gen zu bergehen k nnen Sie ins Log protokollieren lassen BO Gem werksseitiger Voreinstellung ist die VPN Firewall so eingestellt dass f r diese VPN Verbindung alles zugelassen ist F r jede einzelne VPN Verbindung gelten aber unabh ngig voneinander gleichwohl die erweiterten Firewall Einstellungen die weiter oben definiert und erl utert sind siehe Firewall Erweiterte Einstellungen auf Seite 30 DO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert BO Im Stealth Modus ist in den Firewallregeln f r den Client die wirkliche IP Adresse zu verwenden oder aber auf 0 0 0 0 0 zu belassen da nur ein Client durch den Tunnel angesprochen werden kann L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle Von IP Nach IP 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugebe
4. berpr fung auf Viren statt E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der POP3 Server Sie k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r POP3 gt x EEE SE BEE 7777777 DE HE Samen O P Donn 110 Scannen EI Scan eines Subnetzes Ausklammerung eines trusted POP3 Servers gt z see 2 sererpot 2 2 Scamen UT g fis2 168 2 5 110 J Nicht Scannen P J 192 168 2 0 24 110 scannen zi Scan eines einzelnen untrusted POP3 Servers in einem Subnetz SX sewer EE __Scamen UT P E 192 168 2 5 fio scannen x P T 1s2 168 2 0724 fo Nicht Scannen 37 von 93 L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben BO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl berschritten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie fo
5. chen Schl ssel besitzt die Bitfolge entschl sseln und damit die Echtheit dieses Fingerabdrucks bzw dieser Unterschrift berpr fen Durch die Heranziehung von Beglaubigungsstellen ist es m glich dass nicht je der Schl sseleigent mer den anderen kennen muss sondern nur die benutzte Be glaubigungsstelle Die zus tzlichen Informationen zu dem Schl ssel vereinfachen zudem die Administrierbarkeit des Schl ssels X 509 Zertifikate kommen z B bei Email Verschl sselung mittels S MIME oder IPsec zum Einsatz Ger te die miteinander kommunizieren m ssen dieselben Regeln dazu verwen den Sie m ssen dieselbe Sprache sprechen Solche Regeln und Standards be zeichnet man als Protokoll bzw bertragungsprotokoll Oft benutze Protokolle sind z B IP TCP PPP HTTP oder SMTP Anbieter Firma Institution die Nutzern den Zugang zum Internet oder zu einem Online Dienst verschafft In der Internet Terminologie bedeutet Spoofing die Angabe einer falschen Adresse Durch die falsche Internet Adresse t uscht jemand vor ein autorisierter Benutzer zu sein Unter Anti Spoofing versteht man Mechanismen die Spoofing entdecken oder verhindern Symmetrische Ver schl sselung TCP IP Transmission Control Protocol Internet Protocol VPN Virtuelles Pri vates Netzwerk Bei der symmetrischen Verschl sselung werden Daten mit dem gleichen Schl s sel ver und entschl sselt Beispiele f r symmetrische Verschl sselungsal
6. len Rechner Allen Internetadressen liegt im Grunde dieses Verfahren zu Grunde Zun chst wird eine Verbindung zum DNS hergestellt um die diesem Hostnamen zuge teilte IP Adresse zu ermitteln Ist das geschehen wird mit dieser nachgeschla genen IP Adresse die Verbindung zur gew nschten Gegenstelle eine beliebige Internetpr senz aufgebaut 87 von 93 IP Adresse Jeder Host oder Router im Internet Intranet hat eine eindeutige IP Adresse IP Internet Protocol Die IP Adresse ist 32 Bit 4 Byte lang und wird geschrieben als 4 Zahlen jeweils im Bereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Eine IP Adresse besteht aus 2 Teilen die Netzwerk Adresse und die Host Adresse Netzwerk Adresse Host Adresse Alle Hosts eines Netzes haben dieselbe Netzwerk Adresse aber unterschiedliche Host Adressen Je nach Gr e des jeweiligen Netzes man unterscheidet Netze der Kategorie Class A B und C sind die beiden Adressanteile unterschiedlich gro 1 Byte 2 Byte 3 Byte 4 Byte Class A Netz Adr Host Adr Class B Netz Adr Host Adr Class C Netz Adr Host Adr Ob eine IP Adresse ein Ger t in einem Netz der Kategorie Class A B oder C be zeichnet ist am ersten Byte der IP Adresse erkennbar Folgendes ist festgelegt Wert des Bytes f r die Bytes f r die 1 Byte Netzadresse Host Adresse Class A 1 126 1 3 Class B 128 191 2 2 Class C 192 2
7. 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 0 0 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 OO OO OO OO OO OO OO OO OO OO OO OO OH OH 255 255 255 255 255 255 255 255 255 254 ER 248 240 224 192 128 OO OO OO OO OO OO OO OO 255 254 252 248 240 224 192 128 OO OO OO OO bin r 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 0000
8. P system Das Virus Log enth lt folgende Meldungen des Virenfilters e Gefundene Viren mit Angabe von Details Name des Virus Name der Datei bei einer E Mail zus tzlich Absender Datum Betreff e Warnungen bei automatischer Einschaltung des Durchla modus wenn die zu filternde Datei die eingestellte Dateigr e berschreitet und nicht gefiltert wurde e Start und Fehlerausgaben der Kaspersky Scan Engine und des Virenfilters Fehlermeldungen Virus Detection Ein Virus wurde erkannt Die Fehlermeldung umfa t den Namen des Virus den Absender der E Mail das Absendedatum und den Namen der infizierten Datei bzw den Namen der komprimierten Archivdatei und des infizierten Bestandteils dieses Archivs Beispiel einer Virenmeldung mGuard detected a virus The mail could not be delivered 43 von 93 found Virus Email Worm Win32 NetSky q From sick example com Date Fri 13 Aug 2004 11 33 53 0200 about_you zip document txt exe 000012a7 00000077 00000000 Message Details From sick example com Subject Private document Date Fri 13 Aug 2004 11 33 53 0200 Exceeded maximum filesize Die eingestellte Begrenzung der Dateigr e wurde berschritten Um die Datei trotzdem bertragen zu k nnen deaktivieren Sie f r den Download den Virenfilter f r den entsprechenden Server oder global Alternativ k nnen Sie den Durchla modus Men punkt bei berschreiten der Gr enbegrenzung im jeweiligen Protokoll a
9. berschreiten der Gr ssenbegrenzung Daten blockieren E Liste der HTTP Server OO Server a scan U fin ooo fo Scannen EN Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r HTTP muss der zu scannende Adressbereich mit entsprechenden Firewallregein freigeschaltet werden H Powered by Q ANTI VIRUS Das HTTP Protokoll wird von Web Browsern zur Ubertragung von Webseiten genutzt hat aber noch viele andere Anwendungen So wird es z B auch zum Download von Dateien wie z B Software Updates oder zur Initialisierung von Multimedia Streams genutzt Die Weiterleitung einer tibertragenen Datei erfolgt erst nachdem sie komplett geladen und berpr ft wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindigkeit zu Verz gerungen in der Reaktionszeit der Benutzer Software kommen BO Um den Anti Virus Schutz f r HTTP zu testen bietet sich zun chst der unge f hrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse http www eicar org anti_virus_test_file htm heruntergeladen werden kann Anti Virus Schutz fiir HTTP Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r SMTP Verbindungen auf den HTTP Proxy angelegt scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird diese Grenze ber
10. licence_version 1 licence_type Innominate mGuard enterprise snmp 1 remote_syslog 1 mau_management 1 Listet die erworbenen Lizenzen auf Die entsprechenden Lizenzdateien sind im mGuard installiert Siehe Features Installiere Lizenz auf Seite 71 72 von 93 Features gt Hardware information Nur Anzeige Innominate mGuard Netzwerk P Firewall gt Antivirus Dven gt Dienste P Zugang Wfeatures Instaliere Update Update Server Instaliere Lizenz Softwareinformation Lizenzinformation u Vera gt support P system ity Technologies AG Hardware CPU CPU Familie CPU Stepping CPU Kemfrequenz Systemtemperatur Systemlaufzeit Anvendungsspeicher MAC 1 MAC 2 MAC 3 MAC 4 Produktname OEM Name OEM Seriennummer Fertigung Herstellungsdatum Seriennummer Bootloader bei Fertigung Hardware Version Rescue System bei Fertigung Software Version bei Fertigung Version Parametersatz Security Appliance Features gt Hardwareinformation Innominate mGuard XScale IXP4xx IXC1 1xx rev 1 vSb IKPARK BO 533 MHz Ma 49 min 63220 kB 00 0c be 01 01 0a 00 0c be 01 01 0b NIA NiA innominate mGuard Innominate 123TE5T8 A01 Tru Jul 15 15 40 20 UTC 2004 SVP 55 137412 000007dc 0 2 0 default F r erfahrene Systemadministratoren Support 73 von 93 5 13 Men Support Support gt Snapshot Support gt Status Nur Anzeige 74 von 93 Innominate mGua
11. sselaustausch VPN Authentisierungsverfahren 509 Zertifikat Konfigurieren Verbindungen en Zertifikat Verschl sselungsalgorithmus 3DES 168 x gt eu Pr fsummenalgorithmus Hash Alle Algorithmen 2TP Status VPN Logs IPsec SA Datenaustausch gt Dienste gt zugang Verschl sselungsalgorithmus IPsec SA Data Exchange 3DES 168 x gt Feature gt support Pr fsummenalgorithmus Hash Alle Algorithmen x ram Perfect Forward Secrecy PFS Die Gegenstelle mu den gleichen Eintrag haben und die Aktivierung ist aus Sicherheitsgr nden empfohlen SA Lebensdauer ISAKMP SA Lebensdauer Sekunden E BRIE D ER 180 S IPsec SA Lebensdauer Sekunden Rekeymargin Sekunden Rekeyfuzz Prozent Keying Versuche 0 bedeutet unbegrenzt Rekey a xy Dead Peer Detection veny E E Timeout 120 ISAKMP SA Schl sselaustausch 52 von 93 Verschl sselungsalgorithmus Vereinbaren Sie mit dem Administrator der Gegenstelle welches Ver schl sselungsverfahren verwendet werden soll 3DES 168 ist das am h ufigsten benutzte Verfahren und ist deshalb als Stan dard voreingestellt Grunds tzlich gilt Folgendes Je mehr Bits ein Verschl sselungsalgorithmus hat angegeben durch die angef gte Zahl desto sicherer ist er Das relativ neue Verfahren AES 256 gilt daher als am sichersten ist aber noch nicht so verbreitet Der Verschl sselungsvorgang ist um so zeitaufwendiger je l nger der Schl ssel ist Di
12. 00 00 30 39427 pluto 2168 uptime 0 days 00 00 30 39437 pluto 2168 uptime 0 days 00 00 30 39768 pluto 2168 uptime 0 days 00 00 30 40106 pluto 2168 uptime 0 days 00 00 30 41684 pluto 2168 uptime 0 days 00 00 30 41805 pluto 2168 uptime 0 days 00 00 30 42007 Sa uptime 0 days 00 00 30 42540 pluto 216 uptime 0 days 00 00 30 42756 Prato lates uptine 0 days 00 00 32 42130 firestarter uptime 0 days 00 00 32 43619 firestarter Listet alle VPN Ereignisse auf Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren Changing to directory etc ipsec d cacerts Changing to directory etc ipsec d erls fireing vpn connections with IPs adding asasasac harlock to tany from whack got esp 3des from whack got ike 3des loaded host cert file eto ipsec d this host cer 1760 bytes loaded host cert file gai ete vpn connection aaaaaaac cer 1760 bytes added connection description aaaaaaac forgetting secrets loading secrets from etc ipsec secrets loaded private key file Rec ipsec private this host pem 1674 bytes 68 Changing to directory etc ipsec d cacerts Changing to directory etc ipsec d crls fireing vpn connections with DNS names fireing vpn connections finished 57 von 93 5 10 Men Dienste Dienste gt DNS ate arity Tech
13. 93 Start L2TP Server f r IPsec L2TP Ja Nein Wollen Sie IPsec L2TP Verbindungen erm glichen setzen Sie diesen Schalter auf Ja ber IPsec k nnen dann zum mGuard L2TP Verbindungen aufgebaut werden ber welche den Clients dynamisch IP Adressen innerhalb des VPNs zugeteilt werden Lokale IP f r L2TP Verbindungen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle mit er habe die Adresse 10 106 106 1 Zuweisung von IPs f r L2TP Gegenstellen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle eine IP Adresse zwischen 10 106 106 2 und 10 106 106 254 mit VPN gt IPsec Status Security Appliance Nur Anzeige VEN espe SiiS 152 10 1 0 159 4500 188 10 151 0 0724 7 12 1 0 159 4500 10 1 0 159 4500 harlock DI EE STATE_QUICK_R2 IPsec C DE ST Berlin L Berlin O Innominate C DE ST Berlin L Berlin O Innominate MR3 ISAKMP SA SA established Security Technologies AG OU Support Security Technologies AG OU Support established CNetestd E mhopf innominate com CNetest5 E mhopf innominate com 10 10 152 Zary 192 168 1 0 24 3 10 151 0 024 3 oer C DE ST Berlin L Berlin O Innominate CDE ST Berlin L Berlin O Innominate Security Technologies AG OU Support Security Technologies AG OU Support C CNetest f innominate com Netest4 Esmhopf innominate com Informiert ber den Status der IPsec Verbindungen Links sind die Namen der VPN Verbindungen aufgelistet rechts daneben wird jewe
14. DHCP Lease Dauer Zeit in Sekunden fiir die eine dem Client zugeteilte Netzwerkkonfiguration giil tig ist Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfiguration erneuern Ansonsten wird diese anderen Rechnern zu geteilt Dynamischen IP Adresspool aktivieren Setzen Sie diesen Schalter auf Ja wenn sie den durch DHCP Bereichsan fang bzw DHCP Bereichsende gew hlten IP Adresspool verwenden wol len Setzen Sie diesen Schalter auf Nein wenn nur statische Zuweisungen an hand der MAC Adresse vorgenommen werden sollen siehe unten Optionen Bei aktiviertem DHCP Server und aktiviertem dynamischem IP Adresspool k nnen Sie die Netzwerkparameter angeben die vom Client benutzt werden sollen DHCP Bereichsanfang Anfang und Ende des Adressbereichs aus dem der DHCP Server des mGuard den lokal angeschlossenen Clients IP Adressen zuweisen soll DHCP Bereichsende Lokale Netzmaske Legt die Netzmaske die Clients fest Voreingestellt ist 255 255 255 0 Broadcast IP Legt die Broadcast IP des Clients fest Default Gateway Legt fest welche IP Adresse beim Client als Defaultgateway benutzt wird In der Regel ist das die lokale IP Adresse des mGuard DNS Server Legt fest wo Clients ber den Domain Name Service DNS Hostnamen in IP Adressen aufl sen lassen k nnen Wenn der DNS Dienst des mGuard genutzt werden soll dessen lokale IP Adresse WINS Server Legt fest wo Clients ber den W
15. Innominate AG beh lt sich vor nach Ablauf Ihrer Antiviren Lizenz im Zuge eines Software Updates die Virensignaturen zu l schen wenn aus Gr nden der Speicherkapazit t die Notwendigkeit dazu besteht siehe Update running auf Seite 44 Durch die begrenzte Speicherkapazit t des Innominate mGuard ergeben sich ei nige zu beachtende Unterschiede zu blichen Virenfiltern Jede zu berpr fende Datei mu komplett auf die mGuard RAM Disk kopiert werden damit sie durch den Virenfilter dekomprimiert und auf Viren untersucht werden kann Da der Innominate mGuard mehrere Verbindungen gleichzeitig berwacht um z B parallel E Mail Clients und Web Browser nutzen zu k nnen kann es zu Speicher Engp ssen kommen Um diesen Engp ssen vorzubeugen muss im Men die Maximalgr e der zu berpr fenden Dateien festgelegt wer den Mit den voreingestellten Werten f r die Maximalgr e ist in den meisten Szenarien ein problemloser Betrieb des Antivirenfilters m glich deswegen soll ten Sie diese Werte m glichst nicht ndern 33 von 93 Sie k nnen im Men ausw hlen ob bei einer berschreitung der Maximalgr e die Nachricht blockiert und eine Fehlermeldung an Sie gesendet werden soll oder ob die Datei ohne Viren berpr fung weitergeleitet werden soll Antivirus gt SMTP Einstellungen Das SMTP Protokoll wird von Ihrem E Mail Client oder Mail Transfer Agent MTA zur Versendung von E Mails genutzt Konfiguration des E Ma
16. Modus wird ausschlie lich zur lokalen Anbindung eines einzel nen Computers als Client verwendet In dieser Betriebsart kann das Ger t einfach in eine bestehende Netzwerkan bindung des betreffenden Rechners integriert werden Dazu einfach den mGuard zwischenschalten siehe Abbildung im Abschnitt Ger t anschlie Den auf Seite 11 Der mGuard analysiert den laufenden Netzwerkverkehr und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet trans parent d h ohne dass der Client umkonfiguriert werden muss Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verf gung Von extern gelieferte DHCP Daten werden an den angeschlossenen Client durchgelassen DO Eine auf dem Client installierte Firewall mu ICMP Echo Requests Ping zu lassen wenn der mGuard Dienste die VPN DNS NTP etc nutzen soll BO Die Eintr ge unter Interne IPs und Zus tzliche interne Routen werden im Ste alth Modus ignoriert Als interne IP wird stattdessen die 1 1 1 1 verwendet die vom Client erreichbar ist wenn auch das auf dem Client konfigurierte De faultgateway erreichbar ist mGuard als Router Router Der mGuard arbeitet auch im PPPoE oder PPTP Modus als Router 18 von 93 Befindet sich der mGuard nicht im Stealth Modus arbeitet er als Gateway zwischen verschiedenen Teilnetzen und hat dabei eine externe und eine inter ne IP Adresse Der mGuard ist ber seine externe Schnittst
17. Nein zi Log Eintr ge f r unbekannte Verbindungsversuche ures Diese Regeln geben an weicher Verkehr von imen nach auf en passieren dart ls Direo Bitte beachten Sie Port Angaben werden nur f r TGP und UDP ausgewertet iystem Feature Listet die eingerichteten Firewall Regeln auf Sie gelten fiir ausgehende Daten verbindungen die von intern initiiert wurden um mit einer entfernten Gegenstel le zu kommunizieren Per Werkseinstellung ist eine Regel gesetzt die alle ausgehenden Verbindungen zul sst Ist keine Regel gesetzt sind alle ausgehenden Verbindungen verboten au er VPN L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass
18. Netzmaske Mit diesen beiden Angaben geben Sie die Adresse Netzes oder Computers an das lokal an den mGuard angeschlossen ist Die Adresse des gegen berliegenden Netzes Die dazugeh rige Netzmaske Mit diesen beiden Angaben geben Sie die Adresse des Netzes oder Computers an das sich hinter dem gegen berliegenden VPN Gateway befindet Die Adresse 0 0 0 0 mit der Netzmaske 0 0 0 0 gibt eine Default Route ber das VPN an Das hei t dass s mtlicher Datenverkehr f r den keine anderen Tunnel oder Routen existieren durch diesen VPN Tunnel geleitet werden soll Eine Default Route ber das VPN sollte nur f r einen Tunnel angegeben werden und kann im Stealth Modus nicht verwendet werden 50 von 93 Die virtuelle IP f r den Client im Stealth Modus Virtuelles lokales Netz IPsec Tunnel 5 i ren em we Seet Client s virtuelle a wn IP Ki ZN lt d Zeen Cliente wirkliche i A IP Internet VPN Gateway Netz gegen ber gegen ber Im Stealth Modus wird das lokale Netz des VPNs durch den mGuard simu liert Innerhalb dieses virtuellen Netzes ist der Client unter einer virtuellen IP bekannt BO Dieser Eintrag wird nur im Stealth Modus ben tigt Firewall eingehend Firewall ausgehend W hrend die unter dem Men punkt Firewall vorgenommenen Einstellungen sich nur auf Nicht VPN Verbindungen beziehen siehe oben unter Firewall x Eingehend auf Seite 25 beziehen sich die Einstellungen hier ausschlie
19. Netzwerk Zeit Protokoll Aktuelle Systemzeit UTC 62 von 93 Anzeige der aktuellen Systemzeit in Universal Time Coordinates UTC Wenn die NTP Zeitsynchronisation noch nicht aktiviert ist s u und Zeitmarken im Dateisystem deaktiviert sind beginnt die Uhr mit dem 1 Januar 2000 Aktuelle Systemzeit lokale Zeit NTP Status Soll die eventuell abweichende aktuelle Ortszeit angezeigt werden m ssen Sie unter Zeitzone in POSIX 1 Notation s u den entsprechenden Eintrag machen Anzeige des aktuellen NTP Status Aktiviere NTP Zeitsynchronisation Ja Nein Sobald das NTP aktiviert ist bezieht der mGuard die Zeit aus dem Internet und zeigt diese als aktuelle Systemzeit an Die Synchronisation kann einige Sekun den dauern Nur wenn dieser Schalter auf Ja steht und unter NTP Server zur Synchronisation s u mindestens 1 Zeitserver angegeben ist wird die aktuelle Systemzeit ber das Internet bezogen NTP Server zur Synchronisation Geben Sie hier einen oder mehrere Zeitserver an von denen der mGuard die ak tuelle Zeitangabe beziehen soll Falls Sie mehrere Zeitserver angeben verbindet sich der mGuard automatisch mit allen um die aktuelle Zeit zu ermitteln BO Wenn Sie statt einer IP Adresse einen Hostnamen z B pool ntp org ange ben muss ein g ltiger DNS Server festgelegt sein siehe Dienste DNS auf Seite 58 DO Arbeitet der mGuard im Router PPPoE oder PPTP Modus stellt er auch den angeschlos
20. Pack 2 installiert sein e Befindet sich die Gegenstelle hinter einem NAT Router so muss die Gegen stelle NAT T unterst tzen Oder aber der NAT Router muss das IPsec Proto koll kennen IPsec VPN Passthrough In beiden F llen sind aus technischen Gr nden nur IPsec Tunnel Verbindungen m glich VPN gt A ke Verbindungen rity E nolggies AG Security Appliance VPN gt Verbindungen av Name a z bus Editieren ji Neustart ji L schen SE Tee es Listet die eingerichteten VPN Verbindungen auf S Sie k nnen jede einzelne Verbindung aktivieren Aktiv Ja oder deak tivieren Aktiv Nein VPN Verbindung l schen Klicken Sie neben dem betreffenden Eintrag L schen Klicken Sie abschlie end OK Neue VPN Verbindung einrichten Klicken Sie Neu Geben Sie der Verbindung einen Namen und klicken Sie Editieren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK VPN Verbindung bearbeiten Klicken Sie neben der betreffenden Verbindung die Schaltfl che Editie ren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK VPN Verbindung neu starten Klicken Sie auf Neustart um die bestehende Verbindung zu beenden und erneut aufzubauen 46 von 93 ate ity Technologies AG Security Appliance Innominate mGuard VPN gt Verbindungen gt Verbindung harlock Netzwerk gt Firewall VPN Verbindungen
21. SSH Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja DO Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Firewall Regeln so zu setzen dass von au en auf den mGuard zugegriffen werden kann Port f r SSH Verbindungen nur Fernzugang Standard 22 Sie k nnen einen anderen Port festlegen Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 22 festgelegt dann muss bei der entfernten Gegenstelle im SSH Client z B PuTTY oder OpenSSH diese Port Nummer evtl nicht angegeben werden Bei einer anderen Port Nummer z B 22222 ist diese anzugeben z B ssh p 22222 123 456 789 21 Firewall Regeln zu Freigabe des SSH Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines SSH Fernzugriffs SF Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fernzu gang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Interface extern fest vorgegeben Aktion M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abw
22. Zt etwa 3 MByte Es werden nur die auf dem Update Server aktualisierten Dateien nachgeladen AVP Update Server Liste Sie k nnen die Server ausw hlen von denen der Update der Virensignaturda tei geladen werden soll Ein Standardserver ist bereits voreingetragen Sie k nnen bei Bedarf eigene Server angeben BO Die Liste der Server wird priorisiert von oben nach unten abgearbeitet bis ein verf gbarer Server gefunden wurde L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Der Update der Virensignaturdateien kann entweder per FTP oder HTTP er folgen Server Adresse FODN oder IP Adresse des Servers inklusive des vollen Pfadnamens des Ver zeichnisses in der sich die Signaturdateien befinden Login Login f r den Server Beim Update mittels HTTP Protokoll ist eine Angabe des Logins u U nicht erforderlich Passwort Passwort f r den Login Beim Update mittels HTTP Protokoll ist eine Anga be des Logins u U nicht erforderlich 41 von 93 Proxy Einstellungen f r AND Datenbank Updates Wenn der mGuard hinter einer Firewall ist die HTTP oder FTP Verbindungen nur ber einen Proxy Server erlaubt k nnen in den folgenden Zeilen die entspre chenden Proxies angegeben werden Damit der Proxy Server verwendet wird m ssen die Felder HTTP bzw FTP Proxy Server und Port ausgef llt sein Dam
23. als Hostnamen Modus die Op tion Nutzer definiert gew hlt werden Provider definiert z B via DHCP Wenn der Netzwerkmodus ein externes Setzen des Hostnamens erlaubt wie z B bei DHCP dann wird der vom Provider bermittelte Name f r den mGuard gesetzt Ist unter Hostnamen Modus die Option Nutzer definiert ausgew hlt dann tragen Sie hier den Namen ein den der mGuard erhalten soll Sonst d h wenn unter Hostnamen Modus die Option Provider definiert z B via DHCP ausgew hlt ist wird ein Eintrag in diesem Feld ignoriert Domain Suchpfad Erleichtert dem Benutzer die Eingabe eines Domain Namens Gibt der Benutzer den Domain Name gek rzt ein erg nzt der mGuard seine Eingabe um den ange gebenen Domain Suffix der hier unter Domain Suchpfad festgelegt wird Benutzte Nameserver 58 von 93 M glichkeiten Root Nameserver Provider definiert Nutzer definiert Root Nameserver Anfragen werden an die Root Nameserver im Internet gerichtet deren IP Adressen im mGuard gespeichert sind Diese Adressen ndern sich selten Provider definiert z B via PPPoE oder DHCP Es wird der Domain Name Server des Internet Service Providers benutzt der den Zugang zum Internet zur Verf gung stellt W hlen Sie diese Einstellung nur wenn der mGuard im PPPoE im PPTP Modus oder im Router Modus mit DHCP arbeitet Nutzer definiert unten stehende Liste Ist diese Einstellung gew hlt nimmt der mGuard mit den Domain Name Ser vern V
24. ber das Internet erreichbar sein muss er eine Adresse haben die der entfernten Gegenstelle bekannt sein muss Nur so kann diese die Verbindung zum lokalen Rechner aufbauen Wenn die Adresse des lokalen Rechners aber st ndig wechselt ist das nicht m glich Es sei denn der Betreiber des lokalen Rechners hat ein Account bei einem DynamicDNS Anbieter DNS Domain Name Server Dann kann er bei diesem einen Hostnamen festlegen unter dem der Rechner k nftig erreichbar sein soll z B www example com Zudem stellt der Dyna micDNS Anbieter ein kleines Programm zur Verf gung das auf dem betreffen den Rechner installiert und ausgef hrt werden muss Bei jeder Internet Sitzung des lokalen Rechners teilt dieses Tool dem DynamicDNS Anbieter mit welche IP Adresse der Rechner zurzeit hat Dessen Domain Name Server registriert die aktuelle Zuordnung Hostname IP Adresse und teilt diese anderen Domain Name Servern im Internet mit Wenn jetzt ein entfernte Rechner eine Verbindung herstellen will zum lokalen Rechner der beim DynamicDNS Anbieter registriert ist benutzt der entfernte Rechner den Hostnamen des lokalen Rechners als Adresse Dadurch wird eine Verbindung hergestellt zum zust ndigen DNS Domain Name Server um dort die IP Adresse nachzuschlagen die diesem Hostnamen zurzeit zugeordnet ist Die IP Adresse wird zur ck bertragen zum entfernten Rechner und jetzt von diesem als Zieladresse benutzt Diese f hrt jetzt genau zum gew nschten loka
25. das sich auf der CD befindet Gehen Sie dazu wie folgt vor 1 Ist der Windows Rechner an einem Netzwerk angeschlossen trennen Sie ihn von diesem 2 Kopieren Sie die Software in einen beliebigen leeren Ordner des Windows Rechners Starten Sie das Programm TFTPD32 EXE 3 Die festzulegende Host IP lautet 192 168 10 1 Das muss auch die Adresse f r die Netzwerkkarte sein Klicken Sie die Schaltfl che Browse um auf den Ordner zu wechseln wo die mGuard Imagedateien gespeichert sind install p7s jffs2 img p7s Die Image Dateien be finden sich auch auf der Curent Directoy Ein Browse CD die zum Lieferum 8 Server interface 192 168 10 1 v Show Dir fang geh rt Titp Server DHCP server Revd DHCP Discover Msg for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 694 DHCP proposed address 192 168 10 200 26 11 09 41 19 694 Revd DHCP Rast Msg for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 704 Previously allocated address acked 26 11 09 41 19 714 Connection received from 192 168 10 200 on port 1024 26 11 09 41 19 774 Read request for file lt install p s gt Mode octet 26 11 09 41 19 774 lt install p s gt sent 4 blks 2048 bytes in 1 s 0 blk resent 26 11 09 41 20 786 Connection received from 192 168 10 200 on port 1024 26 11 09 43 17 053 Read request for file lt jffs2 img p7s gt Mode octet 26 11 09 43 17 053 lt iffs2 img p s gt sent 14614 blks 7482368 bytes in 11 s 0 blk resent 2
26. dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung 5 12 Men Features Features gt Instal liere Update Lesen Sie die README Datei 70 von 93 Security Appliance Features gt Installiere Update z 3 Browse installiere Pakete installiere Package Set Voraussetzung Sie haben ein aktuelles Software Paket entweder lokal auf Ihrem Konfigurations Rechner gespeichert haben ODER ber einen entfernten Server zur Verf gung gestellt bekommen Ob und auf welche Weise Sie an ein Software Update gelangen k nnen er fragen Sie bei Ihrem Distributor Sie d rfen w hrend des Updates auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte ansonsten besch digt wer den und nur noch durch den Hersteller reaktiviert werden Haben Sie ein aktuelles Software Update auf Ihrem Konfigurations Rechner ge speichert gehen Sie wie folgt vor 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Pakete klicken um sie in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem System Update ein Reboot erforderlich sein wir
27. des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 5 3 Fernkonfiguration Voraussetzung Fernkonfiguration durchf hren Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst BO Standardm ig ist die M glichkeit zur Fernkonfiguration ausgeschaltet Um die M glichkeit zur Fernkonfiguration einzuschalten siehe Abschnitt Zu gang HTTPS auf Seite 66 Um von einem entfernten Rechner aus den mGuard zu konfigurieren stellen Sie von dort die Verbindung zum lokalen mGuard her Gehen Sie wie folgt vor 1 Starten Sie dazu auf dem entfernten Rechner den Web Browser z B Fire fox MS Internet Explorer oder Safari der Web Browser muss SSL d h https unterst tzen 2 Als Adresse geben Sie an Die IP Adresse unter der die Gegenstelle ber das Internet bzw WAN erreichbar ist zus tzlich die Port Nummer Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser folgende Adresse angegeben werden 123 456 789 21 Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B 123 456 789 21 442 B gt Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Zugang Passworte auf Seite 65 5 4 Arbeiten mit Tabellen Einf gen von Zeile
28. erweiterbar max 10 erweiterbar max 250 IPsec L2TP Server v v SNMP v v Remote Logging v v Support Bei Problemen mit Ihrem mGuard smart wenden Sie sich bitte an Ihren H ndler Zus tzliche Informationen zum Ger t sowie Release Notes und Software Up dates finden Sie unter folgender Internet Adresse http www innominate de 5 von 93 2 Typische Anwendungsszenarien Stealthmodus Netzwerkrouter DMZ 6 von 93 Nachfolgend werden h ufige und typische Anwendungsszenarien skizziert P Firewall AntiVirus VPN Im Stealth Modus Werkseinstellung Kann der mGuard zwischen einen einzel nen Rechner und das brige Netzwerk gesetzt werden Die Einstellungen f r Firewall AntiVirus und VPN k nnen mit einem Web browser unter der URL https 1 1 1 1 vorgenommen werden Auf dem Rechner selbst m ssen keine Konfigurations nderungen durchgef hrt werden Intranet DSL Modem Internet oder Router H 7 C A Seed Firewall HQ Der mGuard kann f r mehrere Rechner als Netzwerkrouter die Internetanbind ung bereitstellen und das Firmennetz dabei mit seiner Firewall sch tzen Dazu kann einer der folgenden Netzwerk Modi des mGuard genutzt werden e Router wenn der Internet Anschluss z B ber einen DSL Router oder eine Standleitung erfolgt e PPPoE wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPPoE Protokoll verwendet wird
29. folgendes Dialogfeld angezeigt wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen folgende IP Adresse 192 168 Subnetzmaske a5 255 Standardgateway 192 168 Hier die IP Adresse des Standardgateway nachschlagen oder festlegen Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server Falls in diesem Dialogfeld keine IP Adresse des Standardgateway angegeben ist z B weil IP Adresse automatisch beziehen aktiviert ist dann geben Sie eine IP Adressen manuell ein Dazu aktivieren Sie zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 BO Auf keinen Fall dem Konfigura Subnetzmaske 255 255 255 0 tions Rechner eine Adresse wie Standardgateway 192 168 1 1 1 1 1 2 geben Auf DOS Ebene Men Start Alle Programme Zubeh r Eingabeauffor derung geben Sie ein arp s lt IP des Standardgateway gt aa aa aa aa aa aa Beispiel Sie haben als Standardgateway Adresse ermittelt oder festgelegt 192 168 1 1 Dann lautet der Befehl arp s 192 168 1 1 aa aa aa aa aa aa Zur Konfiguration stellen Sie jetzt die Konfigurationsverbindung her si
30. min auto Zeigt eine Zusammenfassung verschiedener Statusinformationen f r Support Zwecke Netzwerk Modus Externe IP Default Gateway Betriebsart des mGuard Stealth Router PPPoE oder PPTP Die IP Adresse des mGuard an seinem Anschluss f r das externe Netz WAN bzw Internet Im Stealth Modus bernimmt der mGuard die Adresse des lokal angeschlossenen Rechners f r diese Schnittstelle Hier wird die IP Adresse angezeigt ber die der mGuard versucht ihm unbekannte Netze zu er reichen Im Stealth Modus oder falls die in der Konfiguration angegebene IP nicht erreichbar ist steht hier none VPN Total Used Up VPN Nutzeranmeldung DynDNS Anmeldung HTTPS Fernzugang SSH Fernzugang NTP Status Softwareversion Systemlaufzeit Sprache M glichkeiten Total Used Up Total Insgesamt eingerichtete VPN Verbindun gen Used Benutzte VPN Verbindungen Up Gegenw rtig aktive VPN Verbindungen M glichkeiten N A Nicht verf gbar not available not logged in VPN gesperrt logged in VPN freigeschaltet M glichkeiten none Angabe des DynDNS Server failure trying none Kein DynDNS Server angegeben Angabe des DynDNS Server Adresse des DynDNS Servers den der mGuard zum Registrieren seiner IP benutzt failure Der mGuard versucht vergeblich eine Verbindung zum DynDNS Server herzustel len trying Der mGuard versucht gerade eine Ver bindung zum DynDNS Ser
31. protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Zugang gt SSH Te j ity Technologies AG Security Appliance Innominate mGuarcl Netzwerk P Firewall Zugang gt SSH gt Antivirus Aktiviere SSH Femzugang a si SEN Port f r SSH Verbindungen nur Femzugang DD Firewalregeh zu Freigabe des SSH Zugritis E var we an _ is f hung exten gt Annehmen Nein Diese Ragen gestatten es SSH Fernzugriff zu aktivieren Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Femzugritis muss der Adressbereich mit entsprechenden Firewalregel freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Part nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Porttorwarding hat die hier eingestellte Porinummer Priort tgregen ber Regel zum Parttorwarding Bei eingeschaltetem SSH Fernzugang kann der mGuard von einem entfernten Rechner aus ber die Kommandozeile konfiguriert werden Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass ein si cheres Root und Administrator Passwort festgelegt ist 67 von 93 Um SSH Fernzugang zu erm glichen machen Sie folgende Einstellungen Aktiviere SSH Fernzugang Ja Nein Wollen Sie
32. versehen zur VPN Gateway der Gegenstelle dem Tunnelende gesendet Dort werden die bertragenen Da tagramme entschliisselt und aus ihnen die urspriinglichen Datagramme wie derhergestellt Diese werden dann zum Zielrechner weitergeleitet Transport Host gt Host Bei diesem Verbindungstyp werden nur die Daten der IP Pakete verschliis selt Die IP Header Informationen bleiben unverschliisselt Transport L2TP Microsoft Windows Transport L2TP SSH Sentinel Ist beim entfernten Rechner der Verbindungstyp IPsec L2TP aktiviert dann setzen Sie den mGuard auch auf Transport L2TP Microsoft Windows f r l tere Microsoft Windows Versionen bzw Transport SSH Sentinel f r den SSH Sentinel Client oder neuere Microsoft Windows Versionen oder Service Packs Innerhalb der IPsec Transport Verbindung schafft das L2TP PPP Protokoll einen Tunnel Dem extern angeschlossenen IPsec L2TP Rechner wird seine IP Adresse vom mGuard dynamisch zugewiesen Aktivieren Sie dazu auch den L2TP Server des mGuards B gt Bei Verwendung eines Microsoft Windows Clients setzen Sie Perfect For ward Secrecy PFS auf Nein siehe unten BO Sobald unter Windows die IPsec L2TP Verbindung gestartet wird erscheint ein Dialogfeld das nach Benutzername und Login fragt Sie K nnen dort be liebige Eintr ge machen denn die Authentifizierung erfolgt bereits ber die X 509 Zertifikate so dass der mGuard diese Eingaben ignoriert Verbindungsinitiierung Es gib
33. von 93 Antivirus gt Daten bank Update Nicht scannen Der Virenfilter ist fiir die in dieser Regel angegebenen Server deaktiviert a N ity Technologies AG Security Appliance Iorin Be Antivirus gt Datenbank Update Netzwerk P Firewall antivirus Update Intervall Nie or a AVP Update Server Liste ri ean ax Pett a a NET gt 7 Te stenkank date Be el lge z lownloads1 kaspersky labs fnonymous E Lizenzanforderung Installere Lizenz el few a kiownioads2 kaspersky Iabs fnorymous Virus Logs pte Looe el lge z ownioads3 kaspersky iabs Enonymaus Fe VPN Miete el tex a kiownioads4 kaspersky labs fnonymous Fees gt Good Proxy Einstellungen f r AVP Datenbank Updates gt Support HTTP Proxy Server Pot ton Passwort P System I TE PrO Sever l ien Passwort Powered by Die Virensignaturdateien k nnen durch einen einstellbaren Update Server in ei nem nutzerdefinierten Intervall aktualisiert werden Das Update geschieht paral lel zur Nutzung des Antivirenfilters Im Auslieferungszustand befinden sich keine Virensignaturen auf dem mGuard Deshalb sollte nach dem Aktivieren des Antiviren Schutzes mit der entsprechenden Lizenz auch das Update Intervall eingestellt werden Der Verlauf des Updates kann im Antivirus Update Log ver folgt werden Update Intervall Mit dieser Option w hlen Sie das Aktualisierungsintervall der Signaturdatei en Die Gr e der Datei betr gt z
34. z B in Deutschland e PPTP wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPTP Protokoll verwendet wird z B in sterreich Bei Rechnern im Intranet muss der mGuard als Defaultgateway festgelegt sein Intranet Internet Server Firewall Eine DMZ Demilitarized Zone deutsch entmilitarisierte Zone ist ein gesch tz tes Netzwerk das zwischen zwei anderen Netzen liegt Z B kann sich die Web pr senz einer Firma so in der DMZ befinden dass nur aus dem Intranet heraus mittels FTP neue Seiten auf den Server kopieret werden k nnen der lesende Zugriff per HTTP auf die Seiten jedoch auch aus dem Internet heraus m glich ist VPN Gateway WLAN ber VPN Die IP Adressen innerhalb der DMZ k nnen ffentlich sein oder aber privat wobei der mit dem Internet verbundene mGuard die Verbindungen mittels Port forwarding an die privaten Adressen innerhalb der DMZ weiterleitet AuBenstelle Internet HQ Mitarbeitern einer Firma soll ein verschliisselter Zugang zum Firmennetz von zu Hause oder von unterwegs aus zur Verf gung gestellt werden Der mGuard bernimmt dabei die Rolle des VPN Gateways Auf den externen Rechnern mu dazu eine IPsec f hige VPN Client Software installiert werden bzw das Betriebssystem mu diese Funktionalit t bereits unterst tzen wie z B Windows 2000 XP Lcpl CG Internet YOZ Z 89L Z
35. 0000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Beispiel 192 168 1 0 255 255 255 0 entspricht im CIDR 192 168 1 0 24 5 16 Netzwerk Beispielskizze Die nachfolgende Skizze zeigt wie in einem lokalen Netzwerk mit Subnetzen die CIDR 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 HA MG DO 09 CH 79 von 93 IP Adressen verteilt sein k nnten welche Netzwerk Adressen daraus resultieren und wie die Angabe einer zus tzlichen internen Route lauten k nnte Internet Adresse von extern z B 123 456 789 21 vom Internet Service Provider zugewiesen mGuard im Netzwerk Modus Router Interne Adresse des mGuard 192 168 11 1 Netz A Netzadresse 192 168 11 0 24 N Maske 255 255 255 0 RI on cn Gei Ge Ga Ge IP extern 192 168 11 2 gt AD 4 IP intern 192 168 15 254 N Maske 255 255 255 0 Netz B Netzadresse 192 168 15 0 24 N Maske 255 255 255 0 Router IP extern 192 168 15 1 gt IP intern 192 168 27 254 e N Maske 255 255 255 0 Netz C N
36. 23 3 1 Rein rechnerisch kann es nur maximal 126 Class A Netze auf der Welt geben jedes dieser Netze kann maximal 256 x 256 x 256 Hosts umfassen 3 Bytes Adressraum Class B Netze k nnen 64 x 256 mal vorkommen und k nnen je weils bis zu 65 536 Hosts enthalten 2 Bytes Adressraum 256 x 256 Class C Netze k nnen 32 x 256 x 256 mal vorkommen und k nnen jeweils bis zu 256 Hosts enthalten 1 Byte Adressraum Subnetz Maske Einem Unternehmens Netzwerk mit Zugang zum Internet wird normalerweise nur eine einzige IP Adresse offiziell zugeteilt z B 123 456 789 21 Bei dieser Beispiel Adresse ist am 1 Byte erkennbar dass es sich bei diesem Unterneh mens Netzwerk um ein Class B Netz handelt d h die letzten 2 Byte k nnen frei zur Host Adressierung verwendet werden Das ergibt rein rechnerisch einen Adressraum von 65 536 m glichen Hosts 256 x 256 Ein so riesiges Netz macht wenig Sinn Hier entsteht der Bedarf Subnetze zu bil den Dazu dient die Subnetz Maske Diese ist wie eine IP Adresse ein 4 Byte lan ges Feld Den Bytes die die Netz Adresse repr sentieren ist jeweils der Wert 255 zugewiesen Das dient vor allem dazu sich aus dem Host Adressenbereich einen Teil zu borgen um diesen zur Adressierung von Subnetzen zu benutzen So kann beim Class B Netz 2 Byte f r Netzwerk Adresse 2 Byte f r Host Adresse mit Hilfe der Subnetz Maske 255 255 255 0 das 3 Byte das eigentlich f r Host Adressierung vorgesehen war jet
37. 5 2 Lokale Konfigurationsverbindung herstellen 0 2000sssssseessessnsensnnennsennnnnnnennnnn 14 Web basierte Administratoroberflache 0 0 00 eccccecseceeeceeeeeeceeeeeaecesaeceaaeceeaeeeeeeenaes 14 Bei erfolgreichem Verbindungsaufbau 2222202240200220nesnennnnnnnnesnnennnnnnnennennnn en 15 Konfiguration durchtf bren ernennen 15 5 3 Berkonbgutrgtten eegne s NR dE EENS 16 Ke 16 Fernkonfiguration durchf hren 220220022002 sn0rnnesnnennennnnennesnnensennsnenn ernennen 16 3 4 Arbeitenmit Tabellen eiser SEENEN isn eine 16 Einf gen von TEEN 16 Verschieben von Zeilen EE EENEG 16 Loschen von Zeilen Alan Rene ier Den Kate testen Ee 17 Se DEE E EE 17 56x Men Netz werk aniio aeia aED N EEEE AE EEEE E ae ie 18 Netwerk Bass nn seen ma 18 Netzer tegt enge a EE Seet DE DEA 20 Netzwerk gt ROUtE 2 22 en dee eege ec 21 Netzwerk gt PPPOE nri ee en a run 22 Netzwerk E SEET 22 Netzwerk gt MAU Konfiguration nur mGuard Enterprise 23 Netzwerk EES ee ee tee ege oases tee eect ee eaten ee 24 Keser ONE 25 Firewall gt Eingehen nee een 25 Ereegnes ege He Firewall gt Port Weiterleitung ae eh unkaidohkn 27 SUE E EE 29 Firewall gt LI NAT een all sah 29 Firewall gt Erweiterte Einstellungen nase ehe 30 Firewall TT 31 538 1 Men Antivir sn esta Bf EEE seems a e ea are a pioi aia 33 1 von 93 Inhalt Kaspersky meeega EE EE E EE 33 Unterst tzte Kompressionsformate nn en nn 33 Voraus
38. 6 11 09 43 28 008 gt Current Action Kits2 ima p s gt sent 14614 blks 7482368 bytes in 11 s 0 blk resent ston Hee 4 Wechseln Sie auf die Registerkarte Tftp Server bzw DHCP Server und klik ken Sie dann die Schaltfl che Settings um im dann angezeigten Dialogfeld die Parameter wie folgt zu setzen gt Tftpd32 Settings Exi gt Tftpd32 by Ph Jounin ez 5 x Base Directory A Current Directory Een Browse Em Browse e Server interface 192 168 10 1 D Show Dir DHCP Save syslog message Titp Server write File Sa IP pool starting address 792 168 10 200 Size of pool 130 r Global Settings IV TFTP Server Syslog Server 7 TFTP Clet IV DHCP Server Syslog server r ne Ga deng configuration Boot File EEE a Standard eege CB WINS DNS Server 0 0 0 0 v C High ee 6 Default router OT F 9 Tftp port 69 Ge Read Only Mask 255 255 255 0 Advanced TFTP Options Domain Name IV Option negotiation 7 Hide Window at startup IV Show Progress bar I Create dir txt files I Translate Unix file names J Beep for long tranfer JV Use Tftpd32 only on this interface LEZALEALNS I Use anticipation window of fp Bytes I Allow NW As virtual root Default Help Cancel 84 von 93 Unter Linux Alle aktuellen Linux Distributionen enthalten DHCP und TFTP Server Instal lieren Sie die entsprechenden Pakete gem der Anleit
39. 6L Zr gl z l ELIL ZZ 9 ZZ SL gL z l YOZ 1891 Z6L un Hauptgbd 192 168 1 0 24 192 168 2 0 24 WLAN Zwei Geb ude einer Firma sollen ber eine mit IPsec gesch tzte WLAN Strecke miteinanderverbunden werden Vom Nebengeb ude soll zudem der Internetzugang des Hauptgeb udes mitgenutzt werden k nnen In diesem Beispiel wurden die mGuards in den Routermodus geschaltet und f r das WLAN ein eigenes Netz mit 172 16 1 x Adressen eingerichtet Da vom Nebengeb ude aus das Internet ber das VPN erreichbar sein soll wird hier eine Default Route ber das VPN eingerichtet Verbindungstyp Tunnel Netz lt gt Netz Adresse des lokalen Netzes 192 168 2 0 Die dazugeh rige Netzmaske 255 255 255 0 Adresse des gegentiberliegenden Netzes 0 0 0 0 Die dazugeh rige Netzmaske 0 0 0 0 Im Hauptgeb ude wird das entsprechende Gegenst ck der Verbindung 7 von 93 8 von 93 konfiguriert Verbindungstyp Tunnel Netz lt gt Netz Adresse des lokalen Netzes 0 0 0 0 Die dazugeh rige Netzmaske 0 0 0 0 Adresse des gegen berliegenden Netzes 192 168 2 0 Die dazugeh rige Netzmaske 255 255 255 0 Die Default Route eines mGuards fiihrt normalerweise immer tiber das externe Interface In diesem Fall f hrt der Weg ins Internet und somit auch die Default Route ber die IP 192 168 1 253 Dazu mu beim mGuard im Hauptgeb ude unter Netzwerk gt Basis eine interne Default Route definiert wer
40. 70 default bridge utils D 095 default busybox 0 0 65 0 default dibans D 1 5 0 default ebtables D 030 default ez ipupdate D 3 0 12 default fnord D 192 default freeswan D 1 107 3 default gai 0 0 143 default iproute D 18 24 default iptables D 13 0 default ing D 0 14 default libe D 240 default libgmp 0 321 default linux D 44 15 default mguard kase o 0 8 4 default Listet die im Ger t befindlichen Software Module auf Diese werden als Pakete bezeichnet Dient f r Update Zwecke Vergleichen Sie die angezeigten Versionsnummern mit den aktuellen Versionsnummern der entsprechenden Pakete Bitte wenden Sie sich dazu an Ihren Distributor Falls neue Versionen verf gbar sind k nnen Sie die Software im Ger t updaten Siehe Features Installiere Update auf Seite 70 Features gt Lizenz information Nur Anzeige Innominate mGuard P Netzwerk P Firewall gt Antivirus DVPN gt Dienste gt Zugang Features Instaliere Update Update Server Installiere Lizenz Softwareinformation iizenzinformation lizenzanforderung Hardwareinformation P support P system Beurity Technologies AG Security Appliance Features gt Lizenzinformation m uard Flash ID coosconesfasches 0260 License with priority 1089906020 licence_id o licence date 2004 07 15T 15 40 20 flash_id 000c00083125db66 serial_number 123TEST8 hardware_revision 000007dc licence_order 082 product_code 51021 vpn_channels 10 I2tp_server 1
41. Aktiv eiert Adresse des VPN Gateways der Gegenstelle Eine IP Adresse ein Hostname oder Xany IPsec Status u ER GE Authentisierungsverfahren b Dienste Verbindungstyp reeeo SE Verbindungsinitiierung Wird im Stealth Modus ignoriert Were tg a _ Tunnel Einstellungen pie aras es aion is Die vite f r den lt in Steatmades Die Adresse des gegen berliegenden Netzes Dtm Firewall eingehend ungesicherter Port PT em vor vorm mar mare ae tr PS ul LEE poco be pooo faves fa Log Eintr ge f r unbekannte Verbindungsversuche Ip d Firewall ausgehend gesicherter Port PS emo vor vorm nam marm mie T 10 Log Eintr ge f r unbekannte Verbindungsversuche nen Alle Verbindungen ok Hinweis In Abh ngigkeit von der Hardware und der Softwareversion werden einige Algorithmen durch Hardware oder Software realisiert so dass sich deutliche Durchsatzunterschiede ergeben k nnen Ein beliebiger Name f r die VPN Verbindung Sie k nnen die Verbindung frei benennen bzw umbenennen Aktiv Legen Sie fest ob die Verbindung aktiv Ja sein soll oder nicht Nein Adresse des VPN Gateways der Gegenstelle Internet VPN Gatewa der Gegenstelle e Die Adresse des bergangs zum privaten Netz in dem sich der entfernte Kommunikationspartner befindet e Falls der mGuard aktiv die Verbindung zur entfernten Gegenstelle initiieren und aufbauen soll oder sich im Stealth Modus befindet dann geben Sie h
42. Datagramme vollst ndig gesch tzt Bei der Network Address Translation NAT oft auch als P Masquerading be zeichnet wird hinter einem einzigen Ger t dem sog NAT Router ein ganzes Netzwerk versteckt Die internen Rechner im lokalen Netz bleiben mit ihren IP Adressen verborgen wenn Sie nach au en ber die NAT Router kommuni zieren F r die Kommunikationspartner au en erscheint nur der NAT Router mit seiner eigenen IP Adresse Damit interne Rechner dennoch direkt mit externen Rechnern im Internet kom munizieren k nnen muss der NAT Router die IP Datagramme ver ndern die von internen Rechnern nach au en und von au en zu einem internen Rechner ge hen Wird ein IP Datagramm aus dem internen Netz nach au en versendet ver ndert der NAT Router den UDP bzw TCP Header des Datagramms Er tauscht die Quell IP Adresse und den Quell Port aus gegen die eigene offizielle IP Adresse und einen eigenen bisher unbenutzen Port Dazu f hrt er eine Tabelle die die Zuordnung der urspr nglichen mit den neuen Werten herstellt Beim Empfang eines Antwort Datagramms erkennt der NAT Router anhand des angegebenen Zielports dass das Datagramm eigentlich f r einen internen Rech ner bestimmt ist Mit Hilfe der Tabelle tauscht der NAT Router die Ziel IP Adresse und den Ziel Port aus und schickt das Datagramm weiter ins interne Netz Bei den Protokollen UDP und TCP wird jedem Teilnehmer eine Portnummer zu geordnet ber sie ist es m g
43. HTTP Protokoll ist eine Angabe des Logins u U nicht erforderlich L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Features gt Instal liere Lizenz ity Technologies AG Security Appliance Innominate mGuard P Netzwerk Features gt Installiere Lizenz letzwerk P Firewall DvPn gt Dienste Instaliere Lizenzciatei P zugang Features Instaliere Update U ver inataliere Lizenz Softwareinformation Lizenzinformation Lizenzanforderung Harchwareinformation gt Support P System Voraussetzung Sie haben von Ihrem Distributor eine Lizenzdatei f r den mGuard erworben und haben diese Datei auf dem Konfigurations Rechner ge 71 von 93 speichert Installieren Sie die Lizenzdatei wie folgt 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Lizenzdatei klicken um sie in das Ger t zu laden Features gt Software information Nur Anzeige Innominate mGuard Netzwerk gt Firewall gt Antivirus DvPN gt Dienste P Zugang Yreatures Instaliere Update Update Server Instaliere Lizenz Softwareinformation Lizenzinformation Lizenzanforderung Hardwareinformation gt Support System ity Technologies AG EE Security Appliance Features gt Softwareinformation Version 2 2 0 beta01 default Basis 2 2 0 betaD1 default Updates none Paket Versionen avp D 033 default bootloader D 0
44. Innominate mGuard smart Benutzerhandbuch mGuard smart Software Release 2 3 0 Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Tel 49 0 800 366 4666 info innominate com www innominate com Innominate Security Technologies AG Juni 2005 Innominate und mGuard sind registrierte Handelsnamen der Innominate Security Technologies AG Die mGuard Technologie ist durch das Patent 10138865 erteilt durch das Deutschen Patentamt gesch tzt Weitere Patente sind angemeldet Weder das Gesamtdokument noch Teile davon d rfen ohne schriftliche Genehmigung bertragen oder kopiert werden Die Innominate AG beh lt sich das Recht vor jederzeit und ohne Benachrichtigung dieses Dokument zu ver ndern Innominate bernimmt keine Gew hrleistung f r diese Unterlagen Dies gilt ohne Einschr nkung auch f r die stillschweigende Zusicherung der Verk uflichkeit und der Eignung f r einen bestimmten Zweck Innominate bernimmt ferner keine Haftung f r Fehler im vorliegenden Handbuch sowie f r zuf llige oder Folgesch den im Zusammenhang mit der Lieferung Leistung oder Verwendung dieser Unterlagen Ohne die vorherige schriftliche Zustimmung der Innominate Security Technologies AG darf dieses Handbuch weder teilweise noch vollst ndig fotokopiert vervielf ltigt oder in eine andere Sprache bersetzt werden Innominate Dokumentennummer 552308 135 Inhalt Inhalt BR EAM OU Ke S EE AA co
45. MP nur mGuard smart enterprise cceecseesceseeeetecseeeceeeeeeaeeneeee 69 3 12 Ment Features EE 70 Features gt Installiere Updates 70 Features gt Update Server uns Rebe 71 Features gt Installiere Lizenz 71 Features gt Softwareinformation u ueeseeseessessesnensensnnsnnnnnnnnneneensnnnnnen ernennen 72 Features gt Lizenztntormaton 72 Features gt Hardwareinformation s sssesseseseeeesreresosresessesesteseststesesteresesresestsrese 73 3 13 Men Support eege ed Lued eas Gade heed Rede ee eden ed 74 SUPPOr REECH 74 ees VC EE 74 9 14 Men System un masse an Ban nee Ae He System gt EE EE EE EE 76 System gt Konfiguration holen EE 77 KE EE ee ee ee 77 System D EEN 78 5 15 CIDR Classless InterDomain Routing ssssssssssssssssessesssesssssssessssssessseestesseessesseesseeseessees 79 5 16 Netzwerk Beispielskizz amp unse en E e A R E a a 79 6 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware 81 DL Neustart durchf hren rererere snene 22h et EN EES E ERREEN E E ae a a aae eniai 81 6 2 Recovery Prozedur ausf hren oo eee eee eseeeseeseceseceeeeseeeeaeceaeeeceeeeeseeeaeesaecsaeeeseseeeeenees 81 2 von 93 Inhalt Inhalt 6 3 El shen e Hessen 82 Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server 83 6 3 1 DHCP und TFTP Server unter Windows bzw Linux installieren 0 0 84 Winter WINdOW
46. Optio nen e Sie k nnen versuchen das Abholen der E Mail zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig 36 von 93 deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein Kann bei Virusdetektion Benachrichtigung per E Mail Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine E Mail benachrichtigt Fehlermeldung an den E Mail Client Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine Feh lermeldung an den E Mail Client benachrichtigt BO Ist f r die E Mail Client Software die Option Gelesene E Mails auf dem Server l schen aktiviert so wird bei der Einstellung Benachrichtigung per E Mail die infizierte Mail auf dem Server gel scht da der E Mail Client da von ausgeht da die E Mail erfolgreich bertragen wurde Ist dies nicht ge w nscht wenn z B die infizierte E Mail auf anderem Weg heruntergeladen werden soll sollte ausschlie lich die Option Fehlermeldung an den E Mail Client genutzt werden bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird BO In diesem Fall findet keine
47. P Server angef gt werden an welche weitergeleitet wird IP Konfiguration bei Windows Clients Wenn Sie den DHCP Server des mGuard starten k nnen Sie die lokal ange schlossenen Clients so konfigurieren dass sie ihre IP Adressen automatisch beziehen Dazu klicken Sie unter Windows XP Start Systemsteuerung Netzwerk verbindungen Symbol des LAN Adapters mit der rechten Maustaste klik ken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschatten von LAN Verbindung lokales Netz auf der Registerkarte Allge mein unter Diese Verbindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigen schaften klicken Im Dialogfeld Eigenschaften von Internetprotokoll TCP IP die gebotenen Angaben bzw Einstellungen machen Dienste gt NTP Te j ity Technologies AG Security Appliance Dienste gt NTP Aktuelle Systemzeit UTC Sat Jan 1 00 05 49 UTC 2000 Aktuelle Systemzeit lokale Zeit Sat Jan 1 00 05 49 UTC 2000 NTP Status disabled Aktiviere NTP Zeitsneronistin NTP Server zur Synchronisation NTP Server Zeitzone in POSIX 1 notation Z B MEZ 1 innerhalb der EU oder MEZ IMESZ M3 5 0 M10 5 0 3 mit automatischem Wechsel von Sommer und Winterzeit z 5 l Zeitmarke im Dateisystem 2h Aufl sung Im Steatthmodus werden nur maximal zwei Zeitserver unterst tzt Weitere Zeilserver werden ignoriert NTP Network Time Protocoll deutsch
48. Protokoll das auch der mGuard unterst tzt W hlen Sie den Namen des Anbieters aus bei dem Sie registriert sind z B DynDNS org DynDNS Server Name des Servers des oben ausgew hlten DynDNS Anbieters z B dyndns org DynDNS Login DynDNS Passwort Geben Sie hier den Benutzernamen und das Passwort ein das Ihnen vom DynDNS Anbieter zugeteilt worden ist DynDNS Hostname Der f r diesen mGuard gew hlte Hostname beim DynDNS Service sofern Sie einen DynDNS Dienst benutzen und oben die entsprechenden Angaben gemacht haben Dienste gt DHCP 60 von 93 AG ZI Security Appliance moraer mGuerd Dienste gt DHCP wers Ld DHCP Server Optionen Dynamischen IP Adresspool aktivieren a zi mc ese u DHOP Bereichsantang 4 DHCP Bereichsende SG va ana sak wus Semer Statische Zuordnung MAC Adresse des Clients IP Adresse des Clients DHCP Relay Optionen D DHCP Server zu denen weitergeleitet werden soll Fe ey agen ont sa DHCP Dynamic Host Configuration Protocol Diese Funktion ordnet den lo kal am mGuard angeschlossenen Clients automatisch die gebotene Netzwerk konfiguration zu IP Adresse und Subnetzmaske DHCP Server Setzen Sie diesen Schalter auf Server wenn der mGuard als eigenst ndiger DHCP Server arbeiten soll Setzen Sie ihn auf Relay wenn der mGuard DHCP Anfragen an einen anderen DHCP Server weiterleiten soll Steht der Schalter auf Deaktiviert beantwortet der mGuard keine DHCP Anfra gen
49. Server listening on 0 0 0 0 port 22 gt Firewall i days 00 00 05 78021 klogd ip_conntrack version 2 1 512 buckets 4096 max 328 bytes per conntrack gt antivirus days 00 00 05 78144 root Using Packages linux_0 4 5 26 default modules kernel net ipv4 netfilter ip_connt ven days 00 00 05 81565 root Using Packages linux_0 4 5 26 default modules kernel net ipv4 netfilter ip_connt gt Dienste uptime 0 days 00 00 05 87689 klogd ctnetlink v0 12 registering with nfnetlink gt Zugang uptime 0 days 00 00 05 88867 root Using Packages Linux_0 4 5 26 default modules kernel net ipv4 netfilter nfnetlir gt Features uptime 0 days 00 00 05 95806 root Using Packages Linux_0 4 5 26 default modules kernel net ipv4 netfilter ip_connt 26 default nodules kernel net ipvd netfilter ipt_stat 26 default nodules kernel net ipv4 netfilter ip_connt 26 default nodules kernel net ipv4 netfilter ip_connt default nodules kernel net ipv4 netfilter iptable_ 26 default nodules kernel net ipv4 netfilter ipt_REDI 26 default modules kernel net ipv netfilter ip_connt 26 default nodules kernel net ipv4 netfilter ip_connt 26 default nodules kernel net ipv4 netfilter iptable_ 26 default nodules kernel net ipv4 netfilter ipt MAST system uptime 0 days 00 00 06 09804 root Using Packages linux_0 4 Konfigurations Profile uptime 0 days 00 00 06 15574 root Using Packages linux_0 4 Konfiguration Holen uptime 0 days 00 00 06 24618 roo
50. Sk nennen area ess 84 Unter LINUX a a ee ee e Ee 85 SE 86 Asymmetrische Verschl sselung 20 0 0 eeeeceseeseeescesseceeeeeeeeneeeseceaeceeeeeeeeneeaaeeaeen 86 DES SIDES geet CAE EE ere 86 nne eebe dee EE 86 E ME E 86 D t grammm 2 22 2 2 Eat een ig aena iaa a SA S 87 Dyn DNS A 2a enable beeen 87 LS 88 SE 89 NAT Network Address Translapon nennen 89 Port N mer enean see rl sn tan sin innen es 89 INN EE 89 PRU LE 90 Ke HERE ET EE 90 Protokoll Ubertragsungesprotokoll 90 Service Provider ar aa Amann an Tele 90 SPoohNg Antispookimg inziiseniisitteisinigeen Bes EEN EA 90 Symmetrische Verschl sselung nme 91 TCP IP Transmission Control Protocol Internet Drotocol ee 91 VPN Virtuelles Privates Netzwerk t nennen 91 8 Technische Daten sursonsonsonssnssnssnnsnnsnnsenssnnsnnssnssnnsnnsnnssnnsnnsnnsnnsunssnssnssnnsnnsnnssnnssnssnssnnsnnsnnsnnee 92 3 von 93 1 Einleitung e Der mGuard smart sichert IP Datenverbindungen Dazu vereinigt das Ger t folgende Funktionen VPN Router VPN Virtuelles Privates Netzwerk f r sichere Daten bertragung ber ffentliche Netze hardwarebasierte DES 3DES und AES Verschl sselung IPsec Protokoll e Konfigurierbare Firewall f r den Schutz vor unberechtigtem Zugriff Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs und Zieladresse und blockiert unerw nschten Datenverkehr e Kaspersky Virenschutz mit Unterst tzung f r die P
51. T Traversal patch Version 0 6 ven uptime 0 days 00 00 21 39942 pluto 2168 ike alg register_enc Activating OAKLEY DES CBC Ok ret 0 Verbindungen uptime 0 days 00 00 21 40033 pluto 2168 ike_alg_register_ene Activating OAKLEY AES CBC Ok ret 0 Maschinen Zertifikat uptime 0 days 00 00 21 43925 pluto 2168 Changing to directory etc ipsec d cacerts L2TP uptime 0 days 00 00 21 47526 pluto 2168 Changing to directory etc ipsec d erls IPsec Status uptine 0 days 00 00 21 57902 pluto 2168 listening for IKE messages L2TP Status uptime 0 days 00 00 21 58110 pluto 2168 adding interface ipsec0 eth0 10 1 0 152 SEN TORS uptime 0 days 00 00 21 58249 pluto 2168 adding interface ipsec0 eth0 10 1 0 152 4500 b Dienste uptine 0 days 00 00 21 58433 pluto 2168 loading secrets fron ete ipsec secrete P Zugang uptime 0 days 00 00 21 58840 pluto 2168 loaded private key file etc ipsec d private this host pen 1674 bytes P Features uptime 0 days 00 00 22 14888 pluto 2168 forgetting secrets P support uptime 0 days 00 00 22 14899 pluto 2168 loading secrets from etc ipsec secrets P system uptime 0 days 00 00 22 14909 pluto 2168 loaded private key file eto ipsec d private this host pen 1674 bytes uptime 0 days 00 00 22 14927 pluto 2168 uptime 0 days 00 00 22 15118 pluto 2168 2 uptime 0 days 00 00 28 23885 firestarter uptime 0 days 00 00 28 43225 firestarter uptime 0 days 00 00 30 39416 pluto 2168 uptime 0 days
52. achrichten zum mGuard werden verworfen Annehmen von Ping Nur Ping Nachrichten ICMP Typ 8 zum mGuard werden akzeptiert Alle ICMPs annehmen Alle Typen von ICMP Nachrichten zum mGuard werden akzeptiert Ist bei Festlegung von Firewall Regeln das Protokollieren von Ereignissen fest gelegt Log Ja dann k nnen Sie hier das Log aller protokollierten Ereignisse einsehen Das Format entspricht dem unter Linux gebr uchlichen Format 31 von 93 Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren 32 von 93 5 8 Men Antivirus Kaspersky Engine Unterst tzte Kom pressionsformate Voraussetzungen zur Nutzung Ablauf der Antivi rus Lizenz Dateigr en begrenzung Der Antivirus Funktion des Innominate mGuard sch tzt vor Viren die ber die Protokolle HTTP POP3 und SMTP versendet werden Die bertragenen Datenbl cke einer E Mail oder einer HTTP Verbindung wer den aus dem Datentransfer ausgefiltert falls notwendig dekomprimiert und durch den Kaspersky Virenfilter berpr ft Dazu wird f r jedes unterst tzte Protokoll eine Port Redirection Regel in die Fi rewall eingef gt die eine interne Umleitung der Verbindung zu einem transpa renten Proxy bewirkt Im Falle eines erkannten Virus wird je nach Protokoll entweder eine Fehlermel dung als E Mail an den Nutzer gesendet eine Protokollfehlermeldung generiert bzw e
53. ard statt Ist der maximale Speicherplatz f r diese Protokollierungen ersch pft werden au 63 von 93 tomatisch die ltesten Log Eintr ge durch neue berschrieben Zudem werden bei Ausschalten des mGuard alle Log Eintr ge gel scht Um das zu verhindern ist es m glich die Log Eintr ge auf einen externen Rech ner zu bertragen Das liegt auch dann nahe sollte eine zentrale Verwaltung der Protokollierungen erfolgen Aktiviere remote UDP Logging Ja Nein Sollen alle Log Eintr ge zum externen unten angegebenen Log Server bertra gen werden setzen Sie diesen Schalter auf Ja Log Server IP Adresse Geben Sie die IP Adresse des Log Servers an zu dem die Log Eintr ge per UDP bertragen werden sollen BO Sie m ssen eine IP Adresse angeben keinen Hostnamen Hier wird eine Na mensaufl sung nicht unterst tzt weil sonst der Ausfall eines DNS Servers nicht protokolliert werden k nnte Log Server Port Geben Sie den Port des Log Servers an zu dem die Log Eintr ge per UDP ber tragen werden sollen Standard 514 64 von 93 5 11 Men Zugang Zugang gt nate Passworte 4 eourity Technologies AG Security Appliance Zugang gt Passworte Rootpasswort Account root Administratorpasswort Account admin Aktiviere Nutzerpasswort Nutzerpasswort Der mGuard bietet 3 Stufen von Benutzerrechten Um sich auf der entsprechen den Stufe anzumelden muss der Benutzer das Passwort angeben das der jew
54. as Internetoptionen Registerkarte Verbindungen Unter DF und VPN Einstellungen muss Keine Verbindung w hlen akti viert sein 3 In der Adresszeile des Web Browsers geben Sie die Adresse des mGuard vollst ndig ein IP Adresse des mGuard im Stealth Modus https 1 1 1 1 wenn nicht im Stealth Modus https 192 168 1 1 Falls Sie die konfigu rierte Adresse verges sen haben Falls die Administra tor Website nicht an gezeigt wird 14 von 93 Im Stealth Modus Werkseinstellung lautet diese fest https 1 1 1 1 Sollte das Ger t schon einmal konfiguriert worden sein und dabei auf die Be triebsart Router PPPoE oder PPTP gestellt worden sein dann lautet die Adresse des mGuard gem Werkseinstellung https 192 168 1 1 Folge Sie gelangen zur Administrator Website des mGuard Der auf der n chsten Seite abgebildete Sicherheitshinweis erscheint Falls die Adresse des mGuard im Router PPPoE oder PPTP Modus auf einen anderen Wert gesetzt ist und Sie kennen die aktuelle Adresse nicht dann m s sen Sie den mGuard mit Hilfe der Recovery Taste zur ck auf den Stealth Modus stellen und damit auf folgende Adresse https 1 1 1 1 siehe Reco very Prozedur ausf hren auf Seite 81 Sollte auch nach wiederholtem Versuch der Web Browser melden dass die Seite nicht angezeigt werden kann versuchen Sie Folgendes e Pr fen Sie ob der Standardgateway des angeschlossenen Konfigurations Re
55. atei PKCS 12 Datei ins Ger t importiert wer den Um ein neues Zertifikat zu importieren gehen Sie wie folgt vor Neues Zertifikat Voraussetzung Die Zertifikatsdatei Dateiname p12 oder pfx ist generiert und auf dem an geschlossenen Rechner gespeichert 1 Durchsuchen klicken um die Datei zu selektieren 2 In das Feld Passwort geben Sie das Passwort ein mit dem der private Schl ssel der PKCS 12 Datei gesch tzt ist Importieren klicken 4 Abschlie end OK klicken Nach dem Import erhalten Sie eine Systemmeldung System Message ndere Systemkonfiguration Storing PKCS 12 file MAC verified OK Parsed PKCS 12 file Stored certificate Stored private key 002 forgetting secrets 002 loading secrets from etc ipsec secrets 002 loaded private key file etc ipsec d private this host pem 1675 bytes 002 OpenPGP certificate file etc pgpcert pgp not found 002 Changing to directory etc ipsec d cacerts 002 Warning empty directory 002 Changing to directory etc ipsec d cris 002 Warning empty directory Systemkonfiguration umgeschrieben VPN gt L2TP nur mGuard smart enterprise ate ity Technologies AG Security Appliance Innominate mGuard VPN gt L2TP P Netzwerk P Firewall Starte L2TP Server f r IPsec L2TP Lokale IP f r L2TP Verbindungen Zuweisung von IPs f r L2TP Gegenstellen Bitte beachten Sie Diese Regel gelten nicht im Stealthmodus 55 von
56. ay ist auf die interne IP des mGuard zu setzen Sie he IP Konfiguration bei Windows Clients auf Seite 62 B gt Arbeitet der mGuard im PPPoE Modus muss NAT aktiviert werden um Zu griff auf das Internet zu erhalten siehe Firewall NAT auf Seite 29 Ist NAT nicht aktiviert K nnen nur VPN Verbindungen genutzt werden PPTP hnlich dem PPPoE Modus In sterreich zum Beispiel wird statt des PP PoE Protokolls das PPTP Protokoll zur DSL Anbindung verwendet PPTP ist das Protokoll das urspr nglich von Microsoft f r VPN Verbindun gen benutzt worden ist BO Wird der mGuard im PPTP Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgateway ist auf die interne IP des mGuard zu setzen Sie he IP Konfiguration bei Windows Clients auf Seite 62 E gt Wird der mGuard im PPTP Modus betrieben sollte NAT aktiviert werden um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Firewall t NAT auf Seite 29 Ist NAT nicht aktiviert k nnen nur VPN Ver bindungen genutzt werden Interne IPs Interne IP ist die IP Adresse unter der der mGuard von Ger ten des lokal ange schlossenen lokalen Netzes erreichbar ist Im Stealth Modus lautet diese immer IP Adresse 1 1 1 1 Im Router PPPoE PPTP Modus ist werksseitig voreingestellt IP Adresse 192 168 1 1 Lokale Netzmaske 255 255 255 0 Sie k nnen w
57. b s uptime 77304 kavu File fa arm was downloaded successfully in 1 seconds 7 79Kb s P Services uptime 58 77316 kavu File gent am was downloaded successfully in 1 seconds 14 63Kb s P Access uptime 77324 kavu File gen002 arm was downloaded successfully in 1 seconds 17 88Kb s P Features uptime 58 77332 kavu File gen003 arm was downloaded successfully in 1 seconds 5 67Kb s P Support uptime 77340 kavu File gen004 arm was downloaded successfully in 1 seconds 8 83Kb s P System uptime 77352 kavu File qen999 arm was downloaded successfully in 1 seconds 4 39Kb s Das Update Log enth lt Meldungen ber den Start und Verlauf des Update Pro zesses der Virensignaturdateien 45 von 93 5 9 Men VPN Voraussetzungen f r eine VPN Verbindung Generelle Voraussetzung f r eine VPN Verbindung ist dass die IP Adressen der VPN Partner bekannt und zug nglich sind e Damit eine IPsec Verbindung erfolgreich aufgebaut werden kann muss die VPN Gegenstelle IPsec mit folgender Konfiguration unterst tzen Authentifizierung ber Pre Shared Key PSK oder X 509 Zertifikate ESP Diffie Hellman Gruppe 2 oder 5 DES 3DES oder AES encryption MDS oder SHA 1 Hash Algorithmen Tunnel oder Transport Modus Quick Mode Main Mode SA Lifetime 1 Sekunde bis 24 Stunden Ist die Gegenstelle ein Rechner unter Windows 2000 muss dazu das Micro soft Windows 2000 High Encryption Pack oder mindestens das Service
58. chaltet Ist unten ein Nutzerpasswort festgelegt kann der Nutzer Passwortschutz mit die sem Schalter aktiviert bzw deaktiviert werden 65 von 93 Nutzerpasswort Zugang gt Sprache Werkseitig ist kein Nutzerpasswort voreingestellt Um eines festzulegen geben Sie in beide Eingabefelder bereinstimmend das gew nschte Passwort ein Te ity Technologies AG Security Appliance en Zugang Sprache P Firewall gt Antivirus Bitte wahlen Sie eine Sprache aus DvPn gt e te Sprache HTTPS SSH SNMP gt Features P Support P system Bitte w hlen Sie eine Sprache aus Ist in der Sprachauswahlliste Automatisch ausgew hlt bernimmt das Ger t die Spracheinstellung aus dem Browser des Rechners Zugang gt HTTPS nate ec rity Technologies AG Security Appliance Innominate mGuard Zu HTTPS de gang gt Firewall Ess Port f r HTTPS Verbindungen nur Femzugang ker a Gd Firewalregeh zu Freigabe das HTTPS Zugriffs Seat von mer TIPS eu el Boom Extern gt Annehmen Nein SNMP P Support P system Diese Regen gestatten as HTTPS Femzugriff zu aktivieren Wiohlig Setzen Sie sichere Passworle bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Fernzugrifis muss der Adrassbereich mit entsprechenden Firewallregeh freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zu
59. chners initialisiert ist Siehe Lokale Konfiguration Bei Inbetriebnahme auf Seite 12 e Eine bestehende Firewall gegebenenfalls deaktivieren Bei erfolgreichem e Achten Sie darauf dass der Browser keinen Proxy Server verwendet Im MS Internet Explorer Version 6 0 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter LAN Einstellungen auf die Schaltfl che Einstellungen klicken im Dialogfeld Einstellungen f r lokales Netzwerk LAN daf r sorgen dass unter Proxyserver der Eintrag Proxyserver f r LAN verwenden nicht aktiviert ist e Falls andere LAN Verbindungen auf dem Rechner aktiv sind deaktivieren Sie diese f r die Zeit der Konfiguration Unter Windows Men Start Einstellungen Systemsteuerung Netzwerk verbindungen bzw Netzwerk und DF Verbindungen das betreffende Symbol mit der rechten Maustaste klicken und im Kontextmen Deaktivie ren w hlen Nach erfolgreicher Verbindungsaufnahme erscheint dieser Sicherheitshinweis Verbindungsaufbau MS Internet Explorer Konfiguration durchf hren Sicherheitshinweis EN Erl uterung Informationen die Sie mit dieser Site austauschen k nnen von Da das Ger t nur ber ver iv anderen weder angesehen noch ver ndert werden Das u i Sicherheitszertifikat der Site ist jedoch fehlerhaft schl sselte Zu gange admi nistrierbar ist wird es mit A Das Sicherheitszertifikat wurde von einer Firma ausgestellt j
60. d Enterp rise Security Appliance Medientyp inkstatus u Manuelle Konfiguration Aktuelle Betriebsart Intem LAN 10 100 BASE T RJ4S up a z 100 Mbitis FOX x 100 Mbit s FDX Extem WAN 10 100 BASE T RJ45 up a zj 100 Mbitis FOX 100 Mbit s FDX Konfiguration und Statusanzeige der Ethernetanschl sse Port Name des Ethernetanschlusses auf welchen sich die Zeile bezieht Medientyp Medientyp des Ethernetanschlusses Linkstatus Up Die Verbindung ist aufgebaut Down Die Verbindung ist nicht aufgebaut Automatische Konfiguration Ja Versuche die ben tigte Betriebsart eigenst ndig zu ermitteln Nein Verwende die vorgegebene Betriebsart aus der Spalte Manuelle Kon figuration Manuelle Konfiguration Die gew nschte Betriebsart wenn Automatische Konfiguration auf Nein gestellt ist Aktuelle Betriebsart Die aktuelle Betriebsart des Netzwerkanschlusses 23 von 93 Netzwerk gt Status Lafe eeurity Technologies AG Security Appliance Netzwerk gt Status Nur Anzeige Netzwerk Modus router static up Exteme IP 10 1 0 152 Default Gateway 10 1 0 254 Netzwerk Modus Zeigt die aktuelle Betriebsart des mGuard Stealth Router PPPoE oder PP TP Siehe Netzwerk Basis auf Seite 18 Externe IP Die IP Adresse des mGuard an seinem An schluss f r das externe Netz WAN bzw Inter net Wird dem mGuard eine IP Adresse dynamisch a zugeteilt k nnen Sie hier die gerad
61. d das angezeigt e Wird Ihnen ein aktuelles Software Update auf einem entfernten Server zur Verf gung gestellt muss dessen Adresse festgelegt sein siehe Features Update Server auf Seite 71 Gehen Sie wie folgt vor 1 Schreiben Sie den Dateinamen in das Eingabefeld 2 Installiere Package Set klicken um sie in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem System Update ein Reboot erforderlich sein wird das angezeigt Features gt Update Server ie j G rity Technologies AG Security Appliance Innominate mGuard Features gt Update Server p Netzwerk Firewall Ke PS SCC 2 2 serveradresse EECH EE un ef hin i ipate innominate com fnonymous SS Fe Zugang H Lizenzinformation Lizenzanforderung Hardwareinformation gt Support gt system Wird Ihnen ein Software Update siehe Features Installiere Update auf Seite 70 des mGuard auf einem entfernten Server zur Verfiigung gestellt dann geben Sie hier dessen Adresse an Protokoll Der Update der Virensignaturdateien kann entweder per HTTP oder HTTPS er folgen Serveradresse FQDN oder IP Adresse des Servers auf dem sich die Updatedateien befinden z B 123 456 789 21 oder update example com Login Login f r den Server Beim Update mittels HTTP Protokoll ist eine Angabe des Logins u U nicht erforderlich Passwort Passwort f r den Login Beim Update mittels
62. den Zus tzliche interne Routen Netzwerk Gateway 0 0 0 0 0 192 168 1 253 und eine externe Route auf die IPs 172 168 1 2 und 172 168 1 3 eingerichtet werden Zus tzliche externe Routen Netzwerk Gateway 172 16 1 2 1 172 16 1 4 3 Bedienelemente und Anzeigen Recovery Taste Befindet sich in der ffnung Kann z B mit einer aufgeboge nen B roklammer be t tigt werden LEDs Farbe Zustand LED 1 LED 2 LED3 Bedeutung Rot Griin rot gr n blinkend Griin blinkend Rot blinkend Bootvorgang Nach Anschluss des Ger tes an die Stromversorgungsquelle Nach einigen Sekunden wechselt diese Anzeige zu Heartbeat Heartbeat Das Ger t ist korrekt angeschlossen und funktioniert Systemfehler B F hren Sie einen Neustart durch Dazu die Recovery Taste kurz 1 5 Sek dr cken ODER Das Ger t von der Stromversorgung kurz trennen und dann wieder anschlie en Falls der Fehler weiterhin auftritt starten Sie die Recovery Prozedur siehe Recovery Prozedur ausf hren auf Seite 81 oder wenden Sie sich an den Support 1 und 3 Gr n leuchtend oder blinkend Ethernetstatus LED 1 zeigt den Status des internen Interface LED 3 den Status des externen Sobald das Ger t am externen Netzwerk WAN Inter net angeschlossen ist zeigt kontinuierliches Leuchten an dass eine Verbindung zum Netzwerk Partner besteht Bei der bertragung von Datenpaketen erlischt ku
63. der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib BO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Firewall gt Port Weiterleitung Damit werden alle Verbindungsversuche protokolliert die nicht von den voran stehenden Regeln erfasst werden ie Brit Technologies AG Security Appliance nie Firewall gt Port Weiterleitung etzver Firewall e Eingehend SX Protokon weg VonPort Eintreffend aur p _ Eintreffend auf Port Weiterteiten an P Weiterleiten an Port Log Ausgehend TEP ei 0 0 00 ke ooo Feexten foo ooo o 192 168 1 96 he oo Nein vi Fort Wetea U E y p z ed E A GEI or 7 Erweiterte Einstellungen Diese Regel leiten Verkehr der an den mGuard gerichtet ist an eine weitere Maschine um ohne dabei die Adresse des Absenders zu ndern Logs Die Spalte Eintreffend auf IP erlaubt den Wert extem f r die erste exteme IP des mGuard E ha Bitte beachten Sie Diese Regeh gelten nicht im Stea
64. deutet alle Adressen d h alle internen IP Adressen werden dem NAT Verfahren unterzogen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Firewall gt 1 1 NAT ity Technologies AG Security Appliance Innominat ite mGuard Firewall gt 1 1 NAT P Netzwerk Firewall Eingehend DEI 3 Lokales Netzwerk Extemes Netzwerk Netzmaske Ausgehend 192 168 0 0 10 0 00 4 Port Weiterleitung SL 3 NAT _ vvv o te gt zugang P Features gt Support System Listet die festgelegten Regeln f r 1 1 NAT Network Address Translation auf Dabei spiegelt der mGuard die Adressen des einen Netzes in das jeweils andere Im folgenden Beispiel befindet sich der mGuard mit der einen Schnittstelle im Netz 192 168 0 0 24 und mit der anderen im Netz 10 0 0 0 24 Durch das 1 1 NAT l t sich der Rechner 192 168 0 8 im anderen Netz unter der IP 10 0 0 8 er reichen Das gleiche gilt umgekehrt f r den Rechner 10 0 0 42 der sich im ande ren Netz unter der IP 192 168 0 42 erreichen l t 29 von 93 19 8 0 42 10 0 0 42 192 168 0 0 24 10 0 0 0 24 Werkseinstellung Es findet kein 1 1 NAT statt L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Lokales Netzwerk Die Netzwerkadresse am lokalen Interface LAN Externes Netzwer
65. e IPsec SA established Dann bedeutet das Die VPN Verbindung ist erfolgreich aufgebaut und kann genutzt werden Sollte dies dennoch nicht der Fall sein dann gibt es Probleme mit dem VPN Gateway der Gegenstelle In diesem Fall die Verbindung deaktivieren und wieder aktivie ren um die Verbindung erneut aufzubauen VPN gt L2TP Status nur mGuard smart enterprise Nur Anzeige rity Technologies AG Security Appliance Innominate m Guard Innominate L2TP Daemon Netzwerk gt Firewall Maximal number of tunnels Fee P Antivirus Tunnels in use Maximal nunber of sessions per tunnel 16 Verbindungen Sessions in use Maschinen Zertifikat L2TP IPsec Status TE Situs VPN Logs gt Dienste gt Zugang gt Features L2TP Daemon s Uptime 0 days and 06 10 14 gt support P system Informiert ber den L2TP Status wenn dieser als Verbindungstyp gew hlt ist Siehe VPN Verbindungen auf Seite 46 Ist dieser Verbindungstyp nicht gew hlt sehen Sie die abgebildete Anzeige VPN gt VPN Logs Nur Anzeige ity Technologies AG Security Appliance Innominate mGuard uptime 0 days 00 00 20 20566 12tp 12tpd 2143 innominate 12tpd started P Netzwerk uptime 0 days 00 00 20 91360 pluto 2168 Starting Pluto Openswan Version 1 0 3 P Firewall uptime 0 days 00 00 20 91454 pluto 2168 including 2 509 patch with traffic selectors Version 0 9 42inno antivirus uptine 0 days 00 00 20 94465 pluto 2168 including NA
66. e g ltige IP Adresse nachschlagen Im Stealth Modus bernimmt der mGuard die Adresse des lokal angeschlossenen Rechners als seine externe IP Default Gateway Hier wird die IP Adresse angezeigt ber die der mGuard versucht ihm unbe kannte Netze zu erreichen Im Stealth Modus oder falls die in der Konfigura tion angegebene IP nicht erreichbar ist steht hier none 24 von 93 5 7 Men Firewall Der mGuard beinhaltet eine Stateful Packet Inspection Firewall Die Verbin dungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst con nection tracking Dadurch sind Regeln nur f r eine Richtung zu definieren Daten aus der anderen Richtung einer Verbindung und nur diese werden auto matisch durchgelassen Ein Nebeneffekt ist dass bestehende Verbindungen bei einer Umkonfiguration nicht abgebrochen werden selbst wenn eine entsprechen de neue Verbindung nicht mehr aufgebaut werden d rfte Werkseitige Voreinstellung der Firewall e Alle eingehenden Verbindungen werden abgewiesen au er VPN e Die Datenpakete aller ausgehenden Verbindungen werden durchgelassen BO VPN Verbindungen unterliegen nicht den unter diesem Men punkt festge legten Firewall Regeln Firewall Regeln f r jede einzelne VPN Verbindung k nnen Sie unter Men VPN gt Verbindungen festlegen BDO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunde
67. eath PPTP Login Router PPPOE PETB MAL Konfiguration us PPTP Passwort Setze lokale IP statisch folgendes Feld rus Lokale IP 10 0 0 140 Modem IP 10 0 0 138 Voraussetzung Der mGuard ist auf den Netzwerk Modus PPTP gestellt siehe PPTP auf Seite 19 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Login Benutzername Login den der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen 22 von 93 Setze lokale IP ber DHCP Werden die Adressdaten f r den Zugang zum PPTP Server vom Internet Ser vice Provider per DHCP geliefert w hlen Sie ber DHCP Dann ist kein Eintrag unter Lokale IP zu machen Modem IP Das ist die Adresse des PPTP Servers des Internet Service Pro viders statisch folgendes Feld Werden die Adressdaten f r den Zugang zum PPTP Server nicht per DHCP vom Internet Service Provider geliefert dann muss die IP Adresse gegen ber dem PPTP Server angegeben werden als lokale IP Adresse Lokale IP IP Adresse unter der der mGuard vom PPTP Server aus zu errei chen ist Modem IP Das ist die Adresse des PPTP Servers des Internet Service Pro viders Netzwerk gt MAU Konfiguration nur mGuar
68. ehe Lokale Konfigurationsverbindung herstellen auf Seite 14 Nach der Konfiguration stellen Sie das Standardgateway wieder zur ck Dazu entweder den Konfigurations Rechner neu starten oder auf DOS Ebene folgendes Kommando eingeben arp d DO Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 13 von 93 5 2 Lokale Konfigurationsverbindung herstellen Web basierte Administrator oberfl che Der mGuard wird per Web Browser konfiguriert der auf dem Konfigurations Rechner ausgef hrt wird z B Firefox MS Internet Explorer oder Safari D Der Web Browser muss SSL d h https unterst tzen Je nach dem in welchem Netzwerk Modus Betriebsart der mGuard sich be findet ist er gem Werkseinstellung unter einer der folgenden Adressen er reichbar Werkseinstellung Stealth Modus Auslieferungszustand https 1 1 1 1 Router PPPoE PPPT Modus https 192 168 1 1 Gehen Sie wie folgt vor 1 Starten Sie einen Web Browser Z B Firefox MS Internet Explorer oder Safari der Web Browser muss SSL d h https unterst tzen 2 Achten Sie darauf dass der Browser beim Starten nicht automatisch eine Verbindung w hlt weil sonst die Verbindungsaufnahme zum mGuard erschwert werden k nnte Im MS Internet Explorer nehmen Sie diese Einstellung wie folgt vor Men Extr
69. ei ligen Berechtigungsstufe zugeordnet ist Berechtigungsstufe Root Bietet vollst ndige Rechte f r alle Parameter des mGuard Hintergrund Nur diese Berechtigungsstufe erlaubt es sich per SSH so mit dem Ger t zu verbinden dass man das ganze System auf den Kopf stellen kann Dann kann man es nur noch mit Flashen der Firmware in seinen Auslie ferungszustand zur ckbringen siehe Flashen der Firm ware auf Seite 82 Voreingestelltes Rootpasswort root Administrator Bietet die Rechte f r die Konfigurationsoptionen die ber die webbasierte Administratoroberfl che zug nglich sind Voreingestellter Benutzername admin Voreingestelltes Passwort mGuard Der Benutzername admin kann nicht ge ndert werden Nutzer Ist ein Nutzerpasswort festgelegt und aktiviert dann muss der Benutzer nach jedem Neustart des mGuard bei Zugriff auf eine beliebige HTTP URL dieses Passwort angeben damit VPN Verbindungen m glich sind Wollen Sie diese Option nutzen legen Sie im entsprechen den Eingabefeld das Nutzerpasswort fest Rootpasswort Werksseitig voreingestellt root Wollen Sie das Rootpasswort ndern geben Sie ins Feld Altes Passwort das alte Passwort ein in die beiden Felder darunter das neue gew nschte Passwort Administratorpasswort Account admin Werksseitig voreingestellt mGuard unver nderbarer Benutzername admin Aktiviere Nutzerpasswort Nein Ja Werksseitig ist Nutzer Passwortschutz ausges
70. eisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung 68 von 93 Zugang gt SNMP nur mGuard smart enterprise j ity Technologies AG Security Appliance Zugang gt SNMP Aktiviere SNMPv3 Aktiviere SNMPv1 v2 SNMPv1 und SNMPv2 read write Community SNMPv1 und SNMPv2 read only Community Port f r SNMP Verbindungen g ltig f r extemes Interface Firewallregem zu Freigabe des SNMP Zugriffs gt lt RECH Diese Ragen gestatten es SNMP zu aktivieren Wichtig Seizen Sie sichere Passworle f r SYMPVS bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globalen Aktivierung SNMP muss der Adressbereich mit entsprechenden Firewallrageh freigeschaltet werden Bitte beachten Sie im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie im Router Modus mit NAT bzw Portforwarding hat die h
71. eitere Adressen festlegen unter der der mGuard von Ger ten des lokal angeschlossenen Netzes angesprochen werden kann Das ist zum Beispiel 19 von 93 dann hilfreich wenn das lokal angeschlossene Netz in Subnetze unterteilt wird Dann k nnen mehrere Ger te aus verschiedenen Subnetzen den mGuard unter unterschiedlichen Adressen erreichen L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Die erste IP Adresse in der Liste kann nicht gel scht werden BO Weitere festgelegte interne IPs haben im Stealth Modus keine Wirkung Im Stealth Modus lautet die IP Adresse immer 1 1 1 1 Zus tzliche interne Routen Nicht im Stealth Modus Sind am lokal angeschlossen Netz weitere Subnetze angeschlossen k nnen Sie zus tzliche Routen definieren Netzwerk Das Netzwerk in CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Gateway Das Gateway ber welches dieses Netzwerk erreicht werden kann Siehe auch Netzwerk Beispielskizze auf Seite 79 Mit einer internen Route nach 0 0 0 0 0 k nnen Sie eine Default Route ber das interne Interface definieren L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben B Sind zus tzliche interne Routen festgelegt haben diese im Stealth Modus keine Wirkung Netzwerk gt Stealth TE rity Technologies AG Securi
72. elle per Ethernet Standleitung ans Internet angeschlossen oder ber weitere Router ans LAN Ein Netzwerk oder ein Einzelrechner ist ber sein internes Interface das Ethernetkabel mit dem Stecker angeschlossen Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verf gung BO Wird der mGuard im Router Modus betrieben muss beim lokal angeschlos senen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgateway ist auf die interne IP des mGuard zu setzen Siehe IP Konfiguration bei Windows Clients auf Seite 62 BO Wird der mGuard im Router Modus betrieben und stellt die Verbindung zum Internet her sollte NAT aktiviert werden um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Firewall NAT auf Seite 29 Ist NAT nicht aktiviert K nnen nur VPN Verbindungen genutzt werden PPPoE Der PPPoE Modus entspricht dem Router Modus mit DHCP mit einem Un terschied F r den Anschluss ans externe Netzwerk Internet WAN wird wie in Deutschland das PPPoE Protokoll verwendet das von vielen DSL Modems bei DSL Internetzugang verwendet wird Die externe IP Adresse unter der der mGuard von einer entfernten Gegenstelle aus erreichbar ist wird vom Provider festgelegt BO Wird der mGuard im PPPoE Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgatew
73. en DO Beim Abspeichern eines Konfigurations Profils werden Passw rter nicht mit gespeichert Aktuelle Konfiguration als Konfigurations Profil im mGuard speichern 1 In Feld Name des neuen Profils den gew nschten Namen eintragen 2 Die Schaltfl che Speichere aktuelle Konfiguration als Profil klicken Ein im mGuard gespeichertes Konfigurations Profil anzeigen aktivieren l schen Konfigurations Profil anzeigen Den Namen des Konfigurations Profils anklicken Konfigurations Profil aktivieren Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Wiederherstellen klicken Konfigurations Profil l schen Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che L schen klicken Das Profil Werkseinstellung kann nicht ge l scht werden Konfigurations Profil als Datei auf dem Konfigurationsrechner speichern 1 Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Download klicken 2 Legen Sie im angezeigten Dialogfeld den Dateinamen und Ordner fest unter bzw in dem das Konfigurations Profil als Datei gespeichert wird Sie k nnen die Datei beliebig benennen Konfigurations Profil vom Konfigurationsrechner auf den mGuard laden Voraussetzung Sie haben nach dem oben beschriebenem Verfahren ein Konfi gurations Profil als Datei auf dem Konfigurations Rechners gespeichert 1 In Feld Name des neuen Profils den Namen eintragen den das einzuladende Konfig
74. en Konfiguration das Root und das Administratorpasswort zu ndern siehe Zugang Passworte auf Seite 65 Solange dies noch nicht geschehen ist erhalten Sie auf der Start seite einen Hinweis darauf 17 von 93 5 6 Men Netzwerk Netzwerk gt Basis E rity Technologies AG Security Appliance Netzwerk gt Basis Netzwerk Modus Die fayenden Einstellungen werden genutzt wenn der Stealth Modus NIGHT ausgew hlt ist iP Netzmaske r E EAR B55 2552550 el fi82 168 4 1 55 255 255 0 Zus tzliche inteme Routen Netzwerk Gateway Interne IPs Netzwerk Modus Der mGuard muss auf den Netzwerk Modus Betriebsart gestellt werden der seiner lokalen Rechner bzw Netzwerk Anbindung entspricht Siehe Ty pische Anwendungsszenarien auf Seite 6 E gt Beim Wechsel des Netzwerk Modus bootet das Ger t automatisch neu E gt Wenn Sie die Adresse des mGuard ndern z B durch Wechsel des Netz werk Modus von Stealth auf Router dann ist das Ger t ab sofort nach Neustart nur noch unter der neuen Adresse zu erreichen Siehe Lokale Kon figuration Bei Inbetriebnahme auf Seite 12 gt Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die interne IP Adresse und oder die lokale Netzmaske ndern achten Sie unbe dingt darauf dass Sie korrekte Werte angeben Sonst ist der mGuard nicht mehr erreichbar Transparenter mGuard Stealth Werkseinstellung Der Stealth
75. er andere wird der ffentlichkeit ffentlicher Schl ssel Public Key d h m glichen Kommuni kationspartnern gegeben Eine mit dem ffentlichen Schl ssel verschl sselte Nachricht kann nur von dem Empf nger entschl sselt und gelesen werden der den zugeh rigen privaten Schl ssel hat Eine mit dem privaten Schl ssel verschl sselte Nachricht kann von jedem Empf nger entschl sselt werden der den zugeh rigen ffentlichen Schl ssel hat Die Verschl sselung mit dem privaten Schl ssel zeigt da die Nachricht tats chlich vom Eigent mer des zugeh rigen ffentlichen Schl ssels stammt Daher spricht man auch von digitaler Signatur Unterschrift Assymetrische Verschl sselungsverfahren wie RSA sind jedoch langsam und anf llig f r bestimmte Angriffe weshalb sie oft mit einem symmetrischen Ver fahren kombiniert werden gt symmetrische Verschl sselung Andererseits sind Konzepte m glich die die aufwendige Administrierbarkeit von symmetrischen Schl sseln vermeiden Der von IBM stammende und von der NSA berpr fte symmetrische Ver schliisselungsalgorithmus gt symmetrische Verschl sselung DES wurde 1977 vom amerikanischen National Bureau of Standards dem Vorg nger des heuti gen National Institute of Standards and Technology NIST als Standard f r amerikanische Regierungsinstitutionen festgelegt Das es sich hierbei um den ersten standardisierten Verschl sslungsalgorithmus berhaupt handelte setzte er sich auch
76. erbindung auf die in der Liste Nutzer definierte Nameserver aufge f hrt sind Nutzer definierter Nameserver In dieser Liste k nnen Sie die IP Adressen von Domain Name Servern erfassen Soll einer von diesen vom mGuard benutzt werden w hlen Sie unter Benutzte Nameserver die Option Nutzer definiert unten stehende Liste fest L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Dienste gt DynDNS berwachung Security Appliance Dienste gt DynDNS berwachung Hostnamen von VPN Gegenstellen berwachen Auen nee Erl uterung zu DynDNS siehe unten Dienste gt DynDNS Registrierung Hostnamen von VPN Gegenstellen berwachen Ja Nein Ist dem mGuard die Adresse einer VPN Gegenstelle als Hostname angegeben siehe VPN Verbindungen auf Seite 46 und ist dieser Hostname bei ei nem DynDNS Service registriert dann kann der mGuard regelm ig berpr fen ob beim betreffenden DynDNS eine nderung erfolgt ist Falls ja wird die VPN Verbindung zu der neuen IP Adresse aufgebaut Abfrageintervall Sekunden Standard 300 Sekunden Dienste gt DynDNS j Registrierung 4 S Technologies AG Security Appliance Innominate mGuard Dienste gt DynDNS Registrierun P Netzwerk Si S P Firewall P Antivirus Diesen mGuard bei einem DynDNS Server anmelden DynDNS Passwort DynDNS Hostname Zum Aufbau von VPN Verbindungen muss
77. erden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das SMTP Protokoll an Der SMTP Standardport 25 ist bereits voreingestellt Das Einschalten des SMTP Virenfilters ffnet die Firewall f r die entspre 35 von 93 chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Antivirus gt POP3 Einstellungen Das POP3 Protokoll wird von Ihrem E Mail Client zum Empfang von E Mails genutzt Konfiguration des E Mail Clients Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten Sie Verschl sselungsoptionen wie STLS oder SSL nicht aktivieren Die verschl sselte Authentifizierung mittels AUTH ist dagegen nutzbar da die ei gentliche bertragung der E Mail unverschl sselt erfolgt Ty j ate j au ity Technologies AG Security Appliance Antivirus gt POP3 Einstellungen at virs Seut far POPS Eet scannen bis zur Gr sse von default SMB bei berschreiten der Gr ssenbegrenzung Liste der POP3 Server FS semer 22 __ semerPn_ EECH ben 110 Scannen zl Bitte beachten Sie Zus tzlich zur g
78. ert werden BO Der Name der Konfigurationsdatei auf dem HTTPS Server ist die Seriennum mer des mGuards inklusive der Endung atv B gt Wenn die hinterlegten Konfigurationsprofile auch den privaten VPN Schl s sel f r die VPN Verbindung oder VPN Verbindungen mit PSK enthalten Dann sollte das Passwort aus mindestens 30 zuf lligen Gro und Kleinbuch staben sowie Ziffern bestehen um unerlaubten Zugriff auf diese zu verhin dern Der HTTPS Server sollte weiterhin ber den angegebenen Login nebst Pass wort nur Zugriff auf die Konfiguration dieses einen mGuard erm glichen Ansonsten k nnten sich die Nutzer anderer mGuards bzw eines komprimi tierten mGuards Zugriff auf diese anderen Konfigurationen verschaffen System gt Neustart purity Technologies AG Security Appliance System gt Neustart ment ten Hinweis Bitte geben Sie mGuard etwa 30 Sekunden f r den Neustart Ein Neustart Reboot ist erforderlich im Fehlerfall Au erdem kann es erfor 77 von 93 derlich sein nach einem Software Update Am Ende des Neustarts erscheint eine Meldung dass man mit der Konfiguration fortfahren kann Ein Reboot kann auch durch aus und wieder einschalten bewirkt werden System gt Loas Nur Anzeige 78 von 93 ity Technologies AG eee Security Appliance Innominate mGuard uptime 0 days 00 00 05 06535 main listening on dev log starting gt Netzwerk uptime 0 days 00 00 05 55185 sshd 160
79. eschrieben Diese Datei enth lt das eigentliche mGuard Be triebssystem und ist elektronisch signiert Nur von Innominate signierte Da teien werden akzeptiert Dieser Vorgang dauert ca 3 bis 5 Minuten e Statusanzeige Die mittlere LED Heartbeart leuchtet kontinuierlich Die neue Software wird entpackt und konfiguriert Das dauert ca 5 Minuten Sobald die Prozedur beendet ist blinken alle 3 LEDs gleichzeitig in Gr n durchgehend 3 Starten Sie den mGuard neu Dr cken Sie dazu kurz die Rescue Taste ODER Unterbrechen Sie seine Stromversorgung und schlie en Sie ihn dann wieder an per USB Kabel das ausschlie lich zur Stromversorgung dient Folge Der mGuard befindet sich im Auslieferungs Zustand Konfigurieren Sie ihn neu siehe Lokale Konfigurationsverbindung herstellen auf Seite 14 Voraussetzungen Zum Flashen der Firmware muss auf dem lokal angeschlossenen Rechner bzw zum Flashen der Netzwerk Rechner ein DHCP und TFTP Server installiert sein Firmware DHCP DHCP Dynamic Host Configuration Protocol TFTP Trivial File Transfer und TFTP Server Protocol Installieren Sie den DHCP und TFTP Server falls notwendig siehe unten B gt Falls Sie einen zweiten DHCP Server in einem Netzwerk installieren k nnte dadurch die Konfiguration des gesamten Netzwerks beeinflusst werden 83 von 93 6 3 1 DHCP und TFTP Server unter Windows bzw Linux installieren Unter Windows Installieren Sie das Programm
80. eser Gesichtspunkt spielt f r den mGuard keine Rolle weil er mit Hardware basierter Verschl sselungstechnik arbeitet Jedoch k nnte die ser Aspekt f r die Gegenstelle eine Rolle spielen Der zur Auswahl stehende mit Null bezeichnete Algorithmus beinhaltet keinerlei Verschl sselung Pr fsummenalgorithmus Hash Lassen Sie die Einstellung auf Alle Algorithmen stehen Dann spielt es keine Rolle ob die Gegenstelle mit MD5 oder SHA 1 arbeitet IPsec SA Datenaustausch Im Unterschied zu ISAKMP SA Schl sselaustausch s 0 wird hier das Ver fahren f r den Datenaustausch festgelegt Die k nnen sich von denen des Schl sselaustauschs unterscheiden m ssen aber nicht Verschl sselungsalgorithmus Siehe oben Pr fsummenalgorithmus Hash Siehe oben Perfect Forward Secrecy PFS Verfahren zur zus tzlichen Steigerung der Sicherheit bei der Daten bertra gung Bei IPsec werden in bestimmten Intervallen die Schl ssel f r den Da tenaustausch erneuert Mit PFS werden dabei mit der Gegenstelle neue Zufallszahlen ausgehandelt anstatt sie aus zuvor verabredeten Zufallszahlen abzuleiten Nur wenn die Gegenstelle PFS unterst tzt w hlen Sie Ja Bei Auswahl des Verbindungstyps Transport L2TP Microsoft Windows set zen Sie Perfect Forward Secrecy PFS auf Nein SA Lebensdauer Die Schl ssel einer IPsec Verbindung werden in bestimmten Abst nden erneuert um die Kosten eines Angriffs auf eine IPsec Verbindung zu erh
81. etzadresse 192 168 27 0 24 N Maske 255 255 255 0 a ei ei Le V zus tzliche interne Routen Netz A Rechner Al A2 A3 A4 AS IP Adresse 192 168 11 3 192 168 11 4 192 168 11 5 192 168 11 6 192 168 11 7 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Netz B Zus tzliche interne Rechner Bl B2 B3 B4 Ronten IP Adresse 192 168 15 2 192 168 15 3 192 168 15 4 192 168 15 5 Netzwerk 192 168 15 0 24 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Gateway 192 168 11 2 Netz C Rechner Cl C2 C3 C4 Netzwerk 192 168 27 0 24 IP Adresse 192 168 27 1 192 168 27 2 192 168 27 3 192 168 27 4 Gateway 192 168 11 2 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 80 von 93 6 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware Die Rescue Taste wird benutzt um das Ger t in einen der folgenden Zust nde zu bringen 6 1 Neustart durchf hren Ziel Aktion Das Ger t neu starten mit den konfigurierten Einstellungen Rescue Taste f r ca 1 5 Sekunden dr cken z B mit einer aufge bogenen B roklammer bis die mittlere LED in Rot aufleuchtet ODER Die Stromzufuhr vor bergehend unterbrechen 6 2 Recovery Prozedur ausf hren Ziel Aktion Der mGuard soll in den Netzwerk Modus Betriebsart Stealth zur ckgeschaltet werden so dass er f
82. gehen Sie wie folgt vor 1 Konfigurieren klicken Folge Der nachfolgend abgebildete Bildschirm erscheint rity Technologies AG fi Security Appliance Vis Se YPN gt Verbindungen gt Verbindung harlock gt Pre Shared Secret Key PSK P Firewall fond pr St Soe 50 VPN Maschinen Zertifikat L2TP IPsec Status L2TP Status VPN Logs P Dienste gt Zugang P Features P Support P System 49 von 93 2 Ins Eingabefeld Pre Shared Secret Key PSK die verabredete Zeichenfolge eintragen Um eine mit 3DES vergleichbare Sicherheit zu erzielen sollte die Zeichenfolge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buchstaben sowie Ziffern bestehen 3 Zur ck klicken HR Pre Shared Secret Key kann nicht mit dynamischen any IP Adres sen verwendet werden nur feste IP Adressen oder Hostnamen auf bei den Seiten werden unterst tzt Weitere IKE Einstellungen Klicken Sie hier auf Konfigurieren wenn Sie nderungen an den Einstellungen der Verschl sselungsalgorithmen Lebensdauer von Schl ssel oder Dead Peer Detection DPD vornehmen wollen Eine ausf hrliche Erl uterung finden Sie unter Weitere IKE Einstellungen auf Seite 52 Tunnel Einstellungen Wenn der Verbindungstyp auf Tunnel gesetzt ist m ssen die folgenden Anga ben gemacht werden eu 7 ee oN a ER Lokales Internet VPN Gateway Netz Netz gegen ber gegen ber Die Adresse des lokalen Netzes Die dazugeh rige
83. gorith men sind DES und AES Sie sind schnell jedoch bei steigender Nutzerzahl nur aufwendig administrierbar Netzwerkprotokolle die f r die Verbindung zweier Rechner im Internet verwen det werden IP ist das Basisprotokoll UDP baut auf IP auf und verschickt einzelne Pakete Diese k nnen beim Emp f nger in einer anderen Reihenfolge als der abgeschickten ankommen oder sie k nnen sogar verloren gehen TCP dient zur Sicherung der Verbindung und sorgt beispielsweise daf r dass die Datenpakete in der richtigen Reihenfolge an die Anwendung weitergegeben wer den UDP und TCP bringen zus tzlich zu den IP Adressen Port Nummern zwischen 1 und 65535 mit ber die die unterschiedlichen Dienste unterschieden werden Auf UDP und TCP bauen eine Reihe weiterer Protokolle auf z B HTTP Hyper Text Transfer Protokoll HTTPS Secure Hyper Text Transfer Protokoll SMTP Simple Mail Transfer Protokoll POP3 Post Office Protokoll Version 3 DNS Domain Name Service ICMP baut auf IP auf und enth lt Kontrollnachrichten SMTP ist ein auf TCP basierendes E Mail Protokoll IKE ist ein auf UDP basierendes IPsec Protokoll ESP ist ein auf IP basierendes IPsec Protokoll Auf einem Windows PC bernimmt die WINSOCK DLL oder WSOCK32 DLL die Abwicklung der beiden Protokolle gt Datagramm Ein Virtuelles Privates Netzwerk VPN schlie t mehrere voneinander getrennte private Netzwerke Teilnetze ber ein ffentliches Netz z B das In
84. hen ISAKMP SA Lebensdauer Lebensdauer der f r die ISAKMP SA vereinbarten Schl ssel in Sekunden Die Werkseinstellung sind 3600 Sekunden 1 Stunde Das erlaubte Maxi mum sind 28800 Sekunden 8 Stunden IPsec SA Lebensdauer Lebensdauer der f r die IPsec SA vereinbarten Schl ssel in Sekunden Die Werkseinstellung sind 28800 Sekunden 8 Stunden Das erlaubte Maxi mum sind 86400 Sekunden 24 Stunden Rekey Margin Minimale Zeitspanne vor Ablauf der alten Schl ssel innerhalb der ein neuer Schl ssel erzeugt werden soll Die Werkseinstellung sind 540 Sekunden 9 Minuten Rekeyfuzz Maximum in Prozent um das Rekey Margin zuf llig vergr ert werden soll Dies dient dazu den Schl sselaustausch auf Maschinen mit vielen VPN Ver bindungen zu zeitversetzt stattfinden zu lassen Die Werkseinstellung sind 100 Prozent Keying Versuche Anzahl der Versuche die unternommen werden sollen neue Schl ssel mit der Gegenstelle zu vereinbaren Der Wert 0 bedeutet bei Verbindungen die der mGuard initiieren soll unend lich viele Versuche ansonsten 5 Versuche 53 von 93 Rekey Wenn auf Ja dann wird diese Seite versuchen einen neuen Schl ssel zu ver einbaren wenn der alte abl uft Dead Peer Detection Wenn die Gegenstelle Dead Peer Detection DPD Protokoll unterst tzt k nnen die jeweiligen Partner erkennen ob die IPsec Verbindung noch g ltig ist oder nicht und evtl neu aufgebaut werden muss Ohne DPD mu je nach Konfigurat
85. hlermeldung Update running beim Versuch der Benutzung des Virenfilters Deaktivieren Sie in diesem Fall bitte den Virenfilter f r alle Proto kolle um weiterhin ihren Email Client bzw Webbrowser nutzen zu k nnen 44 von 93 Antivirus gt Update Logs Security Appliance Innominate mGuard uptime 71677 kavu kavusv kavupdater supervisor startup check P Network uptime 82027 kavu kavusv kavupdater supervisor startup P Firewall uptime 01 93564 kavu kavusv error Anti Virus engine detected corrupt database Anti Virus uptime 93571 kavu kavusv info retrying in 30 seconds 1 try SMTP Options uptime 31 92983 kavu kavusv info run scheduled retry POP3 Options uptime 92989 kavu kavusv info launching update process HTTP Options uptime 92992 kavu kavusv info available flash fs capacity for AVP update 6701056 bytes Database Update uptime 70855 kavu Trying to update from server http anonymous anonymous dowmloads kav innominate cc Anti Virus Status uptine 58 77258 kavu Update queue Need to update 97 files summary size is 4211 98kb License Request uptime 77268 kavu File avp set was downloaded successfully in 1 seconds 1 25Kb s Install Licenses uptime 717276 kavu File ca arm was downloaded successfully in 1 seconds 9 81Kb s uptime 77289 kavu File daily arm was downloaded successfully in 1 seconds 28 42Kb s fate uptime 717296 kavu File eicar arm was downloaded successfully in 1 seconds 1 45K
86. ie en Ger t anschlie en auf Seite 11 3 Das Ger t konfigurieren soweit erforderlich Lokale Konfiguration Gehen Sie dazu die einzelnen Men optionen durch die Ihnen der mGuard smart mit seiner Konfigurationsoberfl che bietet Lesen Sie deren Erl uterungen in diesem Handbuch um zu entscheiden welche Optionen mit welcher Einstellung f r Ihre Betriebsumgebung erforderlich oder gew nscht wird 4 1 Lieferumfang Bei Inbetriebnahme auf Seite 12 Pr fen Sie vor Inbetriebnahme die Lieferung auf Vollst ndigkeit Zum Lieferumfang e geh ren e Das Ger t mGuard professionell ODER enterprise e Handbuch im Portable Document Format PDF auf CD e Quick Installation Guide 10 von 93 4 2 Ger t anschlie en Ethernet Stecker zum direkten Anschlie en an das zu sch tzende Ger t bzw Netz lokales Ger t oder Netz USB Stecker zum Anschlie en an die USB Schnittstelle eines Rech ners Dient nur zur Stromversorgung Buchse zum Anschlie en an das externe Netzwerk z B WAN Internet Uber dieses Netz werden die Verbindungen zum entfernten Ge rat bzw Netz hergestellt Benutzen Sie ein UTP Kabel CAT 5 Wenn Ihr Rechner bereits an einem Netzwerk angeschlossen ist dann stek ken Sie den mGuard zwischen Netzwerk Interface des Rechners und Netz werk vorher nachher Ce EI SEED gt IX Es ist keine Treiber Installation erforderlich BO Wir empfehle
87. ie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Aktiviere FTP NAT Connection Tracking Unterst tzung Wird beim FTP Protokoll eine ausgehende Verbindung hergestellt um Daten abzurufen gibt es zwei Varianten der Daten bertragung Beim aktiven FTP stellt der angerufene Server im Gegenzug eine zus tzliche Verbindung zum 30 von 93 Anrufer her um auf dieser Verbindung die Daten zu bertragen Beim pas siven FTP baut der Client diese zus tzliche Verbindung zum Server zur Da ten bertragung auf Damit die zus tzlichen Verbindungen von der Firewall durchgelassen werden muss Aktiviere FTP NAT Connection Tracking Unterst tzung auf Ja stehen Standard Aktiviere IRC NAT Connection Tracking Unterst tzung hnlich wie bei FTP Beim Chatten im Internet per IRC m ssen nach aktivem Verbindungsaufbau auch eingehende Verbindungen zugelassen werden soll das Chatten reibungslos funktionieren Damit diese von der Firewall durchge lassen werden muss Aktiviere IRC NAT Connection Tracking Unter st tzung auf Ja stehen Standard Aktiviere PPTP NAT Connection Tracking Unterst tzung Muss Ja gesetzt werden wenn von lokalen Rechnern ohne Zuhilfenahme des mGuard VPN Ve
88. ier die IP Adresse der Gegenstelle an Statt einer IP Adresse k nnen Sie auch einen Hostnamen d h Domain Namen im URL Format in der Form vpn example com eingeben Falls der VPN Gateway der Gegenstelle keine feste und bekannte IP Adresse hat kann ber die Inanspruchname des DynDNS Service dennoch eine feste und bekannte Adresse simuliert werden Siehe Dienste DynDNS Registrierung auf Seite 59 e Falls der mGuard bereit sein soll die Verbindung anzunehmen die eine ent fernte Gegenstelle mit beliebiger IP Adresse aktiv zum lokalen mGuard initiiert und aufbaut dann geben Sie an any Dann kann eine entfernte Gegenstelle den lokalen mGuard anrufen die ihre eigene IP Adresse vom Internet Service Provider dynamisch zugewiesen er h lt d h eine wechselnde IP Adresse hat Nur wenn in diesem Szenario die entfernte anrufende Gegenstelle auch eine feste und bekannte IP Adresse hat k nnen Sie diese IP Adresse angeben B gt any kann nur zusammen mit dem Authentisierungsverfahren ber X 509 Zertifikate verwendet werden 47 von 93 48 von 93 Verbindungstyp Es stehen zur Auswahl Tunnel Netz gt Netz Transport Host gt Host Transport L2TP Microsoft Windows Transport L2TP SSH Sentinel Tunnel Netz gt Netz Dieser Verbindungstyp eignet sich in jedem Fall und ist der sicherste In die sem Modus werden die zu bertragenen IP Datagramme vollkommen ver schliisselt und mit einem neuen Header
89. ier eingestellte Pornummer Prioritat gegen ber Ragen zum Portforwarding Das SNMP Simple Network Management Protokoll wird vorzugsweise in komplexeren Netzwerken benutzt um den Zustand und den Betrieb von Ger ten zu berwachen Das SNMP gibt es in mehreren Entwicklungsstufen SNMPv1 SNMPv2 und SNMPv3 Die lteren Versionen SNMPv1 SNMPv2 benutzen keine Verschl sselung und gelten als nicht sicher Daher ist davon abzuraten SNMPv1 SNMPv2 zu benut zen SNMPv3 ist unter dem Sicherheitsaspekt deutlich besser wird aber noch nicht von allen Management Konsolen unterst tzt BO SNMP Get oder Walk Anfragen k nnen l nger als eine Sekunde dau ern Dieser Wert entspricht jedoch dem Standard Timeout Wert einiger SNMP Management Applikationen Bitte setzen Sie aus diesem Grund den Timeout Wert Ihrer Management Ap plikation auf Werte zwischen 3 und 5 Sekunden falls Timeout Probleme auf treten sollten Aktiviere SNMPv3 Ja Nein Wollen Sie zulassen dass der mGuard per SNMPv3 berwacht werden kann set zen Sie diesen Schalter auf Ja F r den Zugang per SNMPV3 ist eine Authentifizierung mittels Login und Pa wort notwendig Die Werkseinstellungen f r die Login Parameter lauten Login admin Passwort SnmpAdmin F r die Authentifizierung wird MD5 unterst tzt f r die Verschl sselung DES Die Login Parameter f r SNMPv3 K nnen nur mittels SNMPv3 ge ndert wer den Aktiviere SNMPVvI V2 Ja Nein Wol
90. il Clients Meldungen des Virenfilters Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten Sie Verschl sselungsoptionen wie TLS nicht aktivieren Im Falle des Er kennens eines Virus oder beim Auftreten von Fehlern wird der E Mail Client des Absenders durch einen Fehlercode benachrichtigt und ein Logeintrag im Antivi rus Log vorgenommen Der urspr ngliche Empf nger erh lt weder die infizierte Mail noch eine Benachrichtigung ity Technologies AG Security Appliance Antivirus gt SMTP Einstellungen Aut Vics Scat f r SMTP Malern scannen bis zur Gr sse von default 5MB SMB rl bei berschreiten der Gr ssenbegrenzung E Mail blockieren E Liste der SMTP Server Ps E EE EEN g L pooon ps Scannen EN x Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r SMTP muss der zu scannende Adressbereich mit entsprechenden Firewalregelh freigeschaltet werden Powered by 4 VIRUS Anti Virus Schutz f r SMTP E Mail Versand Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r SMTP Verbindungen auf den SMTP Proxy angelegt Scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreitung der Gr ssenbeg
91. ils deren aktueller Status angezeigt GATEWAY zeigt die IP Adressen der miteinander kommunizierenden VPN Gateways TRAFFIC bezeichnet Rechner bzw Netze die ber die VPN Gateways kommunizieren ID bezeichnet den Distinguished Name DN eines X 509 Zertifikats ISAKMP Status ISAKMP Status Internet security association and key management protocol ist mit established angegeben wenn die beiden beteiligten VPN Gateways einen Kanal zum Schl sselaustausch aufgebaut haben In diesem Fall konnten sie einander kontaktieren und alle Eintr ge bis einschlie lich ISAKMP SA auf der Konfigurationsseite der Verbindung waren korrekt IPsec Status IPsec Status ist mit established angegeben wenn die IPsec Verschl sse lung bei der Kommunikation aktiviert ist In diesem Fall waren auch die An gaben unter IPsec SA und Tunnel Einstellungen korrekt Bei Problemen empfiehlt es sich in die VPN Logs des Rechners zu schauen zu dem die Verbindung aufgebaut wurde Denn der initiierende Rechner bekommt aus Sicherheitsgr nden keine ausf hrlichen Fehlermeldungen zugesandt Falls angezeigt wird ISAKMP SA established IPsec State WAITING Dann bedeutet das 56 von 93 Die Authentifizierung war erfolgreich jedoch stimmten die anderen Parameter nicht Stimmt der Verbindungstyp Tunnel Transport berein Wenn Tunnel gew hlt ist stimmen die Netzbereiche auf beiden Seiten berein Falls angezeigt wird IPsec Stat
92. in Eintrag im Antivirus Log vorgenommen Falls der Virenfilter keinen Virus findet wird der Datenblock vom Proxy unver ndert weitergesendet Details erfahren Sie in den folgenden Abschnitten zu den jeweiligen Protokollen Der Virenfilter kann folgende Formate dekomprimieren e ZIP e RAR e Mail e Embedded RFC822 MIME Anh nge an E Mails MS OLE inklusive gzip ped embedded Skripte e GZIP e Compress Die Unterst tzung weiterer Formate Trap UPX ist in Vorbereitung Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Antiviren Lizenz Nur mit installierter Lizenz ist das Men Antivirus aktiviert Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Antivirus gt Lizenzanforderung e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensigna turen siehe Abschnitt Antivirus gt Datenbank Update e Konfiguration und Aktivierung des Antiviren Schutzes siehe folgende Abschnitte f r die jeweiligen Protokolle Wenn Ihre Antivirus Lizenz abgelaufen ist wird die weitere Aktualisierung der Virensignaturen gesperrt Es erscheint im Men Antivirus Schutz Status gt Da tenbank Update Status der Text locked 45 kavupdater licence expired In diesem Fall k nnen Sie nach dem Einspielen einer neuen Lizenz die Aktualisie rung wieder freischalten indem Sie Unlock Database Update im Men Antivi rus Schutz Status anklicken Die
93. indows Internet Naming Service WINS Hostna men in Adressen aufl st Statische Zuweisungen anhand der MAC Adresse Die MAC Adresse Ihres Clients finden Sie wie folgt heraus Windows 95 98 ME Starten Sie winipefg in einer DOS Box Windows NT 2000 XP Starten Sie ipconfig all in einer Eingabeaufforderung Die MAC Adresse wird als Physikalische Adresse angezeigt Linux Rufen Sie in einer Shell sbin ifconfig oder ip link show auf L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben 61 von 93 Bei den Angaben haben Sie folgende M glichkeiten MAC Adresse des Clients Die MAC Adresse ohne Leerzeichen oder Bindestriche des Clients IP Adresse des Clients Die statische IP des Clients die der MAC Adresse zugewiesen werden soll B gt Die statischen Zuweisungen haben Vorrang vor dem dynamischen IP Adres spool BO Statische Zuweisungen d rfen sich nicht mit dem dynamischen IP Adres spool berlappen D Eine IP darf nicht in mehreren statischen Zuweisungen verwendet werden ansonsten wird diese IP mehreren MAC Adressen zugeordnet Es sollte nur ein DHCP Server pro Subnetz verwendet werden DHCP Server zu denen weitergeleitet werden soll Eine Liste von ein oder mehreren DHCP Servern an welche DHCP Anfragen weitergeleitet werden sollen F ge Relay Agent Information an Beim Weiterleiten k nnen zus tzliche Informationen nach RFC 3046 f r die DHC
94. ion bis zum Ablauf der SA Lebensdauer ge wartet werden oder die Verbindung manuell neu initiiert werden Action Bei Hold Halten wird versucht die IPsec Verbindung neu aufzubauen wenn diese f r tod erkl rt wurde Bei Clear L schen wird nicht versucht die Ver bindung erneut aufzubauen Die Werkseinstellung ist Hold Delay Zeitspanne in Sekunden nach welcher DPD Keep Alive Anfragen gesendet werden sollen die testen ob die Gegenstelle noch verf gbar ist Die Werkseinstellung sind 30 Sekunden Timeout Zeitspanne in Sekunden nach der die Gegenstelle die Verbindung f r tod er kl rt werden soll wenn auf die Keep Alive Anfragen keine Antwort erfolgte Die Werkseinstellung sind 120 Sekunden VPN gt Maschinen zertifikat 54 von 93 Security Appliance VPN gt Maschinen Zertifikat L Berlin o Innominate Security Technologies AG ov support L2TP Status VPN Logs mhop innomina te com Zertifikat 0 Innominate Security Technologies AG F Support ov support System on Test cA emailaddresssnhopf innominate com 5 Fingerprint 16 70 83 FC BE E3 DB 0E D2 90 BF 80 65 39 09 7E SMAI Fingerprint 14 20 45 AB 82 52 AB 2F 05 ORIEF 20 10 AC BD AD 6D 88 02 44 notBefore Jul 2 15 27 04 2004 our notafter gun 30 15 27 04 2014 our PKCS 2 Datcrame p12 Neues zerimat ee Zertifikat Zeigt das aktuell importierte X 509 Zertifikat an mit dem sich der mGuard ge gentiber a
95. it eine Authentifizierung beim Proxy Server erfolgt m ssen die Fel der Login und Passwort ausgef llt sein HTTP FTP Proxy Server Die IP oder der Hostname des Proxyservers Port Der zu der IP oder dem Hostnamen geh rende Port des Proxyservers Login Der Login falls der Proxy Server eine Authentifizierung verlangt Passwort Das zum Login geh rende Passwort Antivirus gt Antivi rus Status mGuard Security Appliance Antivirus gt Antivirus Status Antiviren Schutz Status unten Letztes Datenbank Update keine Datenbank installiert Datenbank Update Status unten Antiviruslizenz installiert ja Ablaufdatum 2004 1 1 30T23 59 59 Powered by KASPERSKY a ANTI VIRUS Sie k nnen die erfolgreiche Freischaltung des Virenfilters berpr fen Unter die sem Men punkt finden Sie auch Informationen ber das Ablaufdatum Ihrer Li zenz Antiviren Schutz Status Hier k nnen Sie den Status der Scan Engine berpr fen Wenn die berwa chung f r mindestens ein Protokoll aktiviert ist wird hier der Status up ange zeigt Letztes Datenbank Update Es wird der Tag angezeigt an dem das letzte mal eine nderung der Virensigna turen durchgef hrt wurde Datenbank Update Status Hier wird angezeigt ob die Datenbank Aktualisierung aktiviert ist ob gerade ein Datenbank Update durchgef hrt wird oder ob die Aktualisierung wegen einer abgelaufenen Antivirenlizenz gesperrt ist Antiviruslizenz installiert Hie
96. k Die Netzwerkadresse am externen Interface WAN Netzmaske Die Netzmaske als Wert zwischen 1 und 32 f r die lokale und externe Netz werkadresse siehe auch CIDR Classless InterDomain Routing auf Seite 79 Firewall gt Erweiterte Einstellungen Security Appliance _ Dem Firewall gt Erweiterte Einstellungen Alle Modi Ausgehend Maximale Zahl gleichzeitiger Verbindungen Connection Tracking Port Weiterleitung A Maximale Zahl neuer ausgehender TCP Verbindungen SYN pro Sekunde Einstellingen Maximale Zahl neuer eingehender TCP Verbindungen SYN pro Sekunde Maximale Zahl ausgehender Ping Pakete ICMP Echo Request pro Sekunde Maximale Zahl eingehender Ping Pakete ICMP Echo Request pro Sekunde Aktiviere FTP NAT Connection Tracking Unterst tzung Aktiviere IRC NAT Connection Tracking Unterst tzung Aktiviere PPTP NAT Connection Tracking Unterst tzung Aktiviere H 323 NAT Connection Tracking Unterst tzung Aktiviere TCP UDPACMP Konsistenzpr fungen Nur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests und ARP Replies pro Sekunde Jeweils maximale Zahl eingehender ARP Requests und ARP Replies pro Sekunde Router Modi ICMP von extem zum mGuard Verwerfen EI Werkseinstellungen A Die Einstellungen betreffen das grundlegende Verhalten der Firewall Alle Modi Maximale Zahl Diese 5 Eintr ge legen Obergrenzen fest Diese sind so gew hlt dass s
97. ktivieren BO In beiden F llen wird die bertragene Datei nicht nach Viren untersucht Temporary Virus Scanner Failure Ein tempor rer Fehler trat bei dem Versuch auf eine Datei zu scannen Eine Wie derholung der bertragung zu einem sp teren Zeitpunkt oder ein Update der Vi rensignaturdatei kann evtl das Problem beheben M gliche Fehlerursachen e Die Scan Engine ist nicht in der Lage die Datei zu bearbeiten e Die Speicherkapazit t des Innominate mGuard reicht nicht zur Dekompres sion der Datei aus e Interner Fehler der Scan Engine Exceptional Virus Scanner Failure Ein Kommunikationproblem mit der Kaspersky Scan Engine trat auf Genauere Angaben zum Problem finden Sie im Antivirus Log M gliche Fehlerursachen e Fehlgeschlagenes Signatur Update durch fehlerhafte Angabe des Update Servers Men punkt Antivirus gt Database Update e Ung ltige oder veraltete Lizenz f r den Virenfilter e Besch digtes oder fehlerhaftes Update der Virensignaturdatei Update running Der Virenfilter verf gt ber keine Virensignaturen der Download der Virensi gnaturen wurde bereits gestartet Sie k nnen den Fortschritt des Downloads im Men punkt Antivirus gt Update Logs verfolgen Die Innominate AG beh lt sich vor nach Ablauf Ihrer Antiviren Lizenz im Zuge eines Software Updates die Virensignaturen zu l schen wenn aus Gr nden der Speicherkapazit t die Notwendigkeit dazu besteht In diesem Fall erhalten Sie ebenfalls die Fe
98. len Sie zulassen dass der mGuard per SNMPv1 v2 berwacht werden kann setzen Sie diesen Schalter auf Ja Zus tzlich m ssen Sie die nachfolgenden Login Daten angeben SNMPv1 und SNMPV2 read write Community SNMPv1 und SNMPY2 read only Community Geben Sie in diese Felder die erforderlichen Login Daten ein Port f r SNMP Verbindungen g ltig f r externes Interface Standard 161 Firewall Regeln zu Freigabe des SNMP Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines SNMP Zugriffs L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten 69 von 93 Von IP Interface Aktion Log mit Tabellen auf Seite 16 beschrieben Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fernzu gang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten e Von IP 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 extern fest vorgegeben M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so
99. lgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller POP3 Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 79 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das POP3 Protokoll an Der POP3 Standardport 110 ist bereits voreingestellt B gt Das Einschalten des POP3 Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Antivirus gt HTTP Einstellungen 38 von 93 ate ity Technologies AG Security Appliance Antivirus gt HTTP Einstellungen Anti Virus Schutz f r HTTP scannen bis zur Gr sse von defautt 5MB SMB gt bei Virusdetektion Fehlermeldung an den Browser bei
100. lgt vor Voraussetzung Sie haben die cer oder pem Datei auf dem Rechner gespeichert 1 Konfigurieren klicken Folge Der Bildschirm VPN gt Verbindungen gt Verbindung xyz gt X 509 Zer tifikat erscheint xyz ist der jeweilige Name der Verbindung 2 Durchsuchen klicken und die Datei selektieren 3 Importieren klicken Nach dem Import wird der Inhalt des neuen Zertifikats angezeigt siehe nachfolgende Abbildung Eine Erl uterung der angezeigten Informationen finden Sie im Kapitel VPN Maschinenzertifikat auf Seite 54 VPN gt Verbindungen gt Verbindung urban gt X 509 Zertifikat subject C DE ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN Identity 001 emailAddress mhopf innominate com issuer C DE Aktuelles Zertifikat ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN mGuard Team IPsec CA emailAddress mhopf innominate com MDS Fingerprint 80 42 60 7F 53 46 DF A6 2D 34 E4 43 7B 53 F5 08 SHA1 Fingerprint 73 03 B0 B2 84 9C 97 58 B8 3D 05 D5 56 F1 64 C4 61 AA 47 4B notBefore May 15 15 15 44 2003 GMT notAfter May 14 15 15 44 2004 GMT Dateiname ce Durchsuchen Importieren 4 Zur ck klicken Pre Shared Secret Key PSK Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen un terst tzt Dabei authentifizieren sich beide Seiten des VPNs ber den gleichen PSK Um den verabredeten Schl ssel dem mGuard zur Verf gung zu stellen
101. lich zwischen zwei Rechnern mehrere UDP oder TCP Verbindungen zu unterscheiden und somit gleichzeitig zu nutzen Bestimmte Portnummern sind f r spezielle Zwecke reserviert Zum Beispiel werden in der Regel HTTP Verbindungen zu TCP Port 80 oder POP3 Verbindun gen zu TCP Port 110 aufgebaut Akronym f r Point to Point Protocol over Ethernet Basiert auf den Standards PPP und Ethernet PPPoE ist eine Spezifikation um Benutzer per Ethernet mit dem Internet zu verbinden ber ein gemeinsam benutztes Breitbandmedium wie 89 von 93 PPTP X 509 Zertifikat Protokoll bertra gungsprotokoll Service Provider Spoofing Antispoofing 90 von 93 DSL Wireless LAN oder Kabel Modem Akronym f r Point to Point Tunneling Protocol Entwickelt von Microsoft U S Robotics und anderen wurde dieses Protokoll entwickelt um zwischen zwei VPN Knoten gt VPN ber ein ffentliches Netz sicher Daten zu bertragen Eine Art Siegel welches die Echtheit eines ffentlichen Schl ssels gt asym metrische Verschl sselung und zugeh riger Daten belegt Damit der Benutzer eines zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von seinem tats chlichen Aussteller und damit der Instanz stammt die die zu versen denden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Diese Be glaubigung der Echtheit des ffentlichen Schl ssels und die da
102. lobalen Aktivierung des Virenschutzes f r POP3 muss der zu scannende Adressbereich mit entsprechenden Firewallregein freigeschaltet werden i F Powered by 3 ANTI VIRUS Anti Virus Schutz fiir POP3 E Mail Abholung Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deak tivieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r POP3 Verbindungen auf den POP3 Proxy angelegt BO Tip Bei einer POP3 Verbindung werden durch die meisten E Mail Clients alle E Mails ber eine Verbindung abgerufen so da die neue Einstellung erst gilt wenn die letzte Mail der aktuellen Verbindung von diesem Server abge rufen wurde Um also w hrend eines laufenden E Mail Transfers Einstellun gen zu ver ndern sollte der Transfer zun chst abgebrochen werden scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreiten der Gr enbegrenzung eine Fehlermeldung an den E Mail Client gesendet und die E Mail nicht empfangen oder automatisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende
103. lth Modus gt Dienste gt Zugang gt Features gt Support P system Listet die festgelegten Regeln zur Port Weiterleitung auf Bei Port Weiterleitung geschieht Folgendes Der Header eingehender Datenpa kete aus dem externen Netz die an die externe IP Adresse oder eine der exter nen IP Adressen des mGuard sowie an einen bestimmten Port des mGuard gerichtet sind werden so umgeschrieben dass sie ins interne Netz an einen be stimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden D h die IP Adresse und Port Nummer im Header eingehender Daten pakete werden ge ndert Dieses Verfahren wird auch Destination NAT genannt BO Die hier eingestellten Regeln haben Vorrang gegen ber den Einstellungen unter Firewall gt Eingehend L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Protokoll Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll 27 von 93 Von IP Absenderadresse f r die Weiterleitungen durchgef hrt werden sollen 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Von Port Absenderport f r den Weiterleitungen durchgef hrt werden sollen any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Por
104. m Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Porinummer Priort tgegen ber Regeln zum Porttorwarding Bei eingeschaltetem HTTPS Fernzugang kann der mGuard ber seine webba sierte Administratoroberfl che von einem entfernten Rechner aus konfiguriert werden Das hei t auf dem entfernten Rechner wird der Browser benutzt um den lokalen mGuard zu konfigurieren Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass ein si cheres Root und Administrator Passwort festgelegt ist Um HTTPS Fernzugang zu erm glichen machen Sie nachfolgende Einstellun gen Aktiviere HTTPS Fernzugang Ja Nein Wollen Sie HTTPS Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja BO Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Firewall Regeln so zu setzen dass von au en auf den mGuard zugegriffen werden kann Port f r HTTPS Verbindungen nur Fernzugang 66 von 93 Standard 443 Sie k nnen einen anderen Port festlegen Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressenan gabe hinter die IP Adresse die Port Nummer angeben die hier festgelegt ist Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Brow
105. mindestens die IP Adresse eines der Partner bekannt sein damit diese miteinander Kontakt aufnehmen k nnen Diese Bedingung ist nicht erf llt wenn beide Teilnehmer ihre IP Adressen dynamisch von ihrem Internet Service Provider zugewiesen bekommen In diesem Fall kann aber ein DynDNS Service wie z B DynDNS org oder DNS4BIZ com helfen Bei einem DynDNS Service wird die jeweils g ltige IP Adresse unter einem fes ten Namen registriert 59 von 93 Sofern Sie f r einen vom mGuard unterst tzten DynDNS Service registriert sind k nnen Sie in diesem Dialogfeld die entsprechenden Angaben machen Diesen mGuard bei einem DynDNS Server anmelden Ja Nein W hlen Sie Ja wenn Sie beim DynDNS Anbieter entsprechend registriert sind und der mGuard den Service benutzen soll Dann meldet der mGuard die aktuelle IP Adresse die dem eigenen Internet Anschluss vom Internet Service Provider zugewiesen ist an den DynDNS Service Meldeintervall Sekunden Standard 420 Sekunden Immer wenn sich die IP Adresse des eigenen Internet Anschlusses ndert infor miert der mGuard den DynDNS Service ber die neue IP Adresse Aus Zuver l ssigkeitsgr nden erfolgt diese Meldung zus tzlich in dem hier festgelegten Zeitintervall Bei einigen DynDNS Anbietern wie z B DynDNS org hat diese Einstellung kei ne Wirkung da dort ein zu h ufiges Melden zur L schung des Accounts f hren kann DynDNS Anbieter Die zur Auswahl gestellten Anbieter unterst tzen das
106. mit verbundene Verkn pfung der Identit t des Ausstellers mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Re geln der CA indem der Aussteller des ffentlichen Schl ssels beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher berpr fung signiert die CA den ffentliche Schl ssel mit ihrer digitalen Unterschrift ihrer Signatur Es ent steht ein Zertifikat Ein X 509 v3 Zertifikat beinhaltet also einen ffentlichen Schl ssel Informa tionen ber den Schl sseleigent mer angegeben als Distinguised Name DN erlaubte Verwendungszwecke usw und die Signatur der CA Die Signatur entsteht wie folgt Aus der Bitfolge des ffentlichen Schl ssels den Daten ber seinen Inhaber und aus weiteren Daten erzeugt die CA eine individu elle Bitfolge die bis zu 160 Bit lang sein kann den sog HASH Wert Diesen ver schl sselt die CA mit ihrem privaten Schl ssel und f gt ihn dem Zertifikat hinzu Durch die Verschl sselung mit dem privaten Schl ssel der CA ist die Echtheit belegt d h die verschl sselte HASH Zeichenfolge ist die digitale Unterschrift der CA ihre Signatur Sollten die Daten des Zertifikats missbr uchlich ge ndert werden stimmt dieser HASH Wert nicht mehr das Zertifikat ist dann wertlos Der HASH Wert wird auch als Fingerabdruck bezeichnet Da er mit dem priva ten Schl ssel der CA verschl sselt ist kann jeder der den zugeh rigen ffentli
107. n Verschieben von Zeilen 16 von 93 2x EEE gt EEE oes A St 2 oi Lei mg 1 Klicken Sie auf den Pfeil unter dem Sie eine neue Zeile einf gen wollen E 2 Die neue Zeile ist eingef gt x EEE gt lt EEE EP x EEE el 1 sl t sL e Og r SI 2 ll 3 et 3 Oct 3 3 pL 2 Dis el El 1 Markieren Sie eine oder mehrere Zeilen die Sie verschieben wollen 2 Klicken Sie auf den Pfeil unter den Sie die markierten Zeilen verschieben L schen von Zeilen 5 5 Startseite Hostname Kontakt Standort wollen E 3 Die Zeilen sind verschoben or ON O GE sul sol x T B Ries eLL 3 a scl Pn st 1 Markieren Sie die Zeilen die Sie l schen wollen 2 Klicken Sie auf das Zeichen zum L schen x 3 3 Die Zeilen sind gel scht Ei yrity Technologies AG Security Appliance Innominate mGuarcl Netzwerk P Firewall P Antivirus Willkommen zur mGuard Administration WARNUNG DAS ROOT PASSWORD IST NICHT KONFIGURIERT WARNUNG DAS ADMIN PASSWORD IST NICHT KONFIGURIERT gt Dienste gt zugang gt Features gt Support P System Auf der Startseite k nnen Sie verschiedene Informationen eintragen die Ihnen und anderen bei der Administration des mGuards helfen k nnen Der Hostname dieses mGuards Name der Person die diesen mGuard verwaltet und wie man sie erreichen kann Standort an dem sich dieser mGuard befindet BO Wir empfehlen aus Sicherheitsgr nden bei der erst
108. n aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern 11 von 93 5 Konfiguration Voraussetzungen e Der mGuard muss eingeschaltet sein d h per USB Kabel an einen einge schalteten Rechner oder Netzteil angeschlossen sein so dass er mit Strom versorgt wird e Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder am Ethernet Stecker des mGuard smart angeschlossen sein oder er muss ber das lokale Netzerk mit ihm verbunden sein e Bei Fernkonfiguration Der mGuard smart muss so konfiguriert sein dass er eine Fernkonfiguration zul sst e Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren 5 1 Lokale Konfiguration Bei Inbetriebnahme Bei konfigurierter Netzwerk Schnitt stelle Bei nicht konfigurierter Netz werk Schnittstelle 12 von 93 Der mGuard smart wird per Web Browser konfiguriert der auf dem Konfigura tions Rechner ausgef hrt wird z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 D Der Web Browser muss SSL d h https unterst tzen Der mGuard ist gem Werkseinstellung unter folgender Adressen erreichbar Werkseinstellung Stealth Modus Auslieferungszustand https 1 1 1 1 Damit der mGuard ber die Adresse https 1 1 1 1 angesprochen werden kann muss er an eine konfigurierte Netzwerk Schnittstelle ange
109. n benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich 51 von 93 Weitere IKE Einstel lungen Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel H das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden Technologies AG Security Appliance reom vate mowed VPN gt Verbindungen gt Verbindung harlock gt Weitere IKE Einstellungen letzwerk P Firewall er ISAKMP SA Schl
110. n wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Firewall gt Eingehend ate ity Technologies AG Security Appliance Firewall gt Eingehend DEI oc vor vor TT TT ai 1m ell z pooo cb pooo tp FAnnehmen il Nein I ef fer z pooo fry pocoo ke Annehmen vj Nein x eil z pooo fry pooon ftp Annehmen Nen xi Log Eintr ge f r unbekannte Verbindungsversuche Diese Regeln geben an welcher Verkehr von au en nach innen passieren dart Bitte beachten Sie Port Angaben werden nur f r TGP und UDP ausgewertet Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten verbindungen die von extern initiiert wurden Ist keine Regel gesetzt werden alle eingehenden Verbindungen au er VPN verworfen Werkseinstellung L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Durch die Aktivierung der Antivirusfunktion siehe Men Antivirus auf Seite 33 werden implizit Firewallregeln f r die Protokolle HTTP SMTP und POP3 eingerichtet die nicht in der Liste der Firewall Regeln erscheinen Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Sch
111. n the residential sphere residential sphere business and trade sphere and small companies and in the industrial sphere e Interference proof EN 61000 6 2 2001 e Emitted immunity EN 55022 1998 A1 2000 A2 2003 Class A FCC Note This equipment has been tested and found to comply with the limits for a Class A digital device persuant to part 15 of the FCC Rules These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment This equipment generates uses and can radiate radio frequency energy and if not installed and used in accordance with the instruction manual may cause harmful interference to radio communications Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense 93 von 93
112. nderen VPN Gateways ausweist Folgende Informationen werden an gezeigt subject Der Besitzer auf den das Zertifikat ausgestellt ist issuer Die Beglaubigungsstelle die das Zertifikat unter schrieben hat C Land Country ST Bundesland State L Stadt Location O Organisation OU Abteilung Organisation Unit CN Hostname allgemeiner Name Common Name MDS SHAI Fingerprint Fingerabdruck des Zertifikats um diesen z B am Telefon mit einem anderen zu vergleichen Windows zeigt an dieser Stelle den Fingerabdruck im SHAI Format an notBefore notAfter G ltigkeitszeitraum des Zertifikats Wird vom mGuard mangels einer eingebauten Uhr ignoriert Die importierte Zertifikatsdatei Dateinamen Erweiterung p12 oder pfx ent h lt neben den oben angegebenen Informationen die beiden Schl ssel den f fentlichen zum Verschl sseln den privaten zum Entschl sseln Der zugeh rige ffentliche Schl ssel kann an beliebig viele Verbindungspartner vergeben wer den so dass diese verschl sselte Daten senden k nnen In Abh ngigkeit von der Gegenstelle muss das Zertifikat als cer oder pem Da tei dem Bediener der entfernten Gegenstelle zur Verf gung gestellt werden z B durch pers nliche bergabe oder per E Mail Wenn Ihnen kein sicherer bertragungsweg zur Verf gung steht sollten Sie anschlie end den vom mGuard angezeigten Fingerabdruck ber einen sicheren Weg vergleichen Es kann nur eine Zertifikats D
113. nologies AG Security Appliance Dienste gt DNS Hostnamen Modus Nutzer definiert siehe unten sl Hostname ausicaa DynDNS berwachung Domain Suchpfad xample local DynDNS Registrierung ee z e DHCP im Stealth Modus werden nur die Einstellungen Nutzer definiert und Root Nameserver unterst tzt Andere Einstellungen werden ignoriert Benutzte Nameserver Root Nameserver el Nutzer definerte Nameserver Soll der mGuard eine Verbindung zu einer Gegenstelle aufbauen z B VPN Ga teway oder NTP Server muss ihm die IP Adresse dieser Gegenstelle bekannt sein Wird ihm die Adresse in Form eines Hostnamens angegeben d h in der Form www example com dann muss das Ger t auf einem Domain Name Server DNS nachschlagen welche IP Adresse sich hinter dem Hostnamen verbirgt Wenn sich der mGuard nicht im Stealth Modus befindet k nnen Sie die lokal angeschlossenen Clients so konfigurieren dass sie den mGuard zur Aufl sung von Hostnamen in IP Adressen benutzen k nnen Siehe IP Konfiguration bei Windows Clients auf Seite 62 Hostnamen Modus Hostname Mit Hostnamen Modus und Hostname k nnen Sie dem mGuard einen Namen ge ben Dieser wird dann z B beim Einloggen per SSH angezeigt Eine Namensge bung erleichtert die Administration mehrerer mGuards Nutzer definiert siehe unten Standard Der im Feld Hostname eingetragene Name wird als Name f r den mGuard gesetzt BO Arbeitet der mGuard im Stealth Modus muss
114. pliance Netzwerk gt Router Extemes Interface Exteme Konfiguration per DHCP beziehen Nein Wenn DHCP auf Nein gesetzt ist werden die foktenden Angaben ben tigt Exteme Netzwerke ip Netzmaske ee fee E Default Gateway es eat ees Voraussetzung Der mGuard ist auf den Netzwerk Modus Router gestellt Externes Interface Externe Konfiguration per DHCP beziehen Ja Nein Falls der mGuard die Konfigurationsdaten per DHCP Dynamic Host Configuration Protocol vom DHCP Server bezieht legen Sie Ja fest Dann bleiben weiter Angaben auf dieser Seite wirkungslos Falls der mGuard die Daten nicht per DHCP Dynamic Host Configura tion Protocol vom DHCP Server bezieht legen Sie Nein fest und machen Sie die folgenden weiteren Angaben Externe Netzwerke Externe IPs Die Adressen unter denen der mGuard von Ger ten des externen Netzes an geschlossenen an der Ethernet Buchse des mGuard aus erreichbar ist Sie bil den die Schnittstelle zu anderen Teilen des LAN oder zum Internet Findet hier der Ubergang zum Internet statt werden die IP Adressen vom Internet Service Provider ISP vorgegeben SF Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Die erste IP Adresse in der Liste kann nicht gel scht werden Zus tzliche externe Routen Zus tzlich zur Default Route s u k nnen Sie weitere externe Routen fest legen L Das Einf gen Verschieben und L
115. r Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis B gt Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl berschritten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller HTTP Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 79 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das HTTP Protokoll an Der HTTP Standardport 80 ist bereits voreingestellt Das Einschalten des HTTP Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert 40
116. r Host der angerufene Datagramm DynDNS Anbieter Bei IP bertragungsprotokollen werden Daten in Form von Datenpaketen den sog IP Datagrammen versendet Ein IP Datagramm hat folgenden Aufbau IP Header TCP UDP ESP etc Header Daten Payload Der IP Header enth lt die IP Adresse des Absenders source IP address die IP Adresse des Empf ngers destination IP adress die Protokollnummer des Protokoll der n chst h heren Protokollschicht nach dem OSI Schichtenmodell die IP Header Pr fsumme Checksum zur berpr fung der Integrit t des Headers beim Empfang Der TCP UDP Header enth lt folgende Informationen Port des Absenders source port Port des Empf ngers destination port eine Pr fsume ber den TCP Header und ein paar Informationen aus dem IP Header u a Quell und Ziel IP Adresse Auch Dynamic DNS Anbieter Jeder Rechner der mit dem Internet verbunden ist hat eine IP Adresse IP Internet Protocol Eine IP Adresse besteht aus 4 maximal dreistelligen Nummern jeweils durch einem Punkt getrennt Ist der Rechner ber die Telefonleitung per Modem per ISDN oder auch per ADSL online wird ihm vom Internet Service Provider dynamisch eine IP Adresse zugeordnet d h die Adresse wechselt von Sitzung zu Sitzung Auch wenn der Rechner z B bei einer Flatrate ber 24 Stunden ununterbrochen online ist wird die IP Adresse zwischendurch gewechselt Soll ein lokaler Rechner
117. r Konfigurationszwecke wieder erreichbar ist unter folgender Adresse https 1 1 1 1 BO Die konfigurierten Einstellungen f r VPN Verbindungen und Firewall bleiben erhalten ebenso Passw rter M gliche Gr nde zum Ausf hren der Recovery Prozedur Der mGuard befindet sich im Router oder PPPoE Modus und die Ger teadresse des mGuard ist konfiguriert worden abwei chend von der Standardeinstellung und Sie kennen die aktuelle IP Adresse des Ger tes nicht 1 Die Rescue Taste langsam 6 mal dr cken Folge Nach ca 2 Sekunden antwortet der mGuard Die mittlere LED blinkt 6 mal in Rot 2 Innerhalb der n chsten 60 Sekunden erneut die Rescue Taste 6 mal dr cken Folge Das Ger t vollzieht einen Neustart und schaltet sich dabei auf den Stealth Modus Es ist dann wieder unter folgender Adresse zu erreichen https 1 1 1 1 81 von 93 6 3 Flashen der Firmware 82 von 93 Ziel Die gesamte Software des mGuard soll neu ins Ger t geladen wer den B gt Alle konfigurierten Einstellungen werden gel scht Der mGuard wird in den Auslieferungszustand versetzt M gliche Gr nde zum Flashen der Firmware e Das Administrator und Root Passwort sind verloren gegangen Aktion Gehen Sie wie folgt vor B Sie d rfen w hrend der gesamten Flash Prozedur auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte anson sten besch digt werden und nur noch durch den Hersteller reaktiviert werden Voraus
118. r k nnen Sie die G ltigkeit der installierten AVP Lizenz berpr fen Ablaufdatum Zeigt das Ablaufdatum der installierten AVP Lizenz an 42 von 93 Antivirus gt Lizenz anforderung ity Technologies AG Security Appliance Innominate mGuard Antivirus gt Lizenzanforderung Netzwerk P Firewall antivirus Flash ID 000c00083125db66 0263 SMTP Einstellungen PEPEE EPEE Bene POPS Einstellungen Abrufen HTTP Einstellungen z Datenbank Update Status ei ie Sg Installere Lizenz Powered by a Virus Logs 3 Update Logs DVPN ANTI VIRUS gt Dienste P Zugang gt Features P Support P system Beim Kauf Ihrer Antivirus Lizenz erhalten Sie einen Voucher auf dem Sie ein Lizenz Key und eine Lizenznummer finden Um Ihren Virenfilter zu aktivieren m ssen Sie zun chst mit diesen Informationen Ihre Lizenzdatei anfordern Dazu dr cken Sie Abrufen im Men Antivirus gt Lizenzanforderung Sie gelangen dann auf eine Web Seite in deren Felder Sie die folgenden Infor mationen eingeben License Serial Die Seriennummer die auf Ihrem Vocher gedruckt ist License Key Der Lizenz Key auf Ihrem Voucher Flash Id Wird automatisch vorausgef llt Email Address Ihre E Mail Adresse f r die Zustellung der Lizenzdatei Nach erfolgreichem Ausf llen des Formulars wird Ihnen die Lizenzdatei zuge sendet Lizenzdatei installieren Um die Lizenzdatei zu installieren w hlen Sie bitte die Datei im Men punkt Anti
119. rbindungen mittels PPTP zu externen Rechner aufgebaut werden k nnen sollen Werkseitig ist dieser Schalter auf Nein gesetzt Aktiviere H 323 NAT Connection Tracking Unterst tzung Muss Ja gesetzt werden wenn von lokalen Rechnern mittels H 323 Telefon oder Videoverbindungen zu externen Rechner aufgebaut werden k nnen sol len Werkseitig ist dieser Schalter auf Nein gesetzt Aktiviere TCP UDP ICMP Konsistenzpr fung Wenn auf Ja gesetzt f hrt der mGuard eine Reihe von Tests auf falsche Pr f summen Paketgr en usw durch und verwirft diese Pakete Werkseitig ist dieser Schalter auf Ja gesetzt Nur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests Jeweils maximale Zahl eingehender ARP Requests Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden ARP Requests pro Sekunde fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Router Modi Firewall gt Logs Nur Anzeige ICMP von extern zum mGuard Mit dieser Option k nnen Sie das Verhalten beim Empfang von ICMP Nach richten beeinflussen die aus dem externen Netz an den mGuard gesendet wer den Sie haben folgende M glichkeiten Verwerfen Alle ICMP N
120. rd P Netzwerk P Firewall P Antivirus mGuard Support Snapshot kuven Security Appliance Support gt Snapshot gt Dienste Hiermit wird eine Zusammenfassung des mGuard Zustands f r Supportzwecke ersteil P zugang P Features Support Snapshot Status P System Diese Funktion dient f r Support Zwecke des Innominate Support Erstellt eine komprimierte Datei im tar Format in der alle aktuellen Konfigu rations Einstellungen und Log Eintr ge erfasst sind die zur Fehlerdiagnose re levant sein k nnten Diese Datei enth lt keine privaten Informationen wie z B das private Maschinen Zertifikat oder die Passw rter Eventuell benutzte Pre Shared Keys von VPN Verbindungen sind jedoch in den Snapshots enthalten Um einen Snapshot zu erstellen gehen Sie wie folgt vor 1 Klicken Sie Herunterladen 2 Speichern Sie die Datei unter dem Namen snapshot tar gz Stellen Sie die Datei dem Support zur Verf gung wenn dieser danach fragt ate ity Technologies AG Innominate mGuard gt Firewall gt Antivirus Netzwerk Modus S VPN Exteme IP Dienste gt Zugang Default Gateway P Features VPN Total Used Up Y Support Snapshot VPN Nutzeranmeldung Has DynDNS Anmeldung P System HTTPS Femzugang SSH Femzugang NTP Status Softwareversion Systemlaufzeit Sprache Security Appliance Support gt Status router static up 10 1 0 152 10 1 0 254 34211 NIA none yes yes disabled 2 2 0 betaD1 default 52
121. reibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich 25 von 93 Firewall gt Ausgehend 26 von 93 Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib BO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden Ir ity Technologies AG Security Appliance Firewall gt Ausgehend PT vorn RTR RTE RRE ei for d baang pry bonne bon Annehmen
122. renzung eine Fehlermeldung an den E Mail Client zur ckgegeben und die E Mail nicht gesendet oder automa tisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optio nen e Sie k nnen versuchen das Versenden zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein Kann Bei berschreiten der Gr ssenbegrenzung 34 von 93 E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird gt In diesem Fall wird nicht auf Viren berpr ft E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der SMTP Server Sie k nnen die Server angeben zu denen Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Beispiele Globale Aktivierung des An
123. rotokolle HTTP SMTP und POP3 Die Konfiguration des Ger tes erfolgt einfach mit einem Web Browser Server Notebook Internet Lokales AfL ten Netzwerk P Psec Tunnel E mGuard Netzwerk Features Stealth e Router Static DHCP Client e PPPoE fiir DSL e PPTP f r DSL Firewall Features e Stateful Packet Inspection e Anti Spoofing e Filtern e NAT mit FTP IRC H 323 und PPTP Unterst tzung e 1 1 NAT e Port Forwarding Anti Virus Features e Kaspersky Virenschutz e Unterst tzte Protokolle HTTP POP3 und SMTP VPN Features e Protokoll IPsec Tunnel und Transport Mode e IPsec DES Verschl sselung mit 56 Bit e IPsec 3DES Verschl sselung mit 168 Bit e IPsec AES Verschl sselung mit 128 192 und 256 Bit e Paket Authentifizierung MD5 SHA 1 e Internet Key Exchange IKE mit Main und Quick Mode e Authentisierung Pre Shared Key PSK X 509v3 Zertifikate e DynDNS e NAT T Dead Peer Detection DPD e Hardware Verschl sselung Weitere Features e DNS Cache e DHCP Server e Administration HTTPS SSH und Innominate Security Configuration Mana ger ISCM Ger teversionen Der mGuard smart wird in 3 Versionen ausgeliertert 4 von 93 mGuard smart mGuard smart mGuard smart professionel enterprise enterprise XL CPU 266 MHz 266 MHz 533 MHz RAM 32 MB 64 MB 64 MB Firewall Durchsatz 99 MBit s 99 MBit s 99 MBit s VPN Durchsatz 35 MBit s 35 MBit s 70 MBit s VPN Tunnel max 2
124. rzzeitig die LED 1 2 3 div LED Leuchtcodes Recovery Modus Nach Driicken der Recovery Taste Siehe Die Rescue Taste fiir Neustart Recovery Prozedur und Flashen der Firmware auf Seite 81 9 von 93 4 Inbetriebnahme Sicherheits Der Innominate mGuard ist f r den Betrieb bei Schutzkleinspannung vorgese hinweise hen Schlie en Sie die Netzwerkinterfaces des mGuard nur an LAN Installatio nen an Einige Fernmeldeanschl sse verwenden ebenfalls RJ45 Buchsen Der mGuard darf nicht an Fernmeldeanschl ssen betrieben werden Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Massnahmen durchzuf hren Allgemeine e Zum Reinigen des Ger tegeh uses ein weiches Tuch verwenden Kein Hinweise zur aggressives L sungsmittel auftragen Benutzung e Umgebungsbedingungen 0 bis 40 Celsius max Luftfeuchtigkeit 90 nicht kondensierend e Nicht direktem Sonnenlicht oder dem Einfluss einer W rmequelle aussetzen um berhitzung zu vermeiden e Anschlusskabel nicht knicken Den Netzwerkstecker nur zum Verbinden mit einem Netzwerk benutzen Schritte zur Um das Ger t in Betrieb zu nehmen f hren Sie folgende Schritte in der angege Inbetriebnahme benen Reihenfolge aus Schritt Ziel Seite 1 Lieferumfang pr fen Release Notes lesen Lieferumfang auf Seite 10 2 Ger t anschl
125. schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Siehe auch Netzwerk Beispielskizze auf Seite 79 21 von 93 Default Gateway IP des Default Gateways Wird vom Internet Service Provider ISP vorgegeben wenn der mGuard den bergang zum Internet herstellt Wird der mGuard innerhalb des LANs ein gesetzt wird die Route vom Netzwerk Administrator vorgegeben gt Diese Einstellung wird ignoriert wenn eine lokale Default Route unter Netz werk Basis definiert wurde BO Wenn das lokale Netz dem externen Router nicht bekannt ist z B im Falle einer Konfiguration per DHCP dann sollten Sie unter Firewall gt NAT Ihr lokales Netz angeben also 0 0 0 0 0 siehe Firewall NAT auf Seite 29 Netzwerk gt PPPoE Security Appliance Stealth Voraussetzung Der mGuard ist auf den Netzwerk Modus PPPoE gestellt sie he PPPoE auf Seite 19 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Login Benutzername Login den der Internet Service Provider ISP anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Netzwerk gt PPTP Security Appliance Innominate mGuard Netzwerk gt PPTP Netzwerk Basis st
126. schlossen sein Das ist der Fall wenn man ihn zwischen eine bestehende Netzwerkverbindung steckt siehe Abbildung im Abschnitt Ger t anschlie en auf Seite 11 In diesem Fall wird der Web Browser nach Eingabe der Adresse https 1 1 1 1 die Verbindung zur Konfigurations Oberfl che des mGuard herstellen siehe Lokale Konfigurationsverbindung herstellen auf Seite 14 Fahren Sie in die sem Falle dort fort Falls die Netzwerk Schnittstelle des Rechners nicht konfiguriert ist Wenn der Konfigurations Rechner noch nicht an einem Netzwerk angeschlossen war z B weil der Rechner neu ist dann ist seine Netzwerk Schnittstelle im All gemeinen nicht konfiguriert Das hei t der Rechner wei noch nicht dass der Netzwerkverkehr ber diese Schnittstelle l uft In diesem Fall m ssen Sie den Standardgateway initialisieren indem Sie ihm ei nen Dummy Wert zuweisen Gehen Sie dazu wie folgt vor Standardgateway initialisieren 1 Ermitteln Sie die zurzeit g ltige Standardgateway Adresse Unter Windows XP klicken Sie dazu Start Systemsteuerung Netzwerk verbindungen Symbol des LAN Adapters mit der rechten Maustaste klik ken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Registerkarte Allge mein unter Diese Verbindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigen schaften klicken so dass
127. schnell in der Industrie und somit au erhalb Amerikas durch DES arbeitet mit einer Schl ssell nge von 56Bit die heute aufgrund der seit 1977 gestiegenen Rechenleistung der Computer als nicht mehr sicher gilt 3DES ist eine Variante von DES Es arbeitet mit 3 mal gr eren Schl sseln die also 168 Bit lang sind Sie gilt heute noch als sicher und ist unter anderem auch Teil des IPsec Standards Das NIST National Institute of Standards and Technology entwickelt in Zusammenarbeit mit Industrie Unternehmen seit Jahren den AES Verschl sse lungsstandard Diese gt symmetrische Verschl sselung soll den bisherigen DES Standard abl sen Der AES Standard spezifiziert drei verschiedene Schl sselgr en mit 128 192 und 256 Bit 1997 hatte die NIST die Initiative zu AES gestartet und ihre Bedingungen f r den Algorithmus bekannt gegeben Von den vorgeschlagenen Verschl sse lungsalgorithmen hat die NIST f nf Algorithmen in die engere Wahl gezogen und zwar die Algorithmen MARS RC6 Rijndael Serpent und Twofish Im Oktober 2000 hat man sich f r Rijndael als Verschl sselungsalgorithmus ent schieden In einer Client Server Umgebung ist ein Server ein Programm oder Rechner das vom Client Programm oder Client Rechner Anfragen entgegennimmt und beantwortet Bei Datenkommunikation bezeichnet man auch den Rechner als Client der eine Verbindung zu einem Server oder Host herstellt D h der Client ist der anru fende Rechner der Server ode
128. schritten wird eine Fehlermeldung an den Browser gesendet oder automatisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren bei Virusdetektion Fehlermeldung an den Browser Erkennt der Virenfilter einen Virus innerhalb eines Datentransfers vom HTTP Server zum HTTP Client dann wird eine Fehlermeldung an den HTTP Client gesendet Die Darstellung dieser Fehlermeldung h ngt vom je weiligen HTTP Client ab Ein Webbrowser wird die Fehlermeldung in Form einer HTML Seite darstellen Ist eine innerhalb einer HTML Seite nachgela dene Datei z B eine Bilddatei infiziert so wird diese Datei im Browser nicht angezeigt Wird ein Dateidownload per HTTP mittels Download Mana ger vorgenommen so wird die Fehlermeldung im Download Manager ange zeigt bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchla mod
129. senen Rechnern die NTP Zeit zur Verf gung Zeitzone in POSIX 1 Notation Soll oben unter Aktuelle Systemzeit nicht die mittlere Greenwich Zeit angezeigt werden sondern Ihre aktuelle Ortszeit abweichend von der mittleren Greenwich Zeit dann tragen Sie hier ein um wieviel Stunden bei Ihnen die Zeit voraus bzw zur ck ist Beispiele In Berlin ist die Uhrzeit der mittleren Greenwich Zeit um 1 Stunde voraus Also tragen Sie ein MEZ 1 Wichtig ist allein die Angabe 1 2 oder 1 usw weil nur sie ausgewertet wird die davor stehenden Buchstaben nicht Sie k nnen MEZ oder beliebig anders lauten W nschen Sie die Anzeige der MEZ Uhrzeit g ltig f r Deutschland mit au tomatischer Umschaltung auf Sommer bzw Winterzeit geben Sie ein MEZ 1MESZ M3 5 0 M10 5 0 3 Zeitmarke im Dateisystem 2h Aufl sung Ja Nein Ist dieser Schalter auf Ja gesetzt schreibt der mGuard alle 2 Stunden die aktuelle Systemzeit in seinen Speicher Folge Wird der mGuard aus und wieder eingeschaltet wird nach dem Einschal ten eine Uhrzeit in diesem 2 Stunden Zeitfenster angezeigt und nicht eine Uhr zeit am 1 Januar 2000 Dienste gt Remote Logging nur mGuard enterp rise ity Technologies AG Security Appliance Dienste gt Remote Logging Aktiviere remote UDP Logging Log Server IP Adresse 12 168 1 254 WEE Sg Log Server Port normalerweise 514 Alle Log Eintr ge finden standardm ig im Arbeitsspeicher des mGu
130. ser diese Port Nummer nicht hinter der Adresse angegeben werden Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B wie folgt https 123 456 7890 21 442 Firewall Regeln zu Freigabe des HTTPS Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines HTTP Fernzugriffs L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fernzu gang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Interface extern fest vorgegeben Aktion M glichkeiten Annehmen Abweisen Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Ab sender eine Information ber die Zur ckweisung erh lt Im Stealth Modus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib BO Im Stealth Modus ist Abweisen als Aktion nicht m glich Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis
131. setzungen e Sie haben die Software des mGuard von der mGuard CD kopiert oder vom Innominate Support bezogen und auf dem Konfigurations Rechner gespei chert e DHCP und TFTP Server sind auf einem gemeinsamen Rechner installiert siehe Voraussetzungen zum Flashen der Firmware DHCP und TFTP Ser ver auf Seite 83 1 Rescue Taste gedr ckt halten bis der Recovery Status wie folgt ein tritt Der mGuard wird neu gestartet nach ca 1 5 Sekunden nach weite ren ca 1 5 Sekunden gelangt der mGuard in den Recovery Status Alle LEDs leuchten in Gr n 2 Sp testens 1 Sekunde nach Eintritt des Recovery Status die Rescue Taste loslassen Falls Sie die Rescue Taste nicht loslassen wird der mGuard neu gestartet Folge Der mGuard startet das Recovery System Er sucht ber die Schnittstelle f r den lokal angeschlossenen Rechner bzw das lokal angeschlossene Netzwerks nach dem DHCP Server um von diesem eine IP Adresse zu beziehen e Statusanzeige Die mittlere LED Heartbeat blinkt Vom TFTP Server wird die Datei install p7s geladen Diese enth lt die elek tronisch unterschriebene Kontrollprozedur f r den Installationsvorgang Nur von Innominate unterschriebene Dateien werden geladen Die Kontrollprozedur l scht nun den Flashspeicher und bereitet die Neuin stallation der Software vor e Statusanzeige Die 3 gr nen LEDs bilden ein Lauflicht Vom TFTP Server die Software jffs2 img p7s heruntergeladen und in den Flashspeicher g
132. setzungen Zur Nutzung ooo ee cece ote esiaren Sne rosos sairis 33 Ablauf der Antivirus Lizenz seniii en e E EE A eei 33 Dateigr en b orenZ n seein eani a een e 33 Antivirus gt SMTP Einstellungen ssesssseseseseessssseeesesessststsesesestssssestrrsesesesrsesesest 34 Antivirus gt POP3 Einstel E eiss 36 Antivirus BER pre ban genic ee eeh EES 38 Antivirus gt Datenbank Update nen 41 Antivirus Antivirus Staus een 42 Antivirus Lizenzanforderung E EE 43 Antivirus Virus ee us emo 43 Antivir s gt Updale EE 45 oct MENU VEN Senge Ee SR Ee EE deed Een 46 VPN gt Verbiadunsen ans a ae ee een 46 Weitere IKE Einstellungen Eege ee eene Segel 52 VPN gt Maschinenzertfik ti 2 2 22u 22 8 HERR en 54 VPN gt L2TP nur mGuard smart enterprise euessessenseesesnnnnensensnnnnennennensense nenn 55 KI MCL 56 VPN gt L2TP Status nur mGuard smart enterprise uensnsssensensesnenennennensenennen 57 VPND VPN Bogen nel nein 57 3 10 Men Dienste ieii use este MER este 58 Dienste EC 58 Dienste gt DynDNS berwachung c ccsccsessssessssessssescssescesesesesesnsscsnsseansscseeneeees 59 Dienste gt DynDNS Registrierung u essen u ll 59 Dienste gt DHER amp N EE 60 Dienste ECH REECH 62 Dienste gt Remote Logging nur mGuard enterpse 63 3 11 Men Zu Gan 8 ed ENEE EE dur 65 ZU SANS EE 65 ZN AD gt Sprache Ren 66 ZUEANE CR MR EE 66 FAY SATU D SSH oc EE 67 Zugang gt SN
133. stes sn ceeus cvscesesedossseeceuetesedesvasccenseccavensusesonsesseecsbessoueseesesesoss 4 Netzwerk Featuresin vsiserecesscesestsatecevsceenndtatecesssdecattademeeag dees cagsensnctiengasssecnetigshoreovievanstis 4 Firewall Peatures ives 2 52 Den Ba date ade eed AE EES eee 4 Anti pl EE EE 4 VPN Fe tures ar el E Ze 4 Weitere Features nut sh EAR EEN EA AE 4 Ger te versionen TEE 4 ul lee dE 5 2 Typische Anwendungsszenarien ssscsossesossesnssesnssensnnensnnensnnennnssnsnssssnsessnnsnnsnnensnssnnssssnssessnsene 6 KO ue 6 Netzwerkr ufter a nn Bassist gonlinseeniwebtesenrirehisett 6 LR RE 6 VEN G te Waye e aus aD RR ie sehn gen H WEAN ber VPN orra rana dee 7 3 Bedienelemente und Anzeigen scsessecsocssoessoccooccoscooecooccoeesoessoessoososscosscoscosesocesoecsoosssosossesssssseos 9 d Inbetriebnahme cusssssossonsonsonssnssnssnnsnnssnsennsnnssnssnnsnnsnnsnnssnnsnnsnnssnssnnsnnsnnssnssnssnnssnssnnsnnsonsnnsnnee 10 4 1 Lieferumfang ienne er er ine es iii 10 4 2 Ger t nschlie en un en en ikea 11 Si ROMP UrathOMs cevccetinectinasdsnteetenscvecesvossssensdsecssdoesdstisessecesetvsdudeventeleenseedeesevedseuesveverssussventsdenssvecsss 12 Voraussetzungen wisn EE EE AE 12 5 1 Lokale Konfiguration Bei Inbetriebnahme uusucssennsenssneennenssnnensnnennnnnnn nenn 12 Bei konfigurierter Netzwerk Schnittstelle A 12 Bei nicht konfigurierter Netzwerk Schmnittstelle 2002 202nseenseennennnen 12
134. t Using Packages linux_0 4 Neustart uptime 0 days 00 00 06 26977 root Using Packages linux_0 4 Lo uptime 0 days 00 00 06 33226 root Using Packages linux_0 4 uptime 0 days 00 00 06 41499 root Using Packages linux_0 4 uptime 0 days 00 00 06 44046 root Using Packages linux_0 4 uptime 0 days 00 00 06 46494 root Using Packages Linux 0 4 1 j 1 0 0 0 0 0 0 0 0 gt Support uptime 0 days 00 00 06 01076 root Using Packages linux_0 4 0 0 0 0 0 0 0 D mmm mmm Ip Y fer an Zeigt alle aufgezeichneten Log Eintr ge Gesamtlog Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren Sie k nnen die Log Eintr ge auf einen externen Server bertragen Siehe Dien ste Remote Logging nur mGuard enterprise auf Seite 63 5 15 CIDR Classless InterDomain Routing IP Netzmasken und CIDR sind Notationen die mehrere IP Adressen zu einem Adressraum zusammenfassen Dabei wird ein Bereich von aufeinanander folgen den Adressen als ein Netzwerk behandelt Um dem mGuard einen Bereich von IP Adressen anzugeben z B bei der Kon figuration der Firewall kann es erforderlich sein den Adressraum in der CIDR Schreibweise anzugeben Die nachfolgende Tabelle zeigt links die IP Netzmas ke ganz rechts die entsprechende CIDR Schreibweise IP Netzmaske 255 255 255
135. t 2 M glichkeiten e Starte die Verbindung zur Gegenstelle e Warte auf Gegenstelle Starte die Verbindung zur Gegenstelle In diesem Fall initiiert der lokale mGuard die Verbindung zur Gegenstelle Im Feld Adresse des VPN Gateways der Gegenstelle s 0 muss die feste IP Adresse der Gegenstelle oder deren Domain Namen eingetragen sein Warte auf Gegenstelle In diesem Fall ist der lokale mGuard bereit die Verbindung anzunehmen die eine entfernte Gegenstelle aktiv zum lokalen mGuard initiiert und aufbaut BO Wenn Sie unter Adresse des VPN Gateways der Gegenstelle Yoany eingetra gen haben m ssen Sie Warte auf Gegenstelle ausw hlen BO Arbeitet der mGuard im Stealth Modus ist diese Einstellung wirkungslos D h sie wird ignoriert und die Verbindung wird automatisch initiiert wenn der mGuard bemerkt dass die Verbindung genutzt werden soll Authentisierungsverfahren Es gibt 2 M glichkeiten e X 509 Zertifikat e Pre Shared Key X 509 Zertifikat Dieses Verfahren wird von den meisten neueren IPsec Implementierungen unterst tzt Dabei verschl sselt der mGuard die Authentifizierungs Data gramme die es zur Gegenstelle dem Tunnelende sendet mit dem ffentli chen Schl ssel Dateiname cer oder pem der Gegenstelle Diese cer oder pem Datei haben Sie vom Bediener der Gegenstelle erhalten z B per Diskette oder per E Mail Um diesen ffentlichen Schl ssel dem mGuard zur Verf gung zu stellen ge hen Sie wie fo
136. t Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll Eintreffend auf IP Geben Sie hier die externe IP Adresse oder eine der externen IP Adressen des mGuard an ODER Falls ein dynamischer Wechsel der externen IP Adresse des mGUard erfolgt so dass diese nicht angebbar ist verwenden Sie folgende Variable extern Die Angabe von extern bezieht sich bei der Verwendung von mehreren statischen IP Adressen f r das externe Interface immer auf die erste IP Adres se der Liste Eintreffend auf Port Original Ziel Port der in eingehenden Datenpaketen angegeben ist Weiterleiten an IP Interne IP Adresse an die die Datenpakete weitergeleitet werden sollen und auf die die Original Zieladressen umgeschrieben werden Weiterleiten an Port Port an den die Datenpakete weitergeleitet werden sollen und auf den die Ori ginal Port Angaben umgeschrieben werden Bei den Angaben haben Sie folgende M glichkeiten Port Sie k nnen nur einzelne Ports angeben entweder mit der Port Nummer oder mit dem entsprechenden Servicenamen z B 110 f r pop3 oder pop3 f r 110 Log F r jede einzelne Port Weiterleitungs Regel K nnen Sie festlegen ob bei Greifen der Regel H das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung 28 von 93 Firewall gt NAT
137. ternet zu einem gemeinsamen Netzwerk zusammen Durch Verwendung kryptographi scher Protokolle wird dabei die Vertraulichkeit und Authentizit t gewahrt Ein VPN bietet somit eine Kosteng nstige Alternative gegen ber Standleitungen wenn es darum geht ein berregionales Firmennetz aufzubauen 91 von 93 8 Technische Daten CPU Intel IXP 42x mit 266 MHz bzw 533 MHz mGuard smart enter prise XL Speicher 16 MB Flash 32 MB SDRAM bzw 64 MB SDRAM mGuard smart enterprise LAN u WAN Schnittstellen Ethernet IEEE 802 10 100 Mbps RJ45 Stromversorgung Betriebssystem Via USB Schnittstelle 5 V 500 mA oder durch externes Netzteil 110 230 V Innominate Embedded Linux Funktions berwachung Watchdog und optische Anzeige Umwelt Relative Luftfeuchtigkeit max 90 Temperatur 0 bis 40 C 92 von 93 Ce This device comply with the regulations of the following European directive 89 336 EEC Council Directive on the harmonization of the legal regulations of member states on electromagnetic compatibility amended by Directives 91 263 EEC 92 3 EEC and 93 68 EEC Notes on CE identification The EU declaration of conformity is kept available for the responsible authorities in accordance with the above mentioned EU directives at Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Telephone 49 0 30 6392 3300 The product can be used i
138. tivirus Schutzes f r SMTP Es WE ER 77777777 ECH P E f o 0 0m ps scannen Scan eines Subnetzes Ausklammerung eines SMTP Servers gt X see ee Scan U fis2 168 2 5 ps J Nicht Scannen v P IT 192 168 2 0 24 ps Scannen E Scan f r einen einzelnen SMTP Server in einem Subnetz gt XX ser 2 ___serverPot_ _Scamen P E 192 168 2 5 ps scannen gif 192 168 2 0 24 ps Nicht Scannen L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben BO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail Servern und HTTP Servern verarbeiten Wird diese Zahl berschritten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr zu allen SMTP Ser vern wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 79 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet w
139. ty Appliance Netzwerk gt Stealth sa Katrin Die folgenden Einstellungen werden nur bei statischer Konfiguration des Stealth Modus ber cksichtigt BER EE See Voraussetzung Der mGuard ist auf den Netzwerk Modus Stealth gestellt Stealth Konfiguration automatisch Standard Der mGuard analysiert den Netzwerkverkehr der ber ihn l uft und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet transparent F r Spezialf lle lassen sich diese Werte auch vorgeben z B in folgendem Fall Der angeschlossene Rechner nimmt nur eingehende Verbindungen ent gegen so dass keine automatische Konfiguration erfolgen kann statisch Wenn der mGuard keinen ber ihn laufenden Netzwerkverkehr analysieren kann z B weil zum lokal angeschlossenen Rechner nur Daten ein aber 20 von 93 nicht ausgehen dann muss die Stealth Konfiguration auf statisch gesetzt werden In diesem Fall machen Sie zu folgenden Punkten die entsprechenden Anga ben e IP Adresse des angeschlossenen Clients e Netzmaske des Clients e Default Gateway des Clients e MAC Adresse des Clients Das ist die physikalische Adresse der Netzwerkkarte des lokalen Rechners an dem der mGuard ange schlossen ist Die MAC Adresse ermitteln Sie wie folgt Auf der DOS Ebene Men Start Alle Programme Zubeh r Eingabeauf forderung folgenden Befehl eingeben ipconfig all Netzwerk gt Router AIE e eurity Technologies AG Security Ap
140. ung der jeweiligen Distri bution Konfigurieren Sie den DHCP Server indem Sie in der Datei ete dhep folgende Einstellungen vornehmen subnet 192 168 134 0 netmask 255 255 255 0 range 192 168 134 100 192 168 134 119 option routers 192 168 134 1 option subnet mask 255 255 255 0 option broadcast address 192 168 134 255 Diese Beispiel Konfiguration stellt 20 IP Adressen 100 bis 119 bereit Es wird angenommen dass der DHCP Server die Adresse 192 168 134 1 hat Ein stellungen fiir ISC DHCP 2 0 Der ben tigte TFTP Server wird in folgender Datei konfiguriert etc inetd conf Fiigen Sie in diese Datei die entsprechende Zeile ein oder setzen Sie die notwen digen Parameter fiir den TFTP Service Verzeichnis fiir Daten ist tftpboot tftp dgram udp wait root usr sbin in tftpd s tftpboot Starten Sie dann den inetd Prozess neu um die Konfigurations nderungen zu tibernehmen Sollten Sie einen anderen Mechanismus verwenden z B xinetd dann informie ren Sie sich bitte in der entsprechenden Dokumentation 85 von 93 7 Glossar Asymmetrische Verschl sselung DES 3DES AES Client Server 86 von 93 Bei der asymmetrischen Verschl sselung werden Daten mit einem Schl ssel ver schl sselt und mit einem zweiten Schl ssel wieder entschl sselt Beide Schl ssel eignen sich zum Ver und Entschl sseln Einer der Schl ssel wird von seinem Ei gent mer geheim gehalten Privater Schl ssel Private Key d
141. urations Profil erhalten soll 2 Die Schaltfl che Durchsuchen klicken und dann die Datei selektieren 3 Die Schaltfl che Hochladen einer Konfiguration als Profil klicken Folge Die hochgeladene Konfiguration erscheint in der Liste der Konfigura tions Profile Soll das hochgeladene Konfigurations Profil aktiviert werden klicken Sie neben dem Namen auf Wiederherstellen B gt Wenn das Wiederherstellen einen Wechsel zwischen dem Stealth Modus und einem der anderen Netzwerk Modi beinhaltet wird der mGuard neu gestartet System gt Konfigu ration holen Security Appliance DESS System gt Konfiguration holen Bann Schedule EE server gt zugang gt Features Login anonymous gt Support system Passwort Server Zertifikat tiers Ese eee o Der mGuard kann sich in einstellbaren Zeitintervallen eine neue Konfiguration von einem HTTPS Server holen Wenn sich die neue Konfiguration von der zu letzt geholten Konfiguration unterscheidet wird diese automatisch aktiviert Schedule Intervall in welchem nach neuen Konfigurationen auf dem Server gesucht wer den soll Server IP oder Hostname des Servers welcher die Konfigurationen bereitstellt Login Login auf dem HTTPS Server Passwort Passwort auf dem HTTPS Server Server Zertifikat Das Zertifikat welches den HTTPS Server von dem die Konfiguration geholt wird beglaubigt Mit ihm soll verhindert werden dass nicht authorisierte Konfi gurationen auf dem mGuard installi
142. us wenn die eingestellte Dateigr e berschritten wird BO In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der HTTP Server Sie k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele 39 von 93 Globale Aktivierung des Antivirus Schutzes f r HTTP gt lt 2 2 ser Severo 2 Samen OO P Donn fo scannen x Scan eines Subnetzes Ausklammerung eines trusted HTTP Servers aR r NEE EE g has 168 2 5 fo J Nicht Scannen vf P IT 192 168 2 0 24 ko scannen x Scan eines einzelnen untrusted HTTP Servers in einem Subnetz gt z T EE EECH P 5 hs2 168 2 5 fo scannen x IT 1g2 168 2 0r24 fo Nicht Scannen vf L Das Einfiigen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 16 beschrieben B gt Um den Anti Virus Schutz fiir HTTP bzw FTP over HTTP Datenverkehr ber einen Proxy zu aktivieren f gen Sie eine neue Zeile in die Liste der Ser ver ein und ersetzen den voreingestellten Port 80 durch den Proxy Port wel cher in Ihrem Webbrowser eingestellt ist Gebr uchliche Proxy Portnummern sind 3128 oder 8080 BO Der Regelsatz wird wie bei de
143. ver herzustellen M glichkeiten no yes M glichkeiten no yes M glichkeiten synchonized not synchronized synchronized ber das Network Time Protokoll empf ngt der mGuard von einem Zeitserver die aktuelle Uhrzeit Greenwich Zeit not synchronized Der mGuard ist mit keinem Zeitserver verbunden und kann deshalb nicht die aktuelle Uhrzeit liefern Version der im mGuard installierten Software Laufzeit seit dem letzten Startvorgang des mGuard Aktuell eingestellte Sprache 75 von 93 5 14 Men System System gt ate Konfigurations pourity Technologies AG Security Appliance profile System gt Konfigurations Profile Pee U eichere jel Name des neuen Provis E 76 von 93 Is Profil Browse Hochladen einer Konfiguration als Profil Sie haben die M glichkeit die Einstellungen des mGuard als Konfigurations Profil unter einem beliebigen Namen im mGuard zu speichern Sie K nnen meh rere solcher Konfigurations Profile anlegen so dass Sie nach Bedarf zwischen verschiedenen Profilen wechseln k nnen z B wenn der mGuard in unterschied lichen Umgebungen eingesetzt wird Dar ber hinaus k nnen Sie Konfigurations Profile als Dateien auf ihrem Konfi gurations Rechners abspeichern Umgekehrt besteht die M glichkeit eine so er zeugte Konfigurationsdatei in den mGuard zu laden und zu aktivieren Zus tzlich haben Sie die M glichkeit jederzeit die Werkseinstellung wieder in Kraft zu setz
144. virus gt Installiere Lizenz aus um sie anschlie end zu installieren Antivirus gt Virus Logs ae i Britt Technologies AG Security Appliance Innominate mGuard uptime 0 days 00 04 59 74705 contentfilter AVP runit contentfilter startup P Network uptime 0 days 00 06 02 52080 contentfilter AVP error 2 vscan init error after 4 tries giving up P Firewall uptime 0 days 00 06 12 59004 contentfilter AVP error 4 vscan init error after 4 tries giving up anti virus uptime 0 days 00 07 20 70960 contentfilter AVP error 8 vscan init error after 4 tries giving up SMTP Options uptime 0 days 00 21 04 98979 contentfilter AVP http warning 62 mGuard Virus Scanner virus detected found Virus EI POPS Options uptime 0 days 00 21 13 27201 contentfilter AVP http warning 65 mGuard Virus Scanner virus detected found Virus EI HTTP Options uptime 0 days 00 21 17 39699 contentfilter AVP http warning 67 mGuard Virus Scanner virus detected found Virus EI Database Update uptime 0 days 00 21 21 84975 contentfilter AVP http warning 68 mGuard Virus Scanner virus detected found Virus EI Anti Virus Status uptime 0 days 00 26 32 07676 contentfilter AVP smtp warning 86 mGuard Virus Scanner found Virus EICAR Test File License Request uptime 0 days 00 26 32 63704 contentfilter AVP smtp warning 87 mGuard Virus Scanner found Virus EICAR Test File Install Licenses Virus Logs gt Features gt Support
145. zt f r Subnetz Adressierung verwen 88 von 93 IPsec NAT Network Address Translation Port Nummer PPPoE det werden Rein rechnerisch k nnen so 256 Subnetze mit jeweils 256 Hosts ent stehen IP Security IPsec ist ein Standard der es erm glicht bei IP Datagrammen gt Datagramm die Authentizit t des Absenders die Vertraulichkeit und die Integrit t der Daten durch Verschl sselung zu wahren Die Bestandteile von IP sec sind der Authentication Header AH die Encapsulating Security Payload ESP die Security Association SA und der Internet Key Exchange IKE Zu Beginn der Kommunikation kl ren die an der Kommunikation beteiligten Rechner das benutzte Verfahren und dessen Implikationen wie z B Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP Datagramm zwischen IP Header und TCP bzw UDP Header ein IPsec Header eingesetzt Da dadurch der IP Header un ver ndert bleibt ist dieser Modus nur f r eine Host zu Host Verbindung geeig net Im Tunnel Mode wird dem gesamten IP Datagramm ein IPsec Header und ein neuer IP Header vorangestellt D h das urspr ngliche Datagramm wird insge samt verschl sselt in der Payload des neuen Datagramms untergebracht Der Tunnel Mode findet beim VPN Anwendung Die Ger te an den Tunnelenden sorgen f r die Ver bzw Entschl sselung der Datagramme auf der Tunnelstrek ke d h auf dem bertragungsweg ber ein ffentliches Netz bleiben die eigent lichen
Download Pdf Manuals
Related Search