Innominate mGuard delta - Innominate Security Technologies AG
Contents
1. Bei eingeschaltetem HTTPS Fernzugang kann der mGuard ber seine webba sierte Administratoroberfl che von einem entfernten Rechner aus konfiguriert werden Das hei t auf dem entfernten Rechner wird der Browser benutzt um den lokalen mGuard zu konfigurieren Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass ein si cheres Root und Administrator Passwort festgelegt ist Um HTTPS Fernzugang zu erm glichen machen Sie nachfolgende Einstellun gen Aktiviere HTTPS Fernzugang Ja Nein Wollen Sie HTTPS Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Fire wall Regeln so zu setzen dass von au en auf den mGuard zugegriffen werden Kann Port f r HTTPS Verbindungen nur Fernzugang Standard 443 Sie k nnen einen anderen Port festlegen Die entfernte Gegenstelle die den Fernzugriff aus bt muss bei der Adressenan gabe hinter die IP Adresse die Port Nummer angeben die hier festgelegt ist 72 von 103 Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist fiir den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser diese Port Nummer nicht hinter der Adresse angegeben werden Bei einer anderen Port Nummer ist diese hinter der IP Adresse anzugeben z B wie folgt https2. Zugang gt Sprache Security Appliance Innominate mGuard Zugang gt Sprache P Netzwerk e gt Firewall R Seen en Bitte w hlen Sie eine Sprache aus KL SS WE P Dienste Zugang Passworte Sprache HTTPS SSH SNMP Serieller PortiModem P Eigenschaften P Support P System Bitte w hlen Sie eine Sprache aus Ist in der Sprachauswahlliste Automatisch ausgew hlt bernimmt das Ge r t die Spracheinstellung aus dem Browser des Rechners Zugang gt HTTPS rity Technologies AG Security Appliance Innominate mGuard Zugang gt HTTPS P Netzwerk gt Firewall SS er Aktiviere HTTPS Fernzugang Ja gt VPN Port f r HTTPS Verbindungen nur Fernzugang FT P Dienste YZugang Firewallregeln zu Freigabe des HTTPS Zugriffs Sae r U interface Aktion a eee TEA too Sprache HX Interface BUS 0 0 00 Ext Annehm Hei SI eh em gt nnehmen v Nen SNMP SE Diese Regeln gestatten es HTTPS Fernzugriff zu aktivieren Support Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben P System Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Fernzugriffs muss der Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding
3. DES 3DES oder AES encryption MDS oder SHA 1 Hash Algorithmen Tunnel oder Transport Modus Quick Mode Main Mode SA Lifetime 1 Sekunde bis 24 Stunden Ist die Gegenstelle ein Rechner unter Windows 2000 muss dazu das Micro soft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein e Befindet sich die Gegenstelle hinter einem NAT Router so muss die Gegen stelle NAT T unterst tzen Oder aber der NAT Router muss das IPsec Proto koll kennen IPsec VPN Passthrough In beiden F llen sind aus technischen Gr nden nur IPsec Tunnel Verbindungen m glich rity Technologies AG Security Appliance VPN gt Verbindungen av Name a z bus Editieren ji Neustart ji L schen SE Tee es Listet die eingerichteten VPN Verbindungen auf S Sie k nnen jede einzelne Verbindung aktivieren Aktiv Ja oder deak tivieren Aktiv Nein VPN Verbindung l schen Klicken Sie neben dem betreffenden Eintrag L schen Klicken Sie abschlie end OK Neue VPN Verbindung einrichten Klicken Sie Neu Geben Sie der Verbindung einen Namen und klicken Sie Editieren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK VPN Verbindung bearbeiten Klicken Sie neben der betreffenden Verbindung die Schaltfl che Editie ren Machen Sie die gew nschten bzw erforderlichen Einstellungen s u Klicken Sie abschlie end OK V
4. Port Sie k nnen nur einzelne Ports angeben entweder mit der Port Nummer oder mit dem entsprechenden Servicenamen z B 110 f r pop3 oder pop3 f r 110 Log F r jede einzelne Port Weiterleitungs Regel K nnen Sie festlegen ob bei Greifen der Regel amp das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung 28 von 103 Firewall gt NAT G rity Technologies AG Security Appliance Innominate mGuard Firewall gt NAT P Netzwerk Firewall Network Address Translation IP Masquerading Eingehend GH e REN Port Weiterleitung Di el f192 168 1 0724 4 1 NAT MAC Fitter Erweiterte Einstellungen Logs Diese Regeln lassen Verkehr von den hier angegeben IP Adressen normalerweise Adressen aus dem privaten Adress Bereich auf die Adresse des mGuard P Antivirus umschreiben kv Bitte beachten Sie Diese Regeln gelten nicht im Stealth Modus P Dienste gt Zugang P Eigenschaften P Support P System Listet die festgelegten Regeln f r NAT Network Address Translation auf Das Ger t kann bei ausgehenden Datenpaketen die angegebenen Absender IP Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse um schreiben eine Technik die als NAT Network Address Translation bezeichnet wird Diese Methode wird benutzt wenn die internen Adressen extern nicht geroutet werden k nnen oder sollen z B weil ein privater Adressbereic
5. Read Only Mask 255 255 255 0 Advanced TFTP Options Domain Name IV Option negotiation 7 Hide Window at startup IV Show Progress bar I Create dir txt files I Translate Unix file names J Beep for long tranfer JV Use Tftpd32 only on this interface LEZALEALNS I Use anticipation window of fp Bytes I Allow NW As virtual root Default Help Cancel 94 von 103 Unter Linux Alle aktuellen Linux Distributionen enthalten DHCP und TFTP Server Instal lieren Sie die entsprechenden Pakete gem der Anleitung der jeweiligen Distri bution Konfigurieren Sie den DHCP Server indem Sie in der Datei ete dhep folgende Einstellungen vornehmen subnet 192 168 134 0 netmask 255 255 255 0 range 192 168 134 100 192 168 134 119 option routers 192 168 134 1 option subnet mask 255 255 255 0 option broadcast address 192 168 134 255 Diese Beispiel Konfiguration stellt 20 IP Adressen 100 bis 119 bereit Es wird angenommen dass der DHCP Server die Adresse 192 168 134 1 hat Ein stellungen fiir ISC DHCP 2 0 Der ben tigte TFTP Server wird in folgender Datei konfiguriert etc inetd conf Fiigen Sie in diese Datei die entsprechende Zeile ein oder setzen Sie die notwen digen Parameter fiir den TFTP Service Verzeichnis fiir Daten ist tftpboot tftp dgram udp wait root usr sbin in tftpd s tftpboot Starten Sie dann den inetd Prozess neu um die Konfigurations nderungen zu tibernehmen S
6. W hlen Sie den Namen des Anbieters aus bei dem Sie registriert sind z B DynDNS org DynDNS Server Name des Servers des oben ausgew hlten DynDNS Anbieters z B dyndns org DynDNS Login DynDNS Passwort Geben Sie hier den Benutzernamen und das Passwort ein das Ihnen vom DynDNS Anbieter zugeteilt worden ist DynDNS Hostname Der f r diesen mGuard gew hlte Hostname beim DynDNS Service sofern Sie einen DynDNS Dienst benutzen und oben die entsprechenden Angaben gemacht haben 63 von 103 Dienste gt DHCP III Intern Extern curity TE AG EE Security Appliance Dienste gt DHCP Intern Gesicherter Port peice ous DHCP Server Optionen Dynamischen IP Adresspool aktivieren mcr tenting DS GE E Default Gateway Be SS DHCP Relay Optionen OS tt nn em F ge Relay Agent Information an Option 22 EES Mit dem Dynamic Host Configuration Protocol DHCP kann direkt am mGuard angeschlossenen Clients automatisch die hier eingestellte Netzwerkkonfigurati on zugeteilt werden Unter DHCP Intern Konnen Sie DHCP Einstellungen fiir das interne Interface LAN vornehmen und unter DHCP Extern die DHCP Ein stellungen fiir das externe Interface WAN DHCP Modus Setzen Sie diesen Schalter auf Server wenn der mGuard als eigenst ndiger DHCP Server arbeiten soll Setzen Sie ihn auf Relay wenn der mGuard DHCP Anfragen an einen ande ren DHCP Server weiterleiten soll Steht der Schalter auf Deaktiviert beantwort
7. ber die IP 192 168 1 253 Dazu mu beim mGuard im Hauptgeb ude unter Netzwerk gt Basis eine interne Default Route definiert werden Zus tzliche interne Routen Netzwerk Gateway 0 0 0 0 0 192 168 1 253 und eine externe Route auf die IPs 172 168 1 2 und 172 168 1 3 eingerichtet werden Zus tzliche externe Routen Netzwerk Gateway 172 16 1 2 1 172 16 1 4 3 Bedienelemente und Anzeigen 6 Innominate 3 5 mGuard Power LAN SWITCH EY Strom Status reserviert Ethernet WAN Ethernet LAN LEDs State Meaning Power ein Die Stromversorgung ist aktiv Status ein Der mGuard startet Herzschlag The mGuard ist bereit aufleuchten aufleuchten pause 1 2 Reserviert 3 WAN ein Link vorhanden blinkend Datentransfer 4 7 LAN ein Link vorhanden blinkend Datentransfer 9 von 103 4 Inbetriebnahme Sicherheits Der Innominate mGuard ist fiir den Betrieb bei Schutzkleinspannung vorgese hinweise hen SchlieBen Sie die Netzwerkinterfaces des mGuard nur an LAN Installatio nen an Einige Fernmeldeanschliisse verwenden ebenfalls RJ45 Buchsen Der mGuard darf nicht an Fernmeldeanschliissen betrieben werden Warnung Dies ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Massnahmen durchzuf hren Allgemeine e Umgebungsbedingungen Hi
8. In der Internet Terminologie bedeutet Spoofing die Angabe einer falschen Adresse Durch die falsche Internet Adresse t uscht jemand vor ein autorisierter Benutzer zu sein Unter Anti Spoofing versteht man Mechanismen die Spoofing entdecken oder verhindern Symmetrische Ver schlusselung TCP IP Transmission Control Protocol Internet Protocol VLAN VPN Virtuelles Pri vates Netzwerk Bei der symmetrischen Verschliisselung werden Daten mit dem gleichen Schliis sel ver und entschliisselt Beispiele fiir symmetrische Verschliisselungsalgorith men sind DES und AES Sie sind schnell jedoch bei steigender Nutzerzahl nur aufwendig administrierbar Netzwerkprotokolle die fiir die Verbindung zweier Rechner im Internet verwen det werden IP ist das Basisprotokoll UDP baut auf IP auf und verschickt einzelne Pakete Diese k nnen beim Emp f nger in einer anderen Reihenfolge als der abgeschickten ankommen oder sie k nnen sogar verloren gehen TCP dient zur Sicherung der Verbindung und sorgt beispielsweise daf r dass die Datenpakete in der richtigen Reihenfolge an die Anwendung weitergegeben wer den UDP und TCP bringen zus tzlich zu den IP Adressen Port Nummern zwischen 1 und 65535 mit ber die die unterschiedlichen Dienste unterschieden werden Auf UDP und TCP bauen eine Reihe weiterer Protokolle auf z B HTTP Hyper Text Transfer Protokoll HTTPS Secure Hyper Text Transfer Protokoll SMTP Simple Mail Transf
9. Update Logs E 5 5 RECH ServerPot EC gt Dienste ple fie Boom fo HTTP out to any Scannen EI P Eigenschaften gt Support xf P System S Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r HTTP muss der zu scannende Adressbereich mit entsprechenden Firewallregein freigeschaltet werden P Powered by 5 Q ANTI VIRUS Das HTTP Protokoll wird von Web Browsern zur Ubertragung von Webseiten genutzt hat aber noch viele andere Anwendungen So wird es z B auch zum Download von Dateien wie z B Software Updates oder zur Initialisierung von Multimedia Streams genutzt Die Weiterleitung einer tibertragenen Datei erfolgt erst nachdem sie komplett geladen und berpr ft wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindigkeit zu Verz gerungen in der Reaktionszeit der Benutzer Software kommen BO Um den Anti Virus Schutz f r HTTP zu testen bietet sich zun chst der unge f hrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse http www eicar org anti_virus_test_file htm heruntergeladen werden kann Anti Virus Schutz f r HTTP Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r SMTP Verbindungen auf den HTTP Proxy angelegt Scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird
10. eren Pakete Eine Reduzierung der MTU auf 1496 kann dieses Problem beseitigen Security Appliance Innominate mGuard Netzwerk gt Status Wietzwerk Basis z Erei Netzwerk Modus router static up Router Externe IP 101 0154 PPPoE Ster Default Gateway none MAU Konfiguration Erweiterte Einstellungen Status i u i Sur P system Zeigt die aktuelle Betriebsart des mGuard Stealth Router PPPoE oder PP TP Siehe Netzwerk gt Basis auf Seite 16 Externe IP Die IP Adresse des mGuard an seinem Anschluss fiir das externe Netz WAN bzw Internet Wird dem mGuard eine IP Adresse dynamisch zugeteilt k nnen Sie hier die gerade g ltige IP Adresse nachschlagen Im Stealth Modus bernimmt der mGuard die Adresse des lokal angeschlos senen Rechners als seine externe IP Default Gateway Hier wird die IP Adresse angezeigt ber die der mGuard versucht ihm unbe kannte Netze zu erreichen Im Stealth Modus oder falls die in der Konfigura tion angegebene IP nicht erreichbar ist steht hier none 5 7 Men Firewall Der mGuard beinhaltet eine Stateful Packet Inspection Firewall Die Verbin dungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst con nection tracking Dadurch sind Regeln nur fiir eine Richtung zu definieren Daten aus der anderen Richtung einer Verbindung und nur diese werden auto matisch durchgelassen Ein Nebeneffekt ist dass bestehende Verbindungen bei einer Umkonfiguratio
11. variante Online Update fariante Softwar einformation avp o 0 4 6 default Uizenzanforderung installiere Lizenz bootloader o 113 default Lizenzinformation Hardwareinformation See a nas mE gt Support busybox 0 107 defaut Kardon dibdns o 150 defaut ebtables o 0 30 defaut ez ipupdate o 3 0 12 default nord o 193 default freeswan D 1 1073 default gai H 0 17 31 default Listet die im Ger t befindlichen Software Module auf Diese werden als Pakete bezeichnet Dient f r Update Zwecke Vergleichen Sie die angezeigten Versionsnummern mit den aktuellen Versionsnummern der entsprechenden Pakete Bitte wenden Sie sich dazu an Ihren Distributor Falls neue Versionen verf gbar sind k nnen Sie die Software im Ger t updaten Siehe Eigenschaften gt Lokales Update auf Seite 79 Eigenschaften gt Lizenzinformation Nur Anzeige Innominate mGuard P Netzwerk gt Firewall gt Antivirus L P Dienste gt Zugang Eigenschaften Lokales Update Online Update Softwareinformation Lizenzanforderung enz Lizenzintormation Hardwareinformation P Support P System writy Technologies AG Security Appliance Eigenschaften gt Lizenzinformation mGuard Flash ID 000c00083125db66 0263 License with priority 1089906020 licence_id licence_date flash_id serial_ number hardware_revision licence_order product_code vpn_channels I2tp_server licence_version licence_type snmp remote_syslog ma
12. 123 456 7890 21 442 Firewall Regeln zur Freigabe des HT TPS Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten pakete eines HTTP Fernzugriffs L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Interface extern fest vorgegeben Aktion M glichkeiten e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Im Stealth Modus ist Abweisen als Aktion nicht m glich Kommentar Ein frei wahlbarer Kommentar fiir diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden s
13. Externe Konfiguration per DHCP beziehen Ja Nein Falls der mGuard die Konfigurationsdaten per DHCP Dynamic Host Configuration Protocol vom DHCP Server bezieht legen Sie Ja fest Dann bleiben weiter Angaben auf dieser Seite wirkungslos Falls der mGuard die Daten nicht per DHCP Dynamic Host Configura tion Protocol vom DHCP Server bezieht legen Sie Nein fest und 20 von 103 machen Sie die folgenden weiteren Angaben Externe Netwerke Externe IPs Die Adressen unter denen der mGuard von Ger ten des externen Netzes an geschlossenen an der Ethernet Buchse des mGuard aus erreichbar ist Sie bil den die Schnittstelle zu anderen Teilen des LAN oder zum Internet Findet hier der bergang zum Internet statt werden die IP Adressen vom Internet Service Provider ISP vorgegeben IP Netzmaske IP und Netzmaske f r das externe Interface WAN Verwende VLAN Wenn die IP Adresse innerhalb eines VLANs liegen soll ist diese Option auf ja zu setzen VLANID Eine VLAN ID zwischen 1 und 4095 Hine Erl uterung des Begriffes VLAN findet sich auf Seite 101 L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Die erste IP Adresse in der Liste kann nicht gel scht werden Zus tzliche externe Routen Zus tzlich zur Default Route s u k nnen Sie weitere externe Routen fest legen Netzwerk Gateway L Das Einf gen Verschieben und L schen v
14. Hier entsteht der Bedarf Subnetze zu bil den Dazu dient die Subnetz Maske Diese ist wie eine IP Adresse ein 4 Byte lan ges Feld Den Bytes die die Netz Adresse repr sentieren ist jeweils der Wert 255 zugewiesen Das dient vor allem dazu sich aus dem Host Adressenbereich einen Teil zu borgen um diesen zur Adressierung von Subnetzen zu benutzen So kann beim Class B Netz 2 Byte f r Netzwerk Adresse 2 Byte f r Host Adresse mit Hilfe der Subnetz Maske 255 255 255 0 das 3 Byte das eigentlich f r Host Adressierung vorgesehen war jetzt f r Subnetz Adressierung verwen 98 von 103 IPsec NAT Network Address Translation Port Nummer PPPoE det werden Rein rechnerisch k nnen so 256 Subnetze mit jeweils 256 Hosts ent stehen IP Security IPsec ist ein Standard der es erm glicht bei IP Datagrammen gt Datagramm die Authentizit t des Absenders die Vertraulichkeit und die Integrit t der Daten durch Verschl sselung zu wahren Die Bestandteile von IP sec sind der Authentication Header AH die Encapsulating Security Payload ESP die Security Association SA und der Internet Key Exchange IKE Zu Beginn der Kommunikation kl ren die an der Kommunikation beteiligten Rechner das benutzte Verfahren und dessen Implikationen wie z B Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP Datagramm zwischen IP Header und TCP bzw UDP Header ein IPsec Header eingesetzt Da dadurch der IP Header
15. etc ipsec d cacerts Changing to directory etc ipsec d crls fireing vpn connections with IPs adding aaaaaaac harlock to any from whack got esp 3des from whack got ike 3des loaded host cert file etc ipsec d this host cer 1760 bytes loaded host cert file gai etc vpn connection aaaaaaac cer 1760 bytes added connection description aaaaaaac forgetting secrets loading secrets from etc ipsec secrets loaded private key file eto ipsec d private this host pen 1674 bytes Changing to directory etc ipsec d cacerts Changing to directory etc ipsec d crls fireing vpn connections with DNS names fireing vpn connections finished 5 10 Menu Dienste Dienste gt DNS ity Technologies A Security Appliance Innominate mGuard Dienste gt DNS Netzwerk E Fir bch Hostnamen Modus Nutzer definiert siehe unten v Antivirus VPN Dienste DNS BYADNS Uberwachung DynDNS Registrierung DHCP Intern DHCP Extern Benutzte Nameserver Root Nameserver z LLDP Redundanz Nutzer definerte Nameserver Remote Logging SNMP Traps Zugang P Eigenschaften P Support P System Hostname guard Domain Suchpfad example local Im Stealth Modus werden nur die Einstellungen Nutzer definiert und Root Nameserver unterst tzt Andere Einstellungen werden ignoriert Soll der mGuard eine Verbindung zu einer Gegenstelle aufbauen z B VPN Ga teway oder NTP Server muss ihm die IP Adresse dieser Gegenstelle
16. geladen werden Serveradresse FQDN oder IP Adresse des Servers auf dem sich die Updatedateien befin den z B 123 456 789 21 oder update example com Login Login f r den Server Passwort Passwort f r den Login L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Eigenschaften gt Installiere Lizenz Features gt Software information Nur Anzeige 80 von 103 rity Technologies AG Security Appliance Innominate mGuard Eigenschaften gt Installiere Lizenz P Netzwerk gt Firewall D Be kan LW dee Installiere Lizenzdatei gt Zugang Eigenschaften Lokales Update Online Update Softwareinformation Lizenzanforderung ingtaliere Lizenz Lizenzinformation Hardwareinformation gt Support P System Voraussetzung Sie haben von Ihrem Distributor eine Lizenzdatei f r den mGuard erworben und haben diese Datei auf dem Konfigurations Rechner ge speichert Installieren Sie die Lizenzdatei wie folgt 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Lizenzdatei klicken um sie in das Ger t zu laden rity Technologies AG Security Appliance innominate mGuard Eigenschaften gt Softwareinformation P Netzwerk b Firewall Version 3 0 0 defaut gt antivirus kum Basis 3 0 0 defaut PDienste Updates none gt Zugang Eigenschaften Paket Versionen Onine Update Paket a T version
17. schl sselungsverfahren verwendet werden soll 3DES 168 ist das am h ufigsten benutzte Verfahren und ist deshalb als Stan dard voreingestellt Grunds tzlich gilt Folgendes Je mehr Bits ein Verschl sselungsalgorithmus hat angegeben durch die angef gte Zahl desto sicherer ist er Das relativ neue Verfahren AES 256 gilt daher als am sichersten ist aber noch nicht so verbreitet 55 von 103 Der Verschliisselungsvorgang ist um so zeitaufwendiger je langer der Schliissel ist Dieser Gesichtspunkt spielt fiir den mGuard keine Rolle weil er mit Hardware basierter Verschl sselungstechnik arbeitet Jedoch k nnte die ser Aspekt f r die Gegenstelle eine Rolle spielen Der zur Auswahl stehende mit Null bezeichnete Algorithmus beinhaltet keinerlei Verschl sselung Pr fsummenalgorithmus Hash Lassen Sie die Einstellung auf Alle Algorithmen stehen Dann spielt es keine Rolle ob die Gegenstelle mit MD5 oder SHA 1 arbeitet IPsec SA Datenaustausch Im Unterschied zu ISAKMP SA Schliisselaustausch s 0 wird hier das Ver fahren f r den Datenaustausch festgelegt Die k nnen sich von denen des Schl sselaustauschs unterscheiden m ssen aber nicht Verschl sselungsalgorithmus Siehe oben Pr fsummenalgorithmus Hash Siehe oben Perfect Forward Secrecy PFS Verfahren zur zus tzlichen Steigerung der Sicherheit bei der Daten bertra gung Bei IPsec werden in bestimmten Intervallen die Schl ssel f r den Da tenausta
18. und einen eigenen bisher unbenutzen Port Dazu f hrt er eine Tabelle die die Zuordnung der urspr nglichen mit den neuen Werten herstellt Beim Empfang eines Antwort Datagramms erkennt der NAT Router anhand des angegebenen Zielports dass das Datagramm eigentlich f r einen internen Rech ner bestimmt ist Mit Hilfe der Tabelle tauscht der NAT Router die Ziel IP Adresse und den Ziel Port aus und schickt das Datagramm weiter ins interne Netz Bei den Protokollen UDP und TCP wird jedem Teilnehmer eine Portnummer zu geordnet ber sie ist es m glich zwischen zwei Rechnern mehrere UDP oder TCP Verbindungen zu unterscheiden und somit gleichzeitig zu nutzen Bestimmte Portnummern sind f r spezielle Zwecke reserviert Zum Beispiel werden in der Regel HTTP Verbindungen zu TCP Port 80 oder POP3 Verbindun gen zu TCP Port 110 aufgebaut Akronym f r Point to Point Protocol over Ethernet Basiert auf den Standards PPP und Ethernet PPPoE ist eine Spezifikation um Benutzer per Ethernet mit dem Internet zu verbinden ber ein gemeinsam benutztes Breitbandmedium wie 99 von 103 PPTP X 509 Zertifikat Protokoll Ubertra gungsprotokoll Service Provider Spoofing Antispoofing 100 von 103 DSL Wireless LAN oder Kabel Modem Akronym fiir Point to Point Tunneling Protocol Entwickelt von Microsoft U S Robotics und anderen wurde dieses Protokoll entwickelt um zwischen zwei VPN Knoten gt VPN ber ein ffentliches Netz sicher
19. zur ck ist Beispiele In Berlin ist die Uhrzeit der mittleren Greenwich Zeit um 1 Stunde voraus Also tragen Sie ein MEZ 1 Wichtig ist allein die Angabe 1 2 oder 1 usw weil nur sie ausgewertet wird die davor stehenden Buchstaben nicht Sie k nnen MEZ oder beliebig anders lauten W nschen Sie die Anzeige der MEZ Uhrzeit g ltig f r Deutschland mit automatischer Umschaltung auf Sommer bzw Winterzeit geben Sie ein MEZ 1MESZ M3 5 0 M 10 5 0 3 Lokale Systemzeit Hier k nnen Sie die Zeit des mGuards setzen falls kein NTP Server einge stellt wurde oder aber der NTP Server nicht erreichbar ist Das Datum und die Zeit werden in dem Format JJJJ MM TT ss mm angege ben JJJJ Jahr MM Monat TT Tag ss Stunde mm Minute 84 von 103 Network Time Protocol NTP Aktiviere NTP Zeitsynchronisation Ja Nein Sobald das NTP aktiviert ist bezieht der mGuard die Zeit aus dem Internet und zeigt diese als aktuelle Systemzeit an Die Synchronisation kann einige Sekunden dauern Nur wenn dieser Schalter auf Ja steht und unter N7P Server zur Synchronisa tion s u mindestens 1 Zeitserver angegeben ist wird die aktuelle System zeit tiber das Internet bezogen NTP Status Anzeige des aktuellen NTP Status NTP Server zur Synchronisation Geben Sie hier einen oder mehrere Zeitserver an von denen der mGuard die aktuelle Zeitangabe beziehen soll Falls Sie mehrere Zeitserver angeben ver bindet sich der mGuard aut
20. 0 255 255 255 0 255 255 255 0 255 255 255 0 Gateway 192 168 11 2 Netz C Rechner Cl C2 C3 C4 Netzwerk 192 168 27 0 24 IP Adresse 192 168 27 1 192 168 27 2 192 168 27 3 192 168 27 4 Gateway 192 168 11 2 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 90 von 103 6 Die Rescue Taste fur Neustart Recovery Prozedur und Flashen der Firmware Die Rescue Taste wird benutzt um das Ger t in einen der folgenden Zust nde zu bringen 6 1 Neustart durchf hren Ziel Das Ger t neu starten mit den konfigurierten Einstellungen Aktion Rescue Taste f r ca 1 5 Sekunden dr ckenODER 6 2 Recovery Prozedur ausf hren Ziel Der mGuard soll in den Netzwerk Modus Betriebsart Stealth zur ckgeschaltet werden so dass er f r Konfigurationszwecke wieder erreichbar ist unter folgender Adresse https 1 1 1 1 B gt Die konfigurierten Einstellungen f r VPN Verbindungen und Firewall bleiben erhalten ebenso Passw rter M gliche Gr nde zum Ausf hren der Recovery Prozedur Der mGuard befindet sich im Router oder PPPoE Modus und die Ger teadresse des mGuard ist konfiguriert worden abwei chend von der Standardeinstellung und Sie kennen die aktuelle IP Adresse des Ger tes nicht Aktion 1 Die Rescue Taste langsam 6 mal dr cken 2 Nach ca 2 Sekunden antwortet der mGuard e Bei Erfolg leuchtet die Status LED gr n e Bei Mi erfolg bleibt die Status LED aus 3 Bei Erfolg vollz
21. 240 224 192 128 OO OO OO OO bin r 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 11111111 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 Beispiel 192 168 1 0 255 255 255 0 entspricht im CIDR 192 168 1 0 24 5 16 Netzwerk B
22. Eine Erl uterung der angezeigten Informationen finden Sie im Kapitel VPN gt Maschinenzertifikat auf Seite 57 VPN gt Verbindungen gt Verbindung urban gt X 509 Zertifikat subject C DE ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN Identity 001 emailAddress mhopf innominate com issuer C DE Aktuelles Zertifikat ST Berlin L Berlin O Innominate Security Technologies AG OU mGuard Team CN mGuard Team IPsec CA emailAddress mhopf innominate com MDS Fingerprint 80 42 60 7F 53 46 DF A6 2D 34 E4 43 7B 53 F5 08 SHA1 Fingerprint 73 03 B0 B2 84 9C 97 58 B8 3D 05 D5 56 F1 64 C4 61 AA 47 4B notBefore May 15 15 15 44 2003 GMT notAfter May 14 15 15 44 2004 GMT Dateiname can Darcuchen Imporeren Zur ck 4 Zur ck klicken Pre Shared Secret Key PSK Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen un terst tzt Dabei authentifizieren sich beide Seiten des VPNs ber den gleichen PSK Um den verabredeten Schl ssel dem mGuard zur Verf gung zu stellen gehen Sie wie folgt vor 1 Konfigurieren klicken 51 von 103 52 von 103 Folge Der nachfolgend abgebildete Bildschirm erscheint e Ce f FIr writy Technologies AG Security Appliance nominate mGuard VPN gt Verbindungen gt Verbindung Nausicaa gt Pre Shared Secret Key PSK Pre Shared Secret Key PSK Ins Eingabefeld Pre Shared Secret Key PSK die verabredete Zeichenfolge eintragen U
23. NIST f nf Algorithmen in die engere Wahl gezogen und zwar die Algorithmen MARS RC6 Rijndael Serpent und Twofish Im Oktober 2000 hat man sich f r Rijndael als Verschl sselungsalgorithmus ent schieden In einer Client Server Umgebung ist ein Server ein Programm oder Rechner das vom Client Programm oder Client Rechner Anfragen entgegennimmt und beantwortet Bei Datenkommunikation bezeichnet man auch den Rechner als Client der eine Verbindung zu einem Server oder Host herstellt D h der Client ist der anru fende Rechner der Server oder Host der angerufene Datagramm DynDNS Anbieter Bei IP Ubertragungsprotokollen werden Daten in Form von Datenpaketen den sog IP Datagrammen versendet Ein IP Datagramm hat folgenden Aufbau IP Header TCP UDP ESP etc Header Daten Payload Der IP Header enth lt die IP Adresse des Absenders source IP address die IP Adresse des Empf ngers destination IP adress die Protokollnummer des Protokoll der n chst h heren Protokollschicht nach dem OSI Schichtenmodell die IP Header Pr fsumme Checksum zur berpr fung der Integrit t des Headers beim Empfang Der TCP UDP Header enth lt folgende Informationen Port des Absenders source port Port des Empf ngers destination port eine Pr fsume ber den TCP Header und ein paar Informationen aus dem IP Header u a Quell und Ziel IP Adresse Auch Dynamic DNS Anbieter Jeder Rechner de
24. Server eine Authentifizierung verlangt Passwort Das zum Login geh rende Passwort 45 von 103 Antivirus gt Antivi rus Status eurity Technologies AG Security Appliance Innominate mGuard P Netzwerk gt Firewall Antivirus SMTP Einstellungen POP3 Einstellungen HTTP Einstellungen Datenbank Update Ars Stats Zenzanforderung Antivirus gt Antivirus Status Flash ID 000c00083f25db66 0263 Anti Virus Lizenz installiert nein a ANTI VIRUS Installere Lizenz Virus Logs Update Logs L t P Dienste P Zugang P Eigenschaften P Support P System Sie k nnen die erfolgreiche Freischaltung des Virenfilters berpr fen Unter die sem Men punkt finden Sie auch Informationen ber das Ablaufdatum Ihrer Li zenz Powered by KASPERSKY Antiviren Schutz Status Hier k nnen Sie den Status der Scan Engine berpr fen Wenn die berwa chung f r mindestens ein Protokoll aktiviert ist wird hier der Status up ange zeigt Letztes Datenbank Update Es wird der Tag angezeigt an dem das letzte mal eine nderung der Virensi gnaturen durchgef hrt wurde Datenbank Update Status Hier wird angezeigt ob die Datenbank Aktualisierung aktiviert ist ob gerade ein Datenbank Update durchgef hrt wird oder ob die Aktualisierung wegen einer abgelaufenen Antivirenlizenz gesperrt ist Antiviruslizenz installiert Hier k nnen Sie die G ltigkeit der installierten AVP Lizenz berpr fen Ablaufdatum
25. Servern im Internet mit Wenn jetzt ein entfernte Rechner eine Verbindung herstellen will zum lokalen Rechner der beim DynamicDNS Anbieter registriert ist benutzt der entfernte Rechner den Hostnamen des lokalen Rechners als Adresse Dadurch wird eine Verbindung hergestellt zum zust ndigen DNS Domain Name Server um dort die IP Adresse nachzuschlagen die diesem Hostnamen zurzeit zugeordnet ist Die IP Adresse wird zur ck bertragen zum entfernten Rechner und jetzt von diesem als Zieladresse benutzt Diese f hrt jetzt genau zum gew nschten loka len Rechner Allen Internetadressen liegt im Grunde dieses Verfahren zu Grunde Zun chst wird eine Verbindung zum DNS hergestellt um die diesem Hostnamen zuge teilte IP Adresse zu ermitteln Ist das geschehen wird mit dieser nachgeschla genen IP Adresse die Verbindung zur gew nschten Gegenstelle eine beliebige Internetpr senz aufgebaut 97 von 103 IP Adresse Jeder Host oder Router im Internet Intranet hat eine eindeutige IP Adresse IP Internet Protocol Die IP Adresse ist 32 Bit 4 Byte lang und wird geschrieben als 4 Zahlen jeweils im Bereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Eine IP Adresse besteht aus 2 Teilen die Netzwerk Adresse und die Host Adresse Netzwerk Adresse Host Adresse Alle Hosts eines Netzes haben dieselbe Netzwerk Adresse aber unterschiedliche Host Adressen Je nach Gr e des jeweiligen Netzes man
26. Verbindung waren korrekt IPsec Status 59 von 103 IPsec Status ist mit established angegeben wenn die IPsec Verschl sse lung bei der Kommunikation aktiviert ist In diesem Fall waren auch die An gaben unter IPsec SA und Tunnel Einstellungen korrekt Bei Problemen empfiehlt es sich in die VPN Logs des Rechners zu schauen zu dem die Verbindung aufgebaut wurde Denn der initiierende Rechner bekommt aus Sicherheitsgr nden keine ausf hrlichen Fehlermeldungen zugesandt Falls angezeigt wird ISAKMP SA established IPsec State WAITING Dann bedeutet das Die Authentifizierung war erfolgreich jedoch stimmten die anderen Parameter nicht Stimmt der Verbindungstyp Tunnel Transport berein Wenn Tunnel gew hlt ist stimmen die Netzbereiche auf beiden Seiten berein Falls angezeigt wird IPsec State IPsec SA established Dann bedeutet das Die VPN Verbindung ist erfolgreich aufgebaut und kann genutzt werden Sollte dies dennoch nicht der Fall sein dann gibt es Probleme mit dem VPN Gateway der Gegenstelle In diesem Fall die Verbindung deaktivieren und wieder aktivie ren um die Verbindung erneut aufzubauen VPN gt L2TP Status Nur Anzeige Security Appliance Innominate mGuard Innominate L2TP Daemon P Netzwerk gt Firewall Maximal number of tunnels 256 gt Antivirus Tunnels in use Maximal number of sessions per tunnel 16 Verbindungen Sessions in use L2TP Daemon s Uptine 0 days and 06
27. Wechsel des Netz werk Modus von Stealth auf Router dann ist das Ger t nur noch unter der neuen Adresse zu erreichen Erfolgte die nderung ber das lokale Interface so erhalten Sie eine R ckmeldung ber die neue Adresse bevor die nderung aktiv wird Bei nderungen vom externen Interface aus erhalten Sie keine R ckmeldungen Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die interne IP Adresse und oder die lokale Netzmaske ndern achten Sie unbe dingt darauf dass Sie korrekte Werte angeben Sonst ist der mGuard nicht mehr erreichbar Transparenter mGuard Stealth Der Stealth Modus wird ausschlie lich zur lokalen Anbindung eines einzel nen Computers als Client verwendet In dieser Betriebsart kann das Ger t einfach in eine bestehende Netzwerkan bindung des betreffenden Rechners integriert werden Der mGuard analysiert den laufenden Netzwerkverkehr und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet transparent d h ohne dass der Client umkonfiguriert werden muss Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verf gung Von extern gelieferte DHCP Daten werden an den angeschlossenen Client durchgelassen BO Eine auf dem Client installierte Firewall mu ICMP Echo Requests Ping zu lassen wenn der mGuard Dienste die VPN DNS NTP etc nutzen soll BO Die Eintr ge unter Interne IPs und Zus tzliche interne Routen we
28. Zeigt das Ablaufdatum der installierten AVP Lizenz an Antivirus gt Lizenz anforderung 46 von 103 i 173 rity Technologies AG Security Appliance Innominate mGuard Netzwerk gt Firewall WaAntivirus Antivirus gt Lizenzanforderung Flash ID 000c00083125db66 0263 SMTP Einstellungen Online Lizenzabruf arten POP3 Einstellungen HTTP Einstellungen z Datenbank Update D Antivirus Status H LiZenzanforder n Vera en Powered by D Virus Logs Update Logs P ven ANTI VIRUS P Dienste gt Zugang P Eigenschaften gt Support P System Beim Kauf Ihrer Antivirus Lizenz erhalten Sie einen Voucher auf dem Sie ein Lizenz Key und eine Lizenznummer finden Um Ihren Virenfilter zu aktivieren m ssen Sie zun chst mit diesen Informationen Ihre Lizenzdatei anfordern Dazu dr cken Sie Abrufen im Men Antivirus gt Lizenzanforderung Sie gelangen dann auf eine Web Seite in deren Felder Sie die folgenden Infor mationen eingeben License Serial Die Seriennummer die auf Ihrem Vocher gedruckt ist License Key Der Lizenz Key auf Ihrem Voucher Flash Id Wird automatisch vorausgef llt Email Address Ihre E Mail Adresse f r die Zustellung der Lizenzdatei Nach erfolgreichem Ausf llen des Formulars wird Ihnen die Lizenzdatei zuge sendet Antivirus gt Lizenz datei installieren Um die Lizenzdatei zu installieren w hlen Sie bitte die Datei im Men punkt Antivirus gt Installiere Lizenz aus um sie anschlie end
29. auf Seite 91 gt Falls die Administra Sollte auch nach wiederholtem Versuch der Web Browser melden dass die tor Website nicht an Seite nicht angezeigt werden kann versuchen Sie Folgendes gezeigt wird e Pr fen Sie ob der Standardgateway des angeschlossenen Konfigurations Rechners initialisiert ist Siehe Lokale Konfiguration Bei Inbetriebnahme auf Seite 11 e Eine bestehende Firewall gegebenenfalls deaktivieren e Achten Sie darauf dass der Browser keinen Proxy Server verwendet Im MS Internet Explorer Version 6 0 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter LAN Einstellungen auf die Schaltfl che Einstellungen klicken im Dialogfeld Einstellungen f r lokales Netzwerk LAN daf r sorgen dass unter Proxyserver der Eintrag Proxyserver f r LAN verwenden nicht aktiviert ist e Falls andere LAN Verbindungen auf dem Rechner aktiv sind deaktivieren Sie diese f r die Zeit der Konfiguration Unter Windows Men Start Einstellungen Systemsteuerung Netzwerk verbindungen bzw Netzwerk und DF Verbindungen das betreffende Symbol mit der rechten Maustaste klicken und im Kontextmen Deaktivie ren w hlen Bei erfolgreichem Nach erfolgreicher Verbindungsaufnahme erscheint dieser Sicherheitshinweis Verbindungsaufbau MS Internet Explorer 13 von 103 Konfiguration durchf hren Sicherheitshinweis E Erl uterung i Informationen die Sie mit dies
30. der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Das Einschalten des FTP Virenfilters ffnet die Firewall f r die entsprechen den Ports unabh ngig von zus tzlichen anderslautenden Firewall Regeln Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller FTP Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das FTP Protokoll an Der FTP Standardport 21 ist bereits voreingestellt Das Einschalten des FTP Virenfilters ffnet die Firewall f r die entsprechen den Ports unabh ngig von
31. diese Grenze berschritten wird eine Fehlermeldung an den Browser gesendet oder automatisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software Browser Download Manager des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optionen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren Bei Virusdetektion Fehlermeldung an den Browser Erkennt der Virenfilter einen Virus innerhalb eines Datentransfers vom HTTP Server zum HTTP Client dann wird eine Fehlermeldung an den HTTP Client gesendet Die Darstellung dieser Fehlermeldung h ngt vom je weiligen HTTP Client ab Ein Webbrowser wird die Fehlermeldung in Form einer HTML Seite darstellen Ist eine innerhalb einer HTML Seite nachgela dene Datei z B eine Bilddatei infiziert so wird diese Datei im Browser nicht angezeigt Wird ein Dateidownload per HTTP mittels Download Mana ger vorgenommen so wird die Fehlermeldung im Download Manager ange zeigt Bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfil
32. e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein Kann Bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen 35 von 103 Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird H In diesem Fall wird nicht auf Viren berpr ft E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der SMTP Server Sie k nnen die Server angeben zu denen Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Beispiele Globale Aktivierung des Antivirus Schutzes f r SMTP 0 see soneron Kommen scannen P TT anon ps fale ausgehenden Verbindun Scannen x Scan eines Subnetzes Ausklammerung eines SMTP Servers Eg RER RER scannen E ES 168 2 5 ps Server mit eigenem AntiVirus Nicht Scannen Scan f r einen einzelnen SMTP Server in einem Subnetz gt lt see sererron kommen scan TT IEN 68 2 5 ps fangreifbarer SMTP Server Scannen sl IECH 68 2 0 24 ps Berver mit eigenem AntiVirus Nicht Scannen v L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben B gt Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihe
33. glich die die aufwendige Administrierbarkeit von symmetrischen Schl sseln vermeiden Der von IBM stammende und von der NSA berpr fte symmetrische Ver schliisselungsalgorithmus gt symmetrische Verschl sselung DES wurde 1977 vom amerikanischen National Bureau of Standards dem Vorg nger des heuti gen National Institute of Standards and Technology NIST als Standard f r amerikanische Regierungsinstitutionen festgelegt Das es sich hierbei um den ersten standardisierten Verschl sslungsalgorithmus berhaupt handelte setzte er sich auch schnell in der Industrie und somit au erhalb Amerikas durch DES arbeitet mit einer Schl ssell nge von 56Bit die heute aufgrund der seit 1977 gestiegenen Rechenleistung der Computer als nicht mehr sicher gilt 3DES ist eine Variante von DES Es arbeitet mit 3 mal gr eren Schl sseln die also 168 Bit lang sind Sie gilt heute noch als sicher und ist unter anderem auch Teil des IPsec Standards Das NIST National Institute of Standards and Technology entwickelt in Zusammenarbeit mit Industrie Unternehmen seit Jahren den AES Verschl sse lungsstandard Diese gt symmetrische Verschl sselung soll den bisherigen DES Standard abl sen Der AES Standard spezifiziert drei verschiedene Schl sselgr en mit 128 192 und 256 Bit 1997 hatte die NIST die Initiative zu AES gestartet und ihre Bedingungen f r den Algorithmus bekannt gegeben Von den vorgeschlagenen Verschl sse lungsalgorithmen hat die
34. k nnen Wenn der DNS Dienst des mGuard genutzt werden soll dessen lokale IP Adresse WINS Server Legt fest wo Clients ber den Windows Internet Naming Service WINS Hostna men in Adressen aufl st Statische Zuordnung anhand der MAC Adresse Die MAC Adresse Ihres Clients finden Sie wie folgt heraus Windows 95 98 ME Starten Sie winipefg in einer DOS Box Windows NT 2000 XP Starten Sie ipconfig all in einer Eingabeaufforderung Die MAC Adresse wird als Physikalische Adresse angezeigt Linux Rufen Sie in einer Shell sbin ifconfig oder ip link show auf L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten MAC Adresse des Clients Die MAC Adresse ohne Leerzeichen oder Bindestriche des Clients IP Adresse des Clients Die statische IP des Clients die der MAC Adresse zugewiesen werden soll Die statischen Zuweisungen haben Vorrang vor dem dynamischen IP Adresspool Statische Zuweisungen d rfen sich nicht mit dem dynamischen IP Adresspool berlappen Eine IP darf nicht in mehreren statischen Zuweisungen verwendet wer den ansonsten wird diese IP mehreren MAC Adressen zugeordnet Es sollte nur ein DHCP Server pro Subnetz verwendet werden DHCP Relay Optionen DHCP Server zu denen weitergeleitet werden soll Eine Liste von ein oder mehreren DHCP Servern an welche DHCP Anfr
35. klogd ctnetlink v0 12 registering with nfnetlink gt zugang uptime 0 days 00 00 05 88867 root Using Packages Linux_0 4 5 26 default nodules kernel net ipv4 netfilter nfnetlir gt Features uptime 0 days 00 00 05 95806 root Using Packages linux_0 4 5 26 default nodules kernel net ipv4 netfilter ip_connt gt Support uptime 0 days 00 00 06 01076 root Using Packages Linux_0 4 5 26 default modules kernel net ipvd netfilter ipt_stat W ystem uptime 0 days 00 00 06 09804 root Using Packages linux_0 4 5 26 default modules kernel net ipv4 netfilter ip_connt Konfigurations Profile uptime 0 days 00 00 06 15574 root Using Packages Linux_0 4 5 26 default nodules kernel net ipv4 netfilter ip_connt Konfiguration Holen uptime 0 days 00 00 06 24618 root Using Packages linux_0 4 5 26 default modules kernel net ipv4 netfilter iptable_ Neustart uptime 0 days 00 00 06 26977 root Using Packages linux_0 4 5 26 default modules kernel net ipvd netfilter ipt_REDI fogs uptime 0 days 00 00 06 33226 root Using Packages Llinux_0 4 5 26 default nodules kernel net ipv4 netfilter ip_connt uptime 0 days 00 00 06 41499 root Using Packages linux_0 4 5 26 default modules kernel net ipvd netfilter ip_connt uptime 0 days 00 00 06 44046 root Using Packages Llinux_0 4 5 26 default nodules kernel net ipv4 netfilter iptable_ uptime 0 days 00 00 06 46494 root Using Packages Linux 0 4 5 26 default modules kernel net ipv4 netfilter ipt MAST Zeigt alle aufg
36. protokolliert die nicht von den vor anstehenden Regeln erfasst werden Firewall ausgehend gesicherter Port Firewallregeln f r Verbindungen vom lokalen Ethernetinterface LAN nach PPP Alle weiteren Angaben entsprechen Firewall eingehend ungesicherter Port 5 12 Men Eigenschaften Eigenschaften gt Lokales Update Lesen Sie die README Datei Ji rity Technologies A Security Appliance en Eigenschaften gt Lokales Update gt Firewall gt Antivirus Installiere lokale Package Set Datei kum D ES P Zugang Lokales Update nline Updat Softwareinformation Lizenzanforderung installiere Lizenz Lizenzinformation Hardwareinformation gt Support P System Voraussetzung Sie haben ein aktuelles Software Paket lokal auf Ihrem Konfi gurations Rechner gespeichert Ob und auf welche Weise Sie an ein Software Update gelangen k nnen er fragen Sie bei Ihrem Distributor Sie d rfen w hrend des Updates auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte ansonsten besch digt wer den und nur noch durch den Hersteller reaktiviert werden Haben Sie ein aktuelles Software Update auf Ihrem Konfigurations Rechner ge speichert gehen Sie wie folgt vor 1 Durchsuchen klicken und dann die Datei selektieren 2 Installiere Pakete klicken um sie in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem Sys
37. un ver ndert bleibt ist dieser Modus nur f r eine Host zu Host Verbindung geeig net Im Tunnel Mode wird dem gesamten IP Datagramm ein IPsec Header und ein neuer IP Header vorangestellt D h das urspr ngliche Datagramm wird insge samt verschl sselt in der Payload des neuen Datagramms untergebracht Der Tunnel Mode findet beim VPN Anwendung Die Ger te an den Tunnelenden sorgen f r die Ver bzw Entschl sselung der Datagramme auf der Tunnelstrek ke d h auf dem bertragungsweg ber ein ffentliches Netz bleiben die eigent lichen Datagramme vollst ndig gesch tzt Bei der Network Address Translation NAT oft auch als P Masquerading be zeichnet wird hinter einem einzigen Ger t dem sog NAT Router ein ganzes Netzwerk versteckt Die internen Rechner im lokalen Netz bleiben mit ihren IP Adressen verborgen wenn Sie nach au en ber die NAT Router kommuni zieren F r die Kommunikationspartner au en erscheint nur der NAT Router mit seiner eigenen IP Adresse Damit interne Rechner dennoch direkt mit externen Rechnern im Internet kom munizieren k nnen muss der NAT Router die IP Datagramme ver ndern die von internen Rechnern nach au en und von au en zu einem internen Rechner ge hen Wird ein IP Datagramm aus dem internen Netz nach au en versendet ver ndert der NAT Router den UDP bzw TCP Header des Datagramms Er tauscht die Quell IP Adresse und den Quell Port aus gegen die eigene offizielle IP Adresse
38. unterscheidet Netze der Kategorie Class A B und C sind die beiden Adressanteile unterschiedlich gro 1 Byte 2 Byte 3 Byte 4 Byte Class A Netz Adr Host Adr Class B Netz Adr Host Adr Class C Netz Adr Host Adr Ob eine IP Adresse ein Ger t in einem Netz der Kategorie Class A B oder C be zeichnet ist am ersten Byte der IP Adresse erkennbar Folgendes ist festgelegt Wert des Bytes f r die Bytes f r die 1 Byte Netzadresse Host Adresse Class A 1 126 1 3 Class B 128 191 2 2 Class C 192 223 3 1 Rein rechnerisch kann es nur maximal 126 Class A Netze auf der Welt geben jedes dieser Netze kann maximal 256 x 256 x 256 Hosts umfassen 3 Bytes Adressraum Class B Netze k nnen 64 x 256 mal vorkommen und k nnen je weils bis zu 65 536 Hosts enthalten 2 Bytes Adressraum 256 x 256 Class C Netze k nnen 32 x 256 x 256 mal vorkommen und k nnen jeweils bis zu 256 Hosts enthalten 1 Byte Adressraum Subnetz Maske Einem Unternehmens Netzwerk mit Zugang zum Internet wird normalerweise nur eine einzige IP Adresse offiziell zugeteilt z B 123 456 789 21 Bei dieser Beispiel Adresse ist am 1 Byte erkennbar dass es sich bei diesem Unterneh mens Netzwerk um ein Class B Netz handelt d h die letzten 2 Byte k nnen frei zur Host Adressierung verwendet werden Das ergibt rein rechnerisch einen Adressraum von 65 536 m glichen Hosts 256 x 256 Ein so riesiges Netz macht wenig Sinn
39. vonron name mehren Tnionfsommenu Los Log Eintr ge f r unbekannte Verbindungsversuche Nein Zus tzlich zu den hier eingestellten Regeln ist der Wartungszugang via HTTPS SSH und SNMP f r den eingew hlten Rechner freigeschaltet Die oben konfigurierten Regeln erm glichen zus tzlichen Zugriff auf das interne bzw externe Netzwerk Bitte beachten Sie Der mGuard smart hat keinen Anschluss f r ein serielles Modem Einige mGuards wie der mGuard blade oder industrial verf gen ber eine von au en zug ngliche serielle Schnittstelle Uber diese kann man mittels eines Ter minalprogramms oder aber einer PPP Verbindung auf den mGuard zugreifen Serielle Verbindung Modem PPP Baudrate Die zu verwendende Geschwindigkeit auf dem seriellen Port MODEM PPP Wenn diese Option auf Aus steht kann man sich ber ein Terminal ber den seriellen Port einloggen Steht sie auf Ein kann man sich ber PPP auf dem mGuard einloggen Hardware handshake RTS CTS Nutze die RTS und CTS Signale f r die PPP Verbindung PPP Einwahloptionen Lokale IP IP des mGuard f r die PPP Verbindung Entfernte IP IP der Gegenstelle f r die PPP Verbindung PPP Login name Login welchen die PPP Gegenstelle angeben mu um die PPP Verbindung aufbauen zu k nnen PPP Passwort Das Passwort welches die Gegenstelle angeben mu Firewall eingehend PPP Interface Firewallregeln f r Verbindungen von PPP zum lokalen Ethernetinterface LAN L Da
40. wird Eigenschaften von Internetprotokoll TCP IP Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen Folgende IP Adresse verwenden IP Adresse Subnetzmaske Standardgateway Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server OK Abbrechen Aktivieren Sie zun chst Folgende IP Adressen verwenden und geben dann zum Beispiel folgende Adressen ein IP Adresse 192 168 1 2 Subnetzmaske 255 255 255 0 Standardgateway 192 168 1 2 DO Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 5 2 Lokale Konfigurationsverbindung herstellen Web basierte Der mGuard wird per Web Browser konfiguriert der auf dem Konfigurations Administrator Rechner ausgef hrt wird z B Firefox MS Internet Explorer oder Safari oberfl che D Der Web Browser muss SSL d h https unterst tzen Je nach dem in welchem Netzwerk Modus Betriebsart der mGuard sich be findet ist er gem Werkseinstellung unter einer der folgenden Adressen er reichbar Werkseinstellung Stealth Modus Auslieferungszustand https 1 1 1 1 Router PPPoE PPPT Modus https
41. 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller POP3 Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 89 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das POP3 Protokoll an Der POP3 Standardport 110 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert 39 von 103 Antivirus gt HTTP Einstellungen 40 von 103 AG Security Appliance Innominate mGuard Antivirus gt HTTP Einstellungen P Netzwerk gt Firewall e e Le wee mI a Scannen bis zur Gr sse von default 5MB ap d zn Bei Virusdetektion Fehlermeldung an den Browser v Bei berschreiten der Gr ssenbegrenzung Daten blockieren xl Installiere Lizenz Virus Logs Liste der HTTP Server
42. 00 EB 26 11 09 41 19 704 Previously allocated address acked 26 11 09 41 19 714 Connection received from 192 168 10 200 on port 1024 26 11 09 41 19 774 Read request for file lt install p s gt Mode octet 26 11 09 41 19 774 lt install p s gt sent 4 blks 2048 bytes in 1 s 0 blk resent 26 11 09 41 20 786 Connection received from 192 168 10 200 on port 1024 26 11 09 43 17 053 Read request for file lt jffs2 img p7s gt Mode octet 26 11 09 43 17 053 lt iffs2 img p s gt sent 14614 blks 7482368 bytes in 11 s 0 blk resent 26 11 09 43 28 008 gt Current Action Kits2 ima p s gt sent 14614 blks 7482368 bytes in 11 s 0 blk resent ston Hee 4 Wechseln Sie auf die Registerkarte Tftp Server bzw DHCP Server und klik ken Sie dann die Schaltfl che Settings um im dann angezeigten Dialogfeld die Parameter wie folgt zu setzen gt Tftpd32 Settings Exi gt Tftpd32 by Ph Jounin ez 5 x Base Directory A Current Directory Een Browse Em Browse e Server interface 192 168 10 1 D Show Dir DHCP Save syslog message Titp Server write File Sa IP pool starting address 792 168 10 200 Size of pool 130 r Global Settings IV TFTP Server Syslog Server 7 TFTP Clet IV DHCP Server Syslog server r ne Ga deng configuration Boot File EEE a Standard eege CB WINS DNS Server 0 0 0 0 v C High ee 6 Default router OT F 9 Tftp port 69 Ge
43. 00 e Maschinen Zertifikat Traffic 192 168 1 10 151 0 0241 STATE MAIN P3 sent 101 0 158 4500 LATP harlock 2 DE ST Berlin L Berlin O Innominate C DE T Berlin L Berlin O Innominate MR3 ISAKMP SA Se IPsec ji ity Technologies AG OU Support established IPsec Stats Security Technologies AG OU Support Securit j LTP Status CNetest4 E mhopf innominate cam Chetest5 Esmhopf innominate com VPN Logs boos EEE 10 1 0 152 192 168 1 024 3 10 151 0 024 3 S Zugang Fe S gt Bes ld C DE ST Berlin L Berlin O Innominate C DE ST Berlin L Berlin O Innominate P System Security Technologies AG OU Support jolagies AG OU Support ys CNetest4 Emhopf innominate com jopf innominate com Informiert ber den Status der IPsec Verbindungen Links sind die Namen der VPN Verbindungen aufgelistet rechts daneben wird jeweils deren aktueller Status angezeigt GATEWAY zeigt die IP Adressen der miteinander kommunizierenden VPN Gateways TRAFFIC bezeichnet Rechner bzw Netze die ber die VPN Gateways kommunizieren ID bezeichnet den Distinguished Name DN eines X 509 Zertifikats ISAKMP Status ISAKMP Status Internet security association and key management protocol ist mit established angegeben wenn die beiden beteiligten VPN Gateways einen Kanal zum Schl sselaustausch aufgebaut haben In diesem Fall konnten sie einander kontaktieren und alle Eintr ge bis einschlie lich ISAKMP SA auf der Konfigurationsseite der
44. 1 1 1 1 ben tigt ARP Zugriff zum Standard Gateway Beschr nkungen im ARP Verkehr zum Standard Gateway k nnen d zu Zugriffproblemen f hren Im Stealth Modus kann neben der IP Firewall Layer 3 4 die den Datenverkehr z B nach ICMP Nachrichten oder TCP UDP Verbindungen filtert mit dem MAC Filter Layer 2 nach MAC Adressen und Ethernet Protokollen gefiltert werden Im Gegensatz zur IP Firewall ist der MAC Filter stateless Das hei t werden Re geln eingef hrt m ssen gegebenenfalls Regeln f r die Gegenrichtung erstellt werden Ist keine Regel gesetzt sind alle ARP und IP Packete erlaubt Quell MAC Angabe der Quell MAC Adresse xx xx xx xx xx xx steht f r alle MAC Adressen Ziel MAC Angabe der Ziel MAC Adresse xx xx Xx Xx Xx xx steht f r alle MAC Adres sen Der Wert ff ff ff ff ff ff ist die Broadcast MAC Adresse an die z B alle ARP Anfragen geschickt werden 30 von 103 Ethernet Protokoll any steht f r alle Ethernet Protokolle Weitere Protokolle k nnen mit dem Namen oder in HEX angegeben werden zum Beispiel e IPv4 oder 0800 e ARP oder 0806 Aktion Annehmen bedeutet die Datenpackete d rfen passieren Verwerfen bedeutet die Datenpackete werden verworfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Der MAC Filter unterst tzt keine Logging Funktionalit t Die hier angegebenen Regeln haben Vorrang gegen ber den Firewall Regeln Firewall gt i g nna Erweiterte eourity
45. 10 1 0 152 4500 b Dienste uptime 0 days 00 00 21 58433 pluto 2168 loading secrets from etc ipsec secrets P zugang uptime 0 days 00 00 21 58840 pluto 2168 loaded private key file etc ipsec d private this host pen 1674 bytes P Features uptine 0 days 00 00 22 14888 pluto 2168 forgetting secrets gt Support uptime 0 days 00 00 22 14899 pluto 2168 loading secrets from etc ipsec secrets P System uptime 0 days 00 00 22 14909 pluto 2168 loaded private key file eto ipsec d private this host pen 1674 bytes uptine 0 days 00 00 22 14927 pluto 2168 uptime 0 days 00 00 22 15118 pluto 2168 uptine 0 days 00 00 28 23885 firestarter uptime 0 days 00 00 28 43225 firestarter uptime 0 days 00 00 30 39416 pluto 2168 uptime 0 days 00 00 30 39427 pluto 2168 uptime 0 days 00 00 30 39437 pluto 2168 uptime 0 days 00 00 30 39768 pluto 2168 uptime 0 days 00 00 30 40106 pluto 2168 uptime 0 days 00 00 30 41684 pluto 2168 uptime 0 days 00 00 30 41805 pluto 2168 uptime 0 days 00 00 30 42007 pluto 2168 uptime 0 days 00 00 30 42540 pluto 2168 uptime 0 days 00 00 30 42756 pluto 2168 uptime 0 days 00 00 32 42130 firestarter uptime 0 days 00 00 32 43619 firestarter Listet alle VPN Ereignisse auf Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren Changing to directory
46. 10 14 Maschinen Zertifikat L2TP PN Logs gt Dienste gt Zugang P Features gt Support P System Informiert ber den L2TP Status wenn dieser als Verbindungstyp gew hlt ist Siehe VPN gt Verbindungen auf Seite 49 Ist dieser Verbindungstyp nicht gew hlt sehen Sie die abgebildete Anzeige VPN gt VPN Logs Nur Anzeige 60 von 103 Security Appliance Innominate mGuard uptime 0 days 00 00 20 20566 12tp 12tpd 2143 innominate 12tpd started P Netzwerk uptime 0 days 00 00 20 91360 pluto 2168 Starting Pluto Openswan Version 1 0 3 P Firewall uptime 0 days 00 00 20 91454 pluto 2168 including X 509 patch with traffic selectors Version 0 9 42inno P Antivirus uptime 0 days 00 00 20 94465 pluto 2168 including NAT Traversal patch Version 0 6 uptime 0 days 00 00 21 39942 pluto 2168 ike_alg_register_enc Activating OAKLEY DES CBC Ok ret 0 Verbindungen uptime 0 days 00 00 21 40033 pluto 2168 ike alg_register_enc Activating OAKLEY AES CBC Ok ret 0 Maschinen Zertifikat uptime 0 days 00 00 21 43925 pluto 2168 Changing to directory etc ipsec d cacerts L2TP uptime 0 days 00 00 21 47526 pluto 2168 Changing to directory etc ipsec d crls IPsec Status uptine 0 days 00 00 21 57902 pluto 2168 listening for IKE messages LTP Status uptime 0 days 00 00 21 58110 pluto 2168 adding interface ipsec0 eth0 10 1 0 152 SEN Teas uptime 0 days 00 00 21 58249 pluto 2168 adding interface ipsec0 eth0
47. 192 168 1 1 Gehen Sie wie folgt vor 1 Starten Sie einen Web Browser Z B Firefox MS Internet Explorer oder Safari der Web Browser muss SSL d h https unterstiitzen 2 Achten Sie darauf dass der Browser beim Starten nicht automatisch eine Verbindung w hlt weil sonst die Verbindungsaufnahme zum mGuard erschwert werden k nnte Im MS Internet Explorer nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen 12 von 103 Unter DFU und VPN Einstellungen muss Keine Verbindung wihlen akti viert sein 3 In der Adresszeile des Web Browsers geben Sie die Adresse des mGuard vollst ndig ein Im Stealth Modus lautet diese immer IP Adresse des mGuard im Stealth Modus https 1 1 1 1 https 1 1 1 1 wenn nicht im Stealth und in den Betriebsarten Router Werkseinstellung PPPoE oder PPTP Modus lautet diese immer https 192 168 1 1 https 192 168 1 1 Folge Sie gelangen zur Administrator Website des mGuard Der auf der n chsten Seite abgebildete Sicherheitshinweis erscheint B Falls Sie die konfigu Falls die Adresse des mGuard im Router PPPoE oder PPTP Modus auf einen rierte Adresse verges anderen Wert gesetzt ist und Sie kennen die aktuelle Adresse nicht dann miis sen haben sen Sie den mGuard mit Hilfe der Recovery Taste in den Stealth Modus stellen und damit auf folgende Adresse https 1 1 1 1 siehe Recovery Prozedur ausf hren
48. 3 e Annehmen e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zuriickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Im Stealth Modus ist Abweisen als Aktion nicht m glich Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werksseitige Voreinstellung Zugang gt SNMP Ir ity Technologies AG Security Appliance Innominate mGuard Zugang gt SNMP Netzwerk de cz ice Aktiviere SUMPv3 Nein 2 Wa Aktiviere app ER P Dienste SE SS EN FE Passworte Fe EE E7 HTTPS SSH Port f r SM Verbindungen g ltig f r externes Interface SNE Serieller Port Modem Firewallregeln zu Freigabe des SNMP Zugriffs certen VonP enge TE Aktion ee Interf L gt Support Fa sales ai Diese Regeln gestatten es SNMP zu aktivieren Wichtig Setzen Sie sichere Passworte f r SNMPv3 bevor Sie Fernzugriff erlauben Bitte beachten Sie Zus tzlich zur globale
49. DP bertragen werden sollen Sie m ssen eine IP Adresse angeben keinen Hostnamen Hier wird eine Namensaufl sung nicht unterst tzt weil sonst der Ausfall eines DNS Servers nicht protokolliert werden k nnte Log Server Port Geben Sie den Port des Log Servers an zu dem die Log Eintr ge per UDP bertragen werden sollen Standard 514 e e Dienste gt SNMP in ninate Traps rity Technologies AG Security Appliance Innominate mGuard Dienste gt SNMP Traps P Netzwerk gt Firewall Basis T gt antivirus soit d km Aktiviere SIMP Authentifikations Tr je zl Dienste a H DNS Aktiviere Linkstatus UpDown Traps a d DynDNS Uberwachung DynDNS Registrierung Aktiviere Kaltstart Traps je i DHCP Intern S H DHCP Extern Aktiviere Admin SSH HTTPS Traps und DHCPineue MAC Addresse Tray i DHCP SSH HTTPS Traps p irla Antivirus SNMP Traps E Aktiviere Traps bei erfolgreicher Aktualisierung von Virensuchmustern Ja rl PEgenschaten Aktiviere Traps bei Update oder Virusscan Problemen Support P system Aktiviere Traps bei gefundenem Virus oder Nichtpriifung von Dateien Redundanz Traps SNMP Trap Ziele gt lt a ziei ame Ziel Community Bei bestimmten Ereignissen kann der mGuard SNMP Traps versenden Die fol genden Einstellungen sind m glich 69 von 103 70 von 103 e Basis TrapsAktiviere SNMP Authentifikations Traps e Aktiviere Linkstatus Up Down Traps e Aktiviere Kaltstart Traps e Aktiviere Admin SSH HTTPS Tr
50. Daten zu bertragen Eine Art Siegel welches die Echtheit eines ffentlichen Schl ssels gt asym metrische Verschl sselung und zugeh riger Daten belegt Damit der Benutzer eines zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von seinem tats chlichen Aussteller und damit der Instanz stammt die die zu versen denden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Diese Be glaubigung der Echtheit des ffentlichen Schl ssels und die damit verbundene Verkn pfung der Identit t des Ausstellers mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Re geln der CA indem der Aussteller des ffentlichen Schl ssels beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher berpr fung signiert die CA den ffentliche Schl ssel mit ihrer digitalen Unterschrift ihrer Signatur Es ent steht ein Zertifikat Ein X 509 v3 Zertifikat beinhaltet also einen ffentlichen Schl ssel Informa tionen ber den Schl sseleigent mer angegeben als Distinguised Name DN erlaubte Verwendungszwecke usw und die Signatur der CA Die Signatur entsteht wie folgt Aus der Bitfolge des ffentlichen Schl ssels den Daten ber seinen Inhaber und aus weiteren Daten erzeugt die CA eine individu elle Bitfolge die bis zu 160 Bit lang sein kann den sog HASH Wert Diesen ver s
51. Der mGuard bernimmt dabei die Rolle des VPN Gateways Auf den externen Rechnern mu dazu eine IPsec f hige VPN Client Software installiert werden bzw das Betriebssystem mu diese Funktionalit t bereits unterst tzen wie z B Windows 2000 XP Lcpl CG Internet VIT 891 z6L Zr gl z l ELIL ZZ 9 ZZ SL gL z l YOZ 1891 Z6L un Hauptgbd 192 168 1 0 24 192 168 2 0 24 WLAN Zwei Geb ude einer Firma sollen ber eine mit IPsec gesch tzte WLAN Strecke miteinanderverbunden werden Vom Nebengeb ude soll zudem der Internetzugang des Hauptgeb udes mitgenutzt werden k nnen In diesem Beispiel wurden die mGuards in den Routermodus geschaltet und f r das WLAN ein eigenes Netz mit 172 16 1 x Adressen eingerichtet Da vom Nebengeb ude aus das Internet ber das VPN erreichbar sein soll wird hier eine Default Route ber das VPN eingerichtet Verbindungstyp Tunnel Netz lt gt Netz Adresse des lokalen Netzes 192 168 2 0 24 Adresse des gegen berliegenden Netzes 0 0 0 0 0 Im Hauptgeb ude wird das entsprechende Gegenst ck der Verbindung konfiguriert Verbindungstyp Tunnel Netz lt gt Netz 7 von 103 8 von 103 Die dazugeh rige Netzmaske 0 0 0 0 Adresse des gegentiberliegenden Netzes 192 168 2 0 24 Die Default Route eines mGuards f hrt normalerweise immer ber das externe Interface In diesem Fall f hrt der Weg ins Internet und somit auch die Default Route
52. Einstellungen Aktiviere SSH Fernzugang Ja Nein Wollen Sie SSH Fernzugriff erm glichen setzen Sie diesen Schalter auf Ja L Achten Sie in diesem Fall darauf die auf dieser Seite befindlichen Fire wall Regeln so zu setzen dass von au en auf den mGuard zugegriffen werden kann Port f r SSH Verbindungen nur Fernzugang Standard 22 Sie k nnen einen anderen Port festlegen Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist f r den Fernzugang die Port Nummer 22 festgelegt dann muss bei der entfernten Gegenstelle im SSH Client z B PuTTY oder OpenSSH diese Port Nummer evtl nicht angegeben werden Bei einer anderen Port Nummer z B 22222 ist diese anzugeben z B ssh p 22222 123 456 789 21 Firewall Regeln zur Freigabe des SSH Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Da tenpakete eines SSH Fernzugriffs L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten e IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Interface extern fest vorgegeben Aktion M glichkeiten 74 von 10
53. F r den Zugang per SNMPv3 ist eine Authentifizierung mittels Login und Pa wort notwendig Die Werkseinstellungen f r die Login Parameter lauten Login admin 75 von 103 Passwort SnmpAdmin F r die Authentifizierung wird MD5 unterst tzt f r die Verschl sselung DES Die Login Parameter f r SNMPv3 K nnen nur mittels SNMPv3 ge ndert werden Aktiviere SNMPv1 v2 Ja Nein Wollen Sie zulassen dass der mGuard per SNMPv1 v2 berwacht werden kann setzen Sie diesen Schalter auf Ja Zus tzlich m ssen Sie die nachfolgenden Login Daten angeben SNMPv1 und SNMPv 2 read write Community SNMPv1 und SNMPv2 read only Community Geben Sie in diese Felder die erforderlichen Login Daten ein Port fiir SNMP Verbindungen giiltig fiir externes Interface Standard 161 Firewall Regeln zur Freigabe des SNMP Zugriffs Listet die eingerichteten Firewall Regeln auf Sie gelten fiir eingehende Da tenpakete eines SNMP Zugriffs SF Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Von IP Geben Sie hier die Adresse des Rechners oder Netzes an von dem der Fern zugang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten e Von IP e 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless Inter Domain Routing auf Seite 89 Interface extern fest vorgegeben Aktion M glichkeiten e Annehm
54. Innominate mGuard delta Benutzerhandbuch Software Release 3 1 0 Innominate o mGuard Power Status ambi eee ibe a E gt LAN SWITCH Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Tel 49 0 800 366 4666 info innominate com www innominate com Innominate Security Technologies AG Dezember 2005 Innominate und mGuard sind registrierte Handelsnamen der Innominate Security Technologies AG Die mGuard Technologie ist durch die Patent 10138865 und 10305413 erteilt durch das Deutschen Patentamt gesch tzt Weitere Patente sind angemeldet Weder das Gesamtdokument noch Teile davon d rfen ohne schriftliche Genehmigung bertragen oder kopiert werden Die Innominate AG beh lt sich das Recht vor jederzeit und ohne Benachrichtigung dieses Dokument zu ver ndern Innominate bernimmt keine Gew hrleistung f r diese Unterlagen Dies gilt ohne Einschr nkung auch f r die stillschweigende Zusicherung der Verk uflichkeit und der Eignung f r einen bestimmten Zweck Innominate bernimmt ferner keine Haftung f r Fehler im vorliegenden Handbuch sowie f r zuf llige oder Folgesch den im Zusammenhang mit der Lieferung Leistung oder Verwendung dieser Unterlagen Ohne die vorherige schriftliche Zustimmung der Innominate Security Technologies AG darf dieses Handbuch weder teilweise noch vollst ndig fotokopiert vervielf ltigt oder in eine andere Sprache bersetzt werden Innomina
55. Ka See Zertifikat sT Berlin gt Features Ge Aevuritg Tochnolngias Xo gt Support FE E S P system onsTest CA sma iladdress mhopf innomina te com WS Fingerprint 16 70 83 F0 BE E3 DB 0E D2 9p BF 80 65 39 9 7E SMAI Fingerprint 14 20 45 AB 82 52 AB 2F C5 OA EF 20 10 AC 8D AD 6D 88 02 44 notBefore Jul 2 15 27 04 2004 our notaftersJun 30 15 27 04 2014 cur PKCS 2 Dateiname p12 Neues Zertifikat Passwort E importieren Zertifikat Zeigt das aktuell importierte X 509 Zertifikat an mit dem sich der mGuard ge gen ber anderen VPN Gateways ausweist Folgende Informationen werden an gezeigt subject Der Besitzer auf den das Zertifikat ausgestellt ist 57 von 103 issuer Die Beglaubigungsstelle die das Zertifikat unter schrieben hat C Land Country ST Bundesland State L Stadt Location O Organisation OU Abteilung Organisation Unit CN Hostname allgemeiner Name Common Name MDS SHAT Fingerprint Fingerabdruck des Zertifikats um diesen z B am Telefon mit einem anderen zu vergleichen Windows zeigt an dieser Stelle den Fingerabdruck im SHA1 Format an notBefore notAfter G ltigkeitszeitraum des Zertifikats Wird vom mGuard mangels einer eingebauten Uhr ignoriert Die importierte Zertifikatsdatei Dateinamen Erweiterung p12 oder pfx ent h lt neben den oben angegebenen Informationen die beiden Schl ssel den f fentlichen zum Verschl sseln den privaten zum Entschl
56. Konfigurationsrechner auf den mGuard laden Voraussetzung Sie haben nach dem oben beschriebenem Verfahren ein Konfi gurations Profil als Datei auf dem Konfigurations Rechners gespeichert 1 In Feld Name des neuen Profils den Namen eintragen den das einzuladende Konfigurations Profil erhalten soll 2 Die Schaltfl che Durchsuchen klicken und dann die Datei selektieren 3 Die Schaltfl che Hochladen einer Konfiguration als Profil klicken Folge Die hochgeladene Konfiguration erscheint in der Liste der Konfigura tions Profile Soll das hochgeladene Konfigurations Profil aktiviert werden klicken Sie neben dem Namen auf Wiederherstellen BO Wenn das Wiederherstellen einen Wechsel zwischen dem Stealth Modus und einem der anderen Netzwerk Modi beinhaltet wird der mGuard neu gestartet System gt Konfigu ration holen 86 von 103 Security Appliance Innominate mGuard System gt Konfiguration Holen P Netzwerk gt Firewall R Seneauie gt Antivirus I Server rane Neustart Logs Server Zertifikat O Durchsuchen imponeren Download Test Download testen Der mGuard kann sich in einstellbaren Zeitintervallen eine neue Konfiguration von einem HTTPS Server holen Wenn sich die neue Konfiguration von der ak tuellen Konfiguration unterscheidet wird diese automatisch aktiviert Schedule Intervall in welchem nach neuen Konfigurationen auf dem Server gesucht werden soll Server IP oder Hostname des Servers welcher
57. PN Verbindung neu starten Klicken Sie auf Neustart um die bestehende Verbindung zu beenden und erneut aufzubauen 49 von 103 Security Appliance Innominate mGuard P Netzwerk gt Firewall P Antivirus VPN Ein beliebiger Name f r die VPN Verbindung Aktiv erbindungen Wacan zuta Adresse des VPN Gateways der Gegenstelle L2TP Eine IP Adresse ein Hostname oder any IPsec Status are Stews Authentisierungsverfahren X 509 Zertifikat x Konfigurieren VPN Logs P Dienste Verbindungstyp ort Host lt gt Host gt Zugang P Eigenschaften Verbindungsinitiierung gt Support Wird im Stealth Modus ignoriert P System Weitere IKE Einstellungen Tunnel Einstellungen Die Adresse des lokalen Netzes 92 168 1 182 Die Adresse des gegen berliegenden Netzes 92 168 254 1132 Die virtuelle IP f r den Client im Stealthmodus 92 168 1 1 Firewall eingehend ungesicherter Port x rrceic von vonre ne uchron akien Kommen _T tes 8 ate boo on ken ooo fry Annehmen iefaut rule please a Nein gt Log Eintr ge f r unbekannte Verbindungsversuche Nein Firewall ausgehend gesicherter Port EECHER REENEN M fae xjl pooo ken pooon fry annehmen xj ett rule please ac Nein Log Eintrage f r unbekannte Verbindungsversuche Ven Alle Verbindungen or Hinweis In Abh ngigkeit von der Hardware und der Softwareversion werden einige Algorithmen durch Hardware oder Software realisiert so dass sic
58. SMTP und POP3 Die Konfiguration des Ger tes erfolgt einfach mit einem Web Browser Netzwerk Features e Firewall Features e Anti Virus Features e VPN Features e Weitere Features e Stealth Auto Static Multi Router Static DHCP Client PPPoE fiir DSL und PPTP f r DSL VLAN DHCP Server Relay auf den internen und externen Netzwerkschnittstellen DNS Cache auf den internen Netzwerkschnittstelle Administration tiber HTTPS und SSH Stateful Packet Inspection Anti Spoofing IP Filter L2 Filter nur im Stealth Mode NAT mit FTP IRC und PPTP Unterst tzung nur in den Router Modi 1 1 NAT nur in den Router Modi Port Forwarding nur in den Router Modi Firewalldurchsatz maximal 99MBit s Kaspersky Virenschutz Unterst tzte Protokolle HTTP FTP POP3 und SMTP senden Protokoll IPsec Tunnel und Transport Mode IPsec DES Verschl sselung mit 56 Bit IPsec 3DES Verschl sselung mit 168 Bit IPsec AES Verschl sselung mit 128 192 und 256 Bit Paket Authentifizierung MD5 SHA 1 Internet Key Exchange IKE mit Main und Quick Mode Authentisierung Pre Shared Key PSK X 509v3 Zertifikate DynDNS NAT T Dead Peer Detection DPD Hardware Verschl sselung 250 VPN Tunnel VPN Durchsatz max 35MBit s bei 266MHz und 70MBit s bei 533MHz MAU Management Remote Logging Router Firewall Redundanz IPsec L2TP Server LLDP Administration using SNMP v1 v3 und Innominate Security Configuration Manager ISCM Di
59. Sie k nnen bei Bedarf eigene Server angeben BO Die Liste der Server wird priorisiert von oben nach unten abgearbeitet bis ein verf gbarer Server gefunden wurde L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Der Update der Virensignaturdateien kann entweder per FTP oder HTTP er folgen Server Adresse FODN oder IP Adresse des Servers inklusive des vollen Pfadnamens des Ver zeichnisses in der sich die Signaturdateien befinden Login Login f r den Server Beim Update mittels HTTP Protokoll ist eine Angabe des Logins u U nicht erforderlich Passwort Passwort f r den Login Beim Update mittels HTTP Protokoll ist eine Anga be des Logins u U nicht erforderlich Proxy Einstellungen f r AVP Datenbank Updates Wenn der mGuard hinter einer Firewall ist die HTTP oder FTP Verbindungen nur ber einen Proxy Server erlaubt k nnen in den folgenden Zeilen die entspre chenden Proxies angegeben werden Damit der Proxy Server verwendet wird m ssen die Felder HTTP bzw FTP Proxy Server und Port ausgef llt sein Damit eine Authentifizierung beim Proxy Server erfolgt m ssen die Fel der Login und Passwort ausgef llt sein HTTP FTP Proxy Server Die IP oder der Hostname des Proxyservers Port Der zu der IP oder dem Hostnamen geh rende Port des Proxyservers Login Der Login falls der Proxy
60. Taste loslassen Falls Sie die Rescue Taste nicht loslassen wird der mGuard neu gestartet Folge Der mGuard startet das Recovery System Er sucht ber die Schnittstelle f r den lokal angeschlossenen Rechner bzw das lokal angeschlossene Netzwerks nach dem DHCP Server um von diesem eine IP Adresse zu beziehen Statusanzeige Die LED blinkt Vom TFTP Server wird die Datei install p7s geladen Diese enth lt die elek tronisch unterschriebene Kontrollprozedur f r den Installationsvorgang Nur von Innominate unterschriebene Dateien werden geladen Die Kontrollprozedur l scht nun den Flashspeicher und bereitet die Neuin stallation der Software vor Statusanzeige Die bilden ein Lauflicht Vom TFTP Server die Software jffs2 img p7s heruntergeladen und in den Flashspeicher geschrieben Diese Datei enth lt das eigentliche mGuard Be triebssystem und ist elektronisch signiert Nur von Innominate signierte Da teien werden akzeptiert Dieser Vorgang dauert ca 3 bis 5 Minuten Statusanzeige Die mittlere LED Heartbeart leuchtet kontinuierlich Die neue Software wird entpackt und konfiguriert Das dauert ca 5 Minuten Sobald die Prozedur beendet ist blinken durchgehend Starten Sie den mGuard neu Dr cken Sie dazu kurz die Rescue Taste ODER Folge Der mGuard befindet sich im Auslieferungs Zustand Konfigurieren Sie ihn neu siehe Lokale Konfigurationsverbindung herstellen auf Seite 12 Zum Flashen der Firmware m
61. Technologies AG D EEE EEE E EE EES Security Appliance Einstellungen Innominate mGuard Firewall gt Erweiterte Einstellungen Netzwerk ice Alle Modi A jehend D ue Ai d z Pe una Maximale Zahl gleichzeitiger Verbindungen Connection Tracking NAT Maximale Zahl neuer ausgehender TCP Verbindungen SYN pro Sekunde 1 1 NAT Maximale Zahl neuer eingehender TCP Verbindungen SYN pro Sekunde Maximale Zahl ausgehender Ping Pakete ICMP Echo Request pro Sekunde Maximale Zahl eingehender Ping Pakete ICMP Echo Request pro Sekunde P Zugang Aktiviere FTP NAT Connection Tracking Unterst tzung a e P Eigenschaften gt Support Aktiviere IRC NAT Connection Tracking Unterst tzung Kam Aktiviere PPTP NAT Connection Tracking Unterst tzung Aktiviere TCP UDPACMP Konsistenzpr fungen Nur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests und ARP Replies pro Sekunde Jeweils maximale Zahl eingehender ARP Requests und ARP Replies pro Sekunde Erlaube Weiterleiung von GVRP Paketen Nein Erlaube Weiterleitung von STP Paketen Erlaube Weiterleitung von DHCP Paketen Router Modi ICMP von extern zum mGuard Verwerfen xi Bitte beachten Sie Bei aktiviertem SNMP Zugriff werden automatisch eingehende ICMP Pakete angenommmen Werkseinstellungen d Die Einstellungen betreffen das grundlegende Verhalten der Firewall Alle Modi Maximale Zahl Diese 5 Eintr ge legen Obergrenzen fest Diese sind so gew hlt dass sie bei normalem pr
62. Umgekehrt besteht die M glichkeit eine so er zeugte Konfigurationsdatei in den mGuard zu laden und zu aktivieren Zus tzlich haben Sie die M glichkeit jederzeit die Werkseinstellung wieder in Kraft zu setzen System gt Konfigurations Profile DO Beim Abspeichern eines Konfigurations Profils werden Passw rter nicht mit gespeichert Aktuelle Konfiguration als Konfigurations Profil im mGuard speichern 1 In Feld Name des neuen Profils den gew nschten Namen eintragen 2 Die Schaltfl che Speichere aktuelle Konfiguration als Profil klicken 85 von 103 Ein im mGuard gespeichertes Konfigurations Profil anzeigen aktivieren l schen Konfigurations Profil anzeigen Den Namen des Konfigurations Profils anklicken Konfigurations Profil aktivieren Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Wiederherstellen klicken Konfigurations Profil l schen Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che L schen klicken Das Profil Werkseinstellung kann nicht ge l scht werden Konfigurations Profil als Datei auf dem Konfigurationsrechner speichern 1 Rechts neben dem Namen des betreffenden Konfigurations Profils die Schaltfl che Download klicken 2 Legen Sie im angezeigten Dialogfeld den Dateinamen und Ordner fest unter bzw in dem das Konfigurations Profil als Datei gespeichert wird Sie k nnen die Datei beliebig benennen Konfigurations Profil vom
63. agen weitergeleitet werden sollen 65 von 103 Fiige Relay Agent Information an Beim Weiterleiten k nnen zus tzliche Informationen nach RFC 3046 f r die DHCP Server angef gt werden an welche weitergeleitet wird BO IP Konfiguration bei Windows Clients Wenn Sie den DHCP Server des mGuard starten k nnen Sie die lokal ange schlossenen Clients so konfigurieren dass sie ihre IP Adressen automatisch beziehen Dazu klicken Sie unter Windows XP Start Systemsteuerung Netzwerk verbindungen Symbol des LAN Adapters mit der rechten Maustaste klik ken und im Kontextmen Eigenschaften klicken Im Dialogfeld Eigenschatten von LAN Verbindung lokales Netz auf der Registerkarte Allge mein unter Diese Verbindung verwendet folgende Elemente den Eintrag Internetprotokoll TCP IP markieren und dann die Schaltfl che Eigen schaften klicken Im Dialogfeld Eigenschaften von Internetprotokoll TCP IP die gebotenen Angaben bzw Einstellungen machen Dienste gt LLDP En If Gurity Technologies AG Security Appliance Innominate mGuard Dienste gt LLDP Firewal il Mod Ei haltet e gt Antivirus Ge e ei pyn InternLAN Interf Dienste fern Interface DynDNS berwachung DynDNS Registrierung ExternWAN Interface DHCP Intern won z MAC OC BE 01 00 00 01 10 1 222 40 Unprotected port EAGLE MAC 00 OC BE 02 20 56 10 1 0 254 LAN port mguard devel SNI gt MAC 00 OC BE 01 05 FD keine WAN port mwilp PEigenschafte P Supp
64. aktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Aktiviere FTP NAT Connection Tracking Unterst tzung Wird beim FTP Protokoll eine ausgehende Verbindung hergestellt um Daten abzurufen gibt es zwei Varianten der Daten bertragung Beim aktiven FTP stellt der angerufene Server im Gegenzug eine zus tzliche Verbindung zum Anrufer her um auf dieser Verbindung die Daten zu bertragen Beim pas siven FTP baut der Client diese zus tzliche Verbindung zum Server zur Da ten bertragung auf Damit die zus tzlichen Verbindungen von der Firewall durchgelassen werden muss Aktiviere FTP NAT Connection Tracking Unterst tzung auf Ja stehen Standard 31 von 103 Aktiviere IRC NAT Connection Tracking Unterst tzung hnlich wie bei FTP Beim Chatten im Internet per IRC m ssen nach aktivem Verbindungsaufbau auch eingehende Verbindungen zugelassen werden soll das Chatten reibungslos funktionieren Damit diese von der Firewall durchge lassen werden muss Aktiviere IRC NAT Connection Tracking Unter st tzung auf Ja stehen Standard Aktiviere PPTP NAT Connection Tracking Unterst tzung Muss Ja gesetzt werden wenn von lokalen Rechnern ohne Zuhilfenahme des mGuard VPN Verbindungen mi
65. alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Von Port Absenderport f r den Weiterleitungen durchgef hrt werden sollen any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll Eintreffend auf IP Geben Sie hier die externe IP Adresse oder eine der externen IP Adressen des mGuard an ODER Falls ein dynamischer Wechsel der externen IP Adresse des mGUard erfolgt so dass diese nicht angebbar ist verwenden Sie folgende Variable extern Die Angabe von extern bezieht sich bei der Verwendung von mehreren statischen IP Adressen f r das externe Interface immer auf die erste IP Adres se der Liste Eintreffend auf Port Original Ziel Port der in eingehenden Datenpaketen angegeben ist Weiterleiten an IP Interne IP Adresse an die die Datenpakete weitergeleitet werden sollen und auf die die Original Zieladressen umgeschrieben werden Weiterleiten an Port Port an den die Datenpakete weitergeleitet werden sollen und auf den die Ori ginal Port Angaben umgeschrieben werden Kommentar Ein frei w hlbarer Kommentar f r diese Regel Bei den Angaben haben Sie folgende M glichkeiten
66. aps und DHCP neue MAC Addresse Trap Antivirus SNMP Traps e Aktiviere Traps bei erfolgreicher Aktualisierung von Virensuchmustern e Aktiviere Traps bei Update oder Virusscan Problemen e Aktiviere Traps bei gefundenem Virus oder Nichtpriifung von Dateien Redundanz Traps e Aktiviere Traps bei Status nderung SNMP Trap Ziele Traps k nnen an mehrere Ziele versendet werden Ziel IP IP an welche der Trap gesendet werden soll Ziel Name Ein optionaler beschreibender Name f r das Ziel welcher keinen Einflu auf die generierten Traps hat Ziel Community Name der SNMP Community welcher der Trap zugeordnet ist 5 11 Menu Zugang Zugang gt Passworte Rootpasswort Account root HTTPS Serieller Port Modem P Eigenschaften P Support P System Nutzerpasswort Administratorpasswort Account admin ity Technologies AG Security Appliance Zugang gt Passworte a H Neues Passwort eeng Aktiviere Nutzerpasswort Der mGuard bietet 3 Stufen von Benutzerrechten Um sich auf der entsprechen den Stufe anzumelden muss der Benutzer das Passwort angeben das der jewei ligen Berechtigungsstufe zugeordnet ist Berechtigungsstufe Root Bietet vollstandige Rechte fiir alle Parameter des mGuard Hintergrund Nur diese Berechtigungsstufe erlaubt es sich per SSH so mit dem Ger t zu verbinden dass man das ganze System auf den Kopf stellen kann Dann kann man es nur noch mit Flashen der Fir
67. bekannt sein Wird ihm die Adresse in Form eines Hostnamens angegeben d h in der Form www example com dann muss das Ger t auf einem Domain Name Server DNS nachschlagen welche IP Adresse sich hinter dem Hostnamen verbirgt Wenn sich der mGuard nicht im Stealth Modus befindet k nnen Sie die lokal angeschlossenen Clients so konfigurieren dass sie den mGuard zur Aufl sung von Hostnamen in IP Adressen benutzen k nnen Siehe IP Konfiguration bei Windows Clients auf Seite 66 Hostnamen Modus Mit Hostnamen Modus und Hostname k nnen Sie dem mGuard einen Namen geben Dieser wird dann z B beim Einloggen per SSH angezeigt Eine Na mensgebung erleichtert die Administration mehrerer mGuards Nutzer definiert siehe unten Standard Der im Feld Hostname eingetragene Name wird als Name f r den mGuard gesetzt L Arbeitet der mGuard im Stealth Modus muss als Hostnamen Modus die Option Nutzer definiert gew hlt werden Provider definiert z B via DHCP Wenn der Netzwerkmodus ein externes Setzen des Hostnamens erlaubt wie z B bei DHCP dann wird der vom Provider bermittelte Name f r den mGuard gesetzt Hostname Ist unter Hostnamen Modus die Option Nutzer definiert ausgew hlt dann tra gen Sie hier den Namen ein den der mGuard erhalten soll Sonst d h wenn unter Hostnamen Modus die Option Provider definiert z B via DHCP ausgew hlt ist wird ein Eintrag in diesem Feld ignoriert Domain Suchpfad Erleichtert de
68. bewirkt ein automatisches Umschalten des Virenfilters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der FTP Server Sie k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r FTP gt lt se sewerpet Kommentar Scannen P ban og D fale ausgehenden Verbindun Scannen xj Scan eines Subnetzes Ausklammerung eines trusted FTP Servers E Serer semerpon men scannen p TT fis2 168 2 5 D Jungesichertes FTP Nicht Scannen v P RB fig2 168 2 024 pt oesichertes FTP Scannen Scan eines einzelnen untrusted FTP Servers in einem Subnetz D see seeren _Kommens seamen P E fi92 168 2 5 D esichertes FTP Scannen j L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben 43 von 103 BO Um den Anti Virus Schutz f r FTP Datenverkehr ber einen Proxy zu akti vieren f gen Sie eine neue Zeile in die Liste der Server ein und ersetzen den voreingestellten Port 21 durch den Proxy Port B gt Der Regelsatz wird wie bei
69. chl sselt die CA mit ihrem privaten Schl ssel und f gt ihn dem Zertifikat hinzu Durch die Verschl sselung mit dem privaten Schl ssel der CA ist die Echtheit belegt d h die verschl sselte HASH Zeichenfolge ist die digitale Unterschrift der CA ihre Signatur Sollten die Daten des Zertifikats missbr uchlich ge ndert werden stimmt dieser HASH Wert nicht mehr das Zertifikat ist dann wertlos Der HASH Wert wird auch als Fingerabdruck bezeichnet Da er mit dem priva ten Schl ssel der CA verschl sselt ist kann jeder der den zugeh rigen ffentli chen Schl ssel besitzt die Bitfolge entschl sseln und damit die Echtheit dieses Fingerabdrucks bzw dieser Unterschrift berpr fen Durch die Heranziehung von Beglaubigungsstellen ist es m glich dass nicht je der Schl sseleigent mer den anderen kennen muss sondern nur die benutzte Be glaubigungsstelle Die zus tzlichen Informationen zu dem Schl ssel vereinfachen zudem die Administrierbarkeit des Schl ssels X 509 Zertifikate kommen z B bei Email Verschl sselung mittels S MIME oder IPsec zum Einsatz Ger te die miteinander kommunizieren m ssen dieselben Regeln dazu verwen den Sie m ssen dieselbe Sprache sprechen Solche Regeln und Standards be zeichnet man als Protokoll bzw bertragungsprotokoll Oft benutze Protokolle sind z B IP TCP PPP HTTP oder SMTP Anbieter Firma Institution die Nutzern den Zugang zum Internet oder zu einem Online Dienst verschafft
70. den ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib DO Im Stealth Modus entspricht Abweisen aus der Aktion Verwerfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden Firewall gt Ausgehend 26 von 103 Security Appliance Firewall gt Ausgehend PET eooo vor vonon um uhren asien kommen f too el aie xj pooo fny o 0 00 fany Annehmen x fiefaut rule Nein Log Eintrage f r unbekannte Verbindungsversuche Diese Regeln geben an welcher Verkehr von innen nach au en passieren darf Bitte beachten Sie Port Angaben werden nur f r TCP und UDP ausgewertet gt Support bsvstem Listet die eingerichteten Firewall Regeln auf Sie gelten fiir ausgehende Daten verbindungen die von intern initiiert wurden um mit einer entfernten Gegenstel le zu kommunizieren Per Werkseinstellung ist eine Regel gesetzt die alle ausgehenden Verbindungen zul sst Ist keine Regel gesetzt sind alle ausgehenden Verbindungen verboten au er VPN L Das Einf gen Verschieben und L schen
71. die Konfigurationen bereitstellt Verzeichnis Das Verzeichnis auf dem Server in dem die Konfiguration liegt Login Login auf dem HTTPS Server Passwort Passwort auf dem HTTPS Server Server Zertifikat Das Zertifikat welches den HTTPS Server von dem die Konfiguration geholt wird beglaubigt Mit ihm soll verhindert werden dass nicht authorisierte Konfigurationen auf dem mGuard installiert werden Der Name der Konfigurationsdatei auf dem HTTPS Server ist die Seri ennummer des mGuards inklusive der Endung atv Wenn die hinterlegten Konfigurationsprofile auch den privaten VPN Schl ssel f r die VPN Verbindung oder VPN Verbindungen mit PSK enthalten Dann sollte das Passwort aus mindestens 30 zuf lligen Gro und Klein buchstaben sowie Ziffern bestehen um unerlaubten Zugriff auf diese zu verhindern Der HTTPS Server sollte weiterhin ber den angegebenen Login nebst Passwort nur Zugriff auf die Konfiguration dieses einen mGuard erm g lichen Ansonsten k nnten sich die Nutzer anderer mGuards bzw eines komprimitierten mGuards Zugriff auf diese anderen Konfigurationen verschaffen L Selbstunterschriebene Zertifikate self signed sollten nicht die key usage Erweiterung verwenden Download Test F hrt einen Test der angegebenen Parameter durch ohne diese zu speichern oder das gefunden Konfigurationsprofil zu aktivieren Das Ergebnis des Tests erscheint anschlie end auf der rechten Seite DO Sie sol
72. dus passieren Erlaube Weiterleitung von DHCP Paketen Erlaube dem Client ber DHCP eine IP Adresse unabh ngig von den ausge henden Firewallregeln zu beziehen da diese erst aktiv werden nachdem der mGuard die IP des Clients gelernt hat Die Voreinstellung f r diesen Schalter ist Ja Router Modi ICMP von extern zum mGuard Mit dieser Option k nnen Sie das Verhalten beim Empfang von ICMP Nach richten beeinflussen die aus dem externen Netz an den mGuard gesendet wer den Sie haben folgende M glichkeiten Verwerfen Alle ICMP Nachrichten zum mGuard werden verworfen Annehmen von Ping Nur Ping Nachrichten ICMP Typ 8 zum mGuard werden akzeptiert 32 von 103 Alle ICMPs annehmen Alle Typen von ICMP Nachrichten zum mGuard werden akzeptiert Firewall gt Logs Ist bei Festlegung von Firewall Regeln das Protokollieren von Ereignissen fest gelegt Log Ja dann k nnen Sie hier das Log aller protokollierten Ereignisse Nur Anzeige einsehen Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren 33 von 103 5 8 Menu Antivirus Kaspersky Engine Unterstutzte Kom pressionsformate Voraussetzungen zur Nutzung Ablauf der Antivi rus Lizenz Dateigr en begrenzung 34 von 103 Der Antivirus Funktion des Innominate mGuard sch tzt vor Viren die ber die Pro
73. e folgende Tabelle gibt eine bersicht ber welche Eigenschaften die jeweili 4 von 103 gen mGuard Modelle und Lizenzen verf gen Lizenz X professional enterprise FW enterprise enterprise XL delta industrial blade Model Hardware VPN Tunnel IPsec L2TP Server MAU Management Remote Logging SNMP LLDP Redundanz Eigenschaften Support Bei Problemen mit Ihrem mGuard wenden Sie sich bitte an Ihren Handler Zus tzliche Informationen zum Ger t sowie Release Notes und Software Up dates finden Sie unter folgender Internet Adresse http www innominate de 5 von 103 2 Typische Anwendungsszenarien Stealthmodus Netzwerkrouter DMZ 6 von 103 Nachfolgend werden h ufige und typische Anwendungsszenarien skizziert P Firewall AntiVirus VPN Im Stealth Modus Werkseinstellung kann der mGuard zwischen einen einzel nen Rechner und das tibrige Netzwerk gesetzt werden Die Einstellungen f r Firewall AntiVirus und VPN k nnen mit einem Web browser unter der URL https 1 1 1 1 vorgenommen werden Auf dem Rechner selbst m ssen keine Konfigurations nderungen durchgef hrt werden Intranet DSL Modem Internet oder Router H 7 C A Seed Firewall HQ Der mGuard kann fiir mehrere Rechner als Netzwerkrouter die Internetanbind ung bereitstellen und das Firmennetz dabei mi
74. e interne IPs haben im Stealth Modus keine Wirkung Im Stealth Modus lautet die IP Adresse immer 1 1 1 1 18 von 103 Zus tzliche interne Routen Nicht im Stealth Modus Sind am lokal angeschlossen Netz weitere Subnetze angeschlossen Konnen Sie zus tzliche Routen definieren Netzwerk Das Netzwerk in CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Gateway Das Gateway ber welches dieses Netzwerk erreicht werden kann Siehe auch Netzwerk Beispielskizze auf Seite 89Mit einer internen Route nach 0 0 0 0 0 k nnen Sie eine Default Route ber das interne Interface definieren Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben B Sind zus tzliche interne Routen festgelegt haben diese im Stealth Modus keine Wirkung Netzwerk gt Stealth Security Appliance Innominate mGuard Netzwerk gt Stealth Netzwerk Basis eco Stealth Konfiguration automatisch sl Router PPPoE Management IP Adresse PPTP Geben Sie hier eine weitere IP an ber welche der mGuard administriert werden kann Wenn Sie Stealth Konfiguration auf mehrere Clients gestellt haben dann ist MAU Konfiguration der Fernzugang nur ber diese IP m glich Die IP Adresse 0 0 0 0 deaktiviert diese Funktion Erweiterte Einstellungen gt Firewall VPN ch EE gt Zugang P Eigenschaften Verwende Management VLAN Nein gt gt Support P
75. einen Hub ist folgendes zu beachten Bei deaktivierter Automatischer Konfiguration wird auch die Auto MDIX Funktion deaktiviert d h der Port des mGuard mu entweder an den Uplink Port des Hub oder mittels eines Cross Link Kabels mit dem Hub verbunden werden Manuelle Konfiguration Die gew nschte Betriebsart wenn Automatische Konfiguration auf Nein ge stellt ist Aktuelle Betriebsart Die aktuelle Betriebsart des Netzwerkanschlusses Netzwerk gt Erweiterte Einstel lungen Alle Modi rity Technologies AG Security Appliance Innominate mGuard Netzwerk gt Erweiterte Einstellungen Netzwerk Basis S Stealth Alle Modi Router me me KR E Nur Router Modi Erweiterte Ei P Firewall gt Antivirus MTU des internen Interface fiir VLAN ver pares SS el MTU des externen Interface fiir VLAN 4 Eigenschaften Support Baden Nur Stealth Modus Me nenn EE e ARP Timeout Lebensdauer der Eintr ge in der ARP Tabelle 23 von 103 Nur Router Modi MTU des Interface Die Maximum Transfer Unit MTU beschreibt die maximale IP Paketl nge die genutzt werden darf Nur Stealth Modus Netzwerk gt Status Nur Anzeige 24 von 103 MTU des Management Interface Die Maximum Transfer Unit MTU beschreibt die maximale IP Paketl nge die genutzt werden darf MTU des Management Interfaces f r VLAN Da die VLAN Pakete 4 Byte l nger als Pakete ohne VLAN sind haben be stimmte Treiber Probleme mit der Verarbeitung der gr
76. eispielskizze Die nachfolgende Skizze zeigt wie in einem lokalen Netzwerk mit Subnetzen die CIDR 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 HA MG DO 09 CH 89 von 103 IP Adressen verteilt sein k nnten welche Netzwerk Adressen daraus resultieren und wie die Angabe einer zus tzlichen internen Route lauten k nnte Internet Adresse von extern z B 123 456 789 21 vom Internet Service Provider zugewiesen mGuard im Netzwerk Modus Router Interne Adresse des mGuard 192 168 11 1 Netz A Netzadresse 192 168 11 0 24 N Maske 255 255 255 0 RI on cn Gei Ge Ga Ge IP extern 192 168 11 2 gt AD 4 IP intern 192 168 15 254 N Maske 255 255 255 0 Netz B Netzadresse 192 168 15 0 24 N Maske 255 255 255 0 Router IP extern 192 168 15 1 gt IP intern 192 168 27 254 e N Maske 255 255 255 0 Netz C Netzadresse 192 168 27 0 24 N Maske 255 255 255 0 a ei ei Le V zus tzliche interne Routen Netz A Rechner Al A2 A3 A4 AS IP Adresse 192 168 11 3 192 168 11 4 192 168 11 5 192 168 11 6 192 168 11 7 Netzwerk Maske 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Netz B Zus tzliche interne Rechner Bl B2 B3 B4 Ronten IP Adresse 192 168 15 2 192 168 15 3 192 168 15 4 192 168 15 5 Netzwerk 192 168 15 0 24 Netzwerk Maske 255 255 255
77. eitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den voran stehenden Regeln erfasst werden Firewall gt Port Weiterleitung mGuard WR eg Firewall gt Port Weiterleitung Roch gt x CIC geg nengen ee eg Port wererienenen _Twenerienen onnon Kommentar too en Pe br Feten fre OR ee E Seat Welerisking wer rr Listet die festgelegten Regeln zur Port Weiterleitung auf Bei Port Weiterleitung geschieht Folgendes Der Header eingehender Datenpa kete aus dem externen Netz die an die externe IP Adresse oder eine der exter nen IP Adressen des mGuard sowie an einen bestimmten Port des mGuard gerichtet sind werden so umgeschrieben dass sie ins interne Netz an einen be stimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden D h die IP Adresse und Port Nummer im Header eingehender Daten pakete werden ge ndert Dieses Verfahren wird auch Destination NAT genannt BO Die hier eingestellten Regeln haben Vorrang gegen ber den Einstellungen unter Firewall gt Eingehend 27 von 103 L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Protokoll Geben Sie hier das Protokoll an auf den sich die Regel beziehen soll Von IP Absenderadresse f r die Weiterleitungen durchgef hrt werden sollen 0 0 0 0 0 bedeutet
78. en Bitte beachten Sie dass die Gr e des Anhangs je nach Kodierung u U ein Vielfaches der urspr nglichen Datei sein Kann Bei Virusdetektion Benachrichtigung per E Mail Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine E Mail benachrichtigt Fehlermeldung an den E Mail Client Erkennt der Virenfilter einen Virus dann wird der Empf nger durch eine Feh lermeldung an den E Mail Client benachrichtigt L Ist f r die E Mail Client Software die Option Gelesene E Mails auf dem Server l schen aktiviert so wird bei der Einstellung Benachrich tigung per E Mail die infizierte Mail auf dem Server gel scht da der E Mail Client davon ausgeht da die E Mail erfolgreich bertragen wurde Ist dies nicht gew nscht wenn z B die infizierte E Mail auf anderem Weg heruntergeladen werden soll sollte ausschlie lich die Option Fehlermeldung an den E Mail Client genutzt werden bei berschreiten der Gr ssenbegrenzung E Mail ungescannt durchlassen Diese Option bewirkt ein automatisches Umschalten des Virenfilters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird In diesem Fall findet keine berpr fung auf Viren statt E Mail blockieren Diese Option bewirkt die Ausgabe eines Fehlercodes an den E Mail Client und das Blockieren der E Mail Liste der POP3 Server Sie k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP expli
79. en e Abweisen e Verwerfen Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Im Stealth Modus ist Abweisen als Aktion nicht m glich Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werkseitige Voreinstellung 76 von 103 Zugang gt Serieller Port Modem SEN Technologies AG E z S Security Appliance ee male Zugang gt Serieller Port Modem Netzwerk P Firewall gt Antivirus Serielle Verbindung Modem PPP Ku gt Dienste Baudrate FEA e Zugang Passworte MODEM PPP Sprache HTTPS Hardware handshake RTSICTS SSH SNMP 3 Serieiler Bortiedeng b Eigenschaften Tee Sen Support P System Entfernte IP 92 168 2 2 PPP Einwahloptionen PPP Login name PPP Passwort Wall ide en EN ug Firewall eingehend PPP Interface Log Eintr ge f r unbekannte Verbindungsversuche Nein Firewall ausgehend gesicherter Port PE mac vone
80. en untersucht Temporary Virus Scanner Failure Ein tempor rer Fehler trat bei dem Versuch auf eine Datei zu scannen Eine Wie derholung der bertragung zu einem sp teren Zeitpunkt oder ein Update der Vi rensignaturdatei kann evtl das Problem beheben M gliche Fehlerursachen e Die Scan Engine ist nicht in der Lage die Datei zu bearbeiten 47 von 103 e Die Speicherkapazit t des Innominate mGuard reicht nicht zur Dekompres sion der Datei aus e Interner Fehler der Scan Engine Exceptional Virus Scanner Failure Ein Kommunikationproblem mit der Kaspersky Scan Engine trat auf Genauere Angaben zum Problem finden Sie im Antivirus Log M gliche Fehlerursachen e Fehlgeschlagenes Signatur Update durch fehlerhafte Angabe des Update Servers Men punkt Antivirus gt Database Update e Ung ltige oder veraltete Lizenz f r den Virenfilter e Besch digtes oder fehlerhaftes Update der Virensignaturdatei Update running Der Virenfilter verf gt ber keine Virensignaturen der Download der Virensi gnaturen wurde bereits gestartet Sie k nnen den Fortschritt des Downloads im Men punkt Antivirus gt Update Logs verfolgen Die Innominate AG beh lt sich vor nach Ablauf Ihrer Antiviren Lizenz im Zuge eines Software Updates die Virensignaturen zu l schen wenn aus Gr nden der Speicherkapazit t die Notwendigkeit dazu besteht In diesem Fall erhalten Sie ebenfalls die Fehlermeldung Update running beim Versuch der Benutzung de
81. entinel Client oder neuere Microsoft Windows Versionen oder Service Packs Innerhalb der IPsec Transport Verbindung schafft das L2TP PPP Protokoll einen Tunnel Dem extern angeschlossenen IPsec L2TP Rechner wird seine IP Adresse vom mGuard dynamisch zugewiesen Aktivieren Sie dazu auch den L2TP Server des mGuards Bei Verwendung eines Microsoft Windows Clients setzen Sie Perfect Forward Secrecy PFS auf Nein siehe unten Sobald unter Windows die IPsec L2TP Verbindung gestartet wird erscheint ein Dialogfeld das nach Benutzername und Login fragt Sie k nnen dort beliebige Eintr ge machen denn die Authentifizierung erfolgt bereits ber die X 509 Zertifikate so dass der mGuard diese Ein gaben ignoriert Verbindungsinitiierung Es gibt 2 M glichkeiten e Starte die Verbindung zur Gegenstelle e Warte auf Gegenstelle Starte die Verbindung zur Gegenstelle In diesem Fall initiiert der lokale mGuard die Verbindung zur Gegenstelle Im Feld Adresse des VPN Gateways der Gegenstelle s 0 muss die feste IP Adresse der Gegenstelle oder deren Domain Namen eingetragen sein Warte auf Gegenstelle In diesem Fall ist der lokale mGuard bereit die Verbindung anzunehmen die eine entfernte Gegenstelle aktiv zum lokalen mGuard initiiert und aufbaut Wenn Sie unter Adresse des VPN Gateways der Gegenstelle any ein getragen haben m ssen Sie Warte auf Gegenstelle ausw hlen Arbeitet der mGuard im Stealth Modus ist diese Einste
82. er Protokoll POP3 Post Office Protokoll Version 3 DNS Domain Name Service ICMP baut auf IP auf und enth lt Kontrollnachrichten SMTP ist ein auf TCP basierendes E Mail Protokoll IKE ist ein auf UDP basierendes IPsec Protokoll ESP ist ein auf IP basierendes IPsec Protokoll Auf einem Windows PC bernimmt die WINSOCK DLL oder WSOCK32 DLL die Abwicklung der beiden Protokolle gt Datagramm ber ein VLAN Virtual Local Area Network kann man ein physikalisches Netzwerk logisch in getrennte nebeneinander existierende Netze unterteilen Die Ger te der unterschiedlichen VLANs k nnen dabei nur Ger te in ihrem ei genen VLAN erreichen Die Zuordnung zu einem VLAN wird damit nicht mehr nur allein von der Topologie des Netzes bestimmt sondern auch durch die kon figurierte VLAN ID Die VLAN Einstellung kann als optionale Einstellung zu jeder IP vorgenommen werden Ein VLAN wird dabei durch seine VLAN ID 1 4094 identifiziert Alle Ger te mit der selben VLAN ID geh ren dem gleichen VLAN an und k nnen miteinander kommunizieren Das Ethernet Paket wird f r VLAN nach IEEE 802 1Q um 4 Byte erweitert da von stehen 12 Bit zur Aufnahme der VLAN ID zur Verf gung Die VLAN ID 0 und 4095 sind reserviert und nicht zur Identifikation eines VLANs nutzbar Ein Virtuelles Privates Netzwerk VPN schlie t mehrere voneinander getrennte private Netzwerke Teilnetze ber ein ffentliches Netz z B das Internet zu einem
83. er Site austauschen k nnen von Da das Ger t nur ber ver iv anderen weder angesehen noch ver ndert werden Das Sicherheitszertifikat der Site ist jedoch fehlerhaft schliisselte Zu g n ge admi nistrierbar ist wird es mit D Das Sicherheitszertifikat wurde von einer Firma ausgestellt S erb st d S die Sie nicht als vertrauenswiirdig eingestuft haben einem selbstunterzeichne Untersuchen Sie das Zertifikat um festzustellen ob Sie der e ausstellenden Institution vertrauen m chten ten Zertifikat ausgeliefert Das Datum des Sicherheitszertifikates ist g ltig Der auf dem Sicherheitszertifikat angegebene Name stimmt nicht mit dem Namen der Site berein Soll der Yorgang fortgesetzt werden Ja A L nin Zertifikat anzeigen Quittieren Sie den entsprechenden Sicherheitshinweis mit Ja Folge Nach Abfrage des Benutzernamens Login und Passwortes wird die Administra tor Website des mGuard angezeigt Werksseitig ist voreingestellt Login admin Passwort mGuard BO Gro und Kleinschreibung beachten Zur Konfiguration gehen Sie wie folgt vor 1 ber das Men zur linken die Seite mit den gew nschten Einstellm glich keiten aufrufen siehe ab Seite 16 2 Auf der betreffenden Seite die gew nschten Eintr ge machen 3 Mit OK best tigen so dass die Einstellungen vom Ger t bernommen wer den Sie erhalten vom System eine best tigende R ckmeldung Sollte bei erneuter Anzeige einer Seite diese nich
84. ernen Netzwerk ange gebenen Hosts zu erreichen Sind auch diese nicht erreichbar deaktiviert sich der Master Zu berpr fende Hosts im externen Netzwerk Zu tiberpriifende Hosts im externen Netzwerk Diese miissen ICMP Echo Re quests beantworten k nnen Zu berpr fende Hosts im internen Netzwerk Zu berpr fende Hosts im internen Netzwerk Diese m ssen ICMP Echo Re quests beantworten k nnen Dienste gt Remote inate Logging rity Technologies AG Innominate mGuard Dienste gt Remote Logging Ger Aktiviere remote UDP Logging gt AN Ge Log Server IP Adresse TONS Log Server Port normalerweise 514 b Ka P Eigenschaften gt Support P System Alle Log Eintr ge finden standardm ig im Arbeitsspeicher des mGuard statt Ist der maximale Speicherplatz f r diese Protokollierungen ersch pft werden au tomatisch die ltesten Log Eintr ge durch neue berschrieben Zudem werden bei Ausschalten des mGuard alle Log Eintr ge gel scht Um das zu verhindern ist es m glich die Log Eintr ge auf einen externen Rech ner zu bertragen Das liegt auch dann nahe sollte eine zentrale Verwaltung der Protokollierungen erfolgen Aktiviere remote UDP Logging Ja Nein Sollen alle Log Eintr ge zum externen unten angegebenen Log Server ber tragen werden setzen Sie diesen Schalter auf Ja Log Server IP Adresse Geben Sie die IP Adresse des Log Servers an zu dem die Log Eintr ge per U
85. et der mGuard keine DHCP An fragen B gt Der DHCP Server Relay funktioniert auch im Stealth Modus DHCP Server Optionen 64 von 103 DHCP Lease Dauer Zeit in Sekunden f r die eine dem Client zugeteilte Netzwerkkonfiguration g ltig ist Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfiguration erneuern Ansonsten wird diese anderen Rechnern zugeteilt Dynamischen IP Adresspool aktivieren Setzen Sie diesen Schalter auf Ja wenn sie den durch DHCP Bereichsanfang bzw DHCP Bereichsende gew hlten IP Adresspool verwenden wollen Setzen Sie diesen Schalter auf Nein wenn nur statische Zuweisungen anhand der MAC Adresse vorgenommen werden sollen siehe unten Optionen Bei aktiviertem DHCP Server und aktiviertem dynamischem IP Adresspool k nnen Sie die Netzwerkparameter angeben die vom Client benutzt werden sollen DHCP Bereichsanfang Anfang und Ende des Adressbereichs aus dem der DHCP Server des mGuard den lokal angeschlossenen Clients IP Adressen zuweisen soll DHCP Bereichsende Lokale Netzmaske Legt die Netzmaske die Clients fest Voreingestellt ist 255 255 255 0 Broadcast IP Legt die Broadcast IP des Clients fest Default Gateway Legt fest welche IP Adresse beim Client als Defaultgateway benutzt wird In der Regel ist das die lokale IP Adresse des mGuard DNS Server Legt fest wo Clients ber den Domain Name Service DNS Hostnamen in IP Adressen aufl sen lassen
86. ezeichneten Log Eintr ge Gesamtlog Das Format entspricht dem unter Linux gebr uchlichen Format Es gibt spezielle Auswertungsprogramme die Ihnen die Informationen aus den protokollierten Daten in einem besser lesbaren Format pr sentieren Sie k nnen die Log Eintr ge auf einen externen Server bertragen Siehe Dien ste gt Remote Logging auf Seite 69 88 von 103 5 15 CIDR Classless InterDomain Routing IP Netzmasken und CIDR sind Notationen die mehrere IP Adressen zu einem Adressraum zusammenfassen Dabei wird ein Bereich von aufeinanander folgen den Adressen als ein Netzwerk behandelt Um dem mGuard einen Bereich von IP Adressen anzugeben z B bei der Kon figuration der Firewall kann es erforderlich sein den Adressraum in der CIDR Schreibweise anzugeben Die nachfolgende Tabelle zeigt links die IP Netzmas ke ganz rechts die entsprechende CIDR Schreibweise IP Netzmaske 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 0 0 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 254 252 248 240 224 192 128 OO OO OO OO OO OO OO OO OO OO OO OO OH OH 255 255 255 255 255 255 255 255 255 254 ER 248 240 224 192 128 OO OO OO OO OO OO OO OO 255 254 252 248
87. gemeinsamen Netzwerk zusammen Durch Verwendung kryptographi scher Protokolle wird dabei die Vertraulichkeit und Authentizit t gewahrt Ein VPN bietet somit eine Kosteng nstige Alternative gegen ber Standleitungen wenn es darum geht ein berregionales Firmennetz aufzubauen 101 von 103 8 Technische Daten Intel IXP 42x mit 266 MHz bzw 533 MHz mGuard delta enterprise CPU XL Speicher 16 MB Flash 64 MB SDRAM LAN u WAN Schnittstellen Ge IEEE 802 10 100 Mbps 4 LAN 1 WAN Seriell RS 232 Stromversorgung SV DC 3A Betriebssystem Innominate Embedded Linux Funktionsiiberwachung Watchdog und optische Anzeige Relative Luftfeuchtigkeit 5 95 nicht kondensierend Umgebungstemperatur 20 bis 70 C 102 von 103 Ce This device comply with the regulations of the following European directive 89 336 EEC Council Directive on the harmonization of the legal regulations of member states on electromagnetic compatibility amended by Directives 91 263 EEC 92 3 EEC and 93 68 EEC Notes on CE identification The EU declaration of conformity is kept available for the responsible authorities in accordance with the above mentioned EU directives at Innominate Security Technologies AG Albert Einstein Str 14 D 12489 Berlin Telephone 49 0 30 6392 3300 The product can be used in the residential sphere residential sphere business and trade sphere and small companies and in the industrial s
88. genstelle auch eine feste und bekannte IP Adresse hat k nnen Sie diese IP Adresse angeben B gt any kann nur zusammen mit dem Authentisierungsverfahren ber X 509 Zertifikate verwendet werden B gt Wenn sich die Gegenstelle hinter einem NAT Gateway befindet mu any gew hlt werden Ansonsten wird das Aushandeln weiterer Verbindungs 50 von 103 schliissel nach der ersten Kontaktaufnahme fehlschlagen Authentisierungsverfahren Es gibt 2 M glichkeiten X 509 Zertifikat Pre Shared Key X 509 Zertifikat Dieses Verfahren wird von den meisten neueren IPsec Implementierungen unterst tzt Dabei verschl sselt der mGuard die Authentifizierungs Data gramme die es zur Gegenstelle dem Tunnelende sendet mit dem ffentli chen Schl ssel Dateiname cer oder pem der Gegenstelle Diese cer oder pem Datei haben Sie vom Bediener der Gegenstelle erhalten z B per Diskette oder per E Mail Um diesen ffentlichen Schl ssel dem mGuard zur Verf gung zu stellen ge hen Sie wie folgt vor Voraussetzung Sie haben die cer oder pem Datei auf dem Rechner gespeichert 1 Konfigurieren klicken Folge Der Bildschirm VPN gt Verbindungen gt Verbindung xyz gt X 509 Zer tifikat erscheint xyz ist der jeweilige Name der Verbindung 2 Durchsuchen klicken und die Datei selektieren 3 Importieren klicken Nach dem Import wird der Inhalt des neuen Zertifikats angezeigt siehe nachfolgende Abbildung
89. h deutliche Durchsatzunterschiede ergeben k nnen Ein beliebiger Name f r die VPN Verbindung Sie k nnen die Verbindung frei benennen bzw umbenennen Aktiv Legen Sie fest ob die Verbindung aktiv Ja sein soll oder nicht Nein Adresse des VPN Gateways der Gegenstelle me Internet VPN Gatewa der Gegenstelle Die Adresse des bergangs zum privaten Netz in dem sich der entfernte Kommunikationspartner befindet Falls der mGuard aktiv die Verbindung zur entfernten Gegenstelle initiie ren und aufbauen soll oder sich im Stealth Modus befindet dann geben Sie hier die IP Adresse der Gegenstelle an Statt einer IP Adresse k nnen Sie auch einen Hostnamen d h Domain Namen im URL Format in der Form vpn example com eingeben Falls der VPN Gateway der Gegenstelle keine feste und bekannte IP Adresse hat kann ber die Inanspruchname des DynDNS Service dennoch eine feste und bekannte Adresse simuliert werden Siehe Dienste gt DynDNS Registrierung auf Seite 62 Falls der mGuard bereit sein soll die Verbindung anzunehmen die eine entfernte Gegenstelle mit beliebiger IP Adresse aktiv zum lokalen mGuard initiiert und aufbaut dann geben Sie an any Dann kann eine entfernte Gegenstelle den lokalen mGuard anrufen die ihre eigene IP Adresse vom Internet Service Provider dynamisch zuge wiesen erh lt d h eine wechselnde IP Adresse hat Nur wenn in diesem Szenario die entfernte anrufende Ge
90. h wie 192 168 x x oder die interne Netzstruktur verborgen werden soll Dieses Verfahren wird auch P Masquerading genannt DO Arbeitet der mGuard im PPPoE PPTP Modus muss NAT aktiviert werden um Zugriff auf das Internet zu erhalten Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden Bei der Verwendung von mehreren statischen IP Adressen f r das externe In terface wird immer die erste IP Adresse der Liste f r IP Masquerading ver wendet Werkseinstellung Es findet kein NAT statt L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Von IP 0 0 0 0 0 bedeutet alle Adressen d h alle internen IP Adressen werden dem NAT Verfahren unterzogen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Firewall gt 1 1 NAT ity Technologies AG Security Appliance Innominate mGuard Firewall gt 1 1 NAT P Netzwerk Eingehend A Ausgehend fiszt68 D fis2 168 20 ps Port Weiterleitung el ED 6S ANAT MAC Fitter Bitte beachten Sie Diese Regeln gelten nicht im Stealthmodus Erweiterte Einstellungen Logs gt Antivirus L P Dienste gt Zugang P Eigenschaften gt Support P System Listet die festgelegten Regeln f r 1 1 NAT Network Address Translation auf Dabei spiegelt der mGuard die Adressen des interne
91. hlossenen Rechners fiir diese Schnittstelle Default Gateway Hier wird die IP Adresse angezeigt iiber die der mGuard versucht ihm unbekannte Netze zu er reichen Im Stealth Modus oder falls die in der Konfiguration angegebene IP nicht erreichbar ist steht hier none VPN Total Used Up M glichkeiten Total Used Up Total Insgesamt eingerichtete VPN Verbindun gen Used Benutzte VPN Verbindungen Up Gegenw rtig aktive VPN Verbindungen 82 von 103 VPN Nutzeranmeldung DynDNS Anmeldung HTTPS Fernzugang SSH Fernzugang NTP Status Softwareversion Systemlaufzeit Sprache M glichkeiten N A Nicht verf gbar not available not logged in VPN gesperrt logged in VPN freigeschaltet M glichkeiten none Angabe des DynDNS Server failure trying none Kein DynDNS Server angegeben Angabe des DynDNS Server Adresse des DynDNS Servers den der mGuard zum Registrieren seiner IP benutzt failure Der mGuard versucht vergeblich eine Verbindung zum DynDNS Server herzustel len trying Der mGuard versucht gerade eine Ver bindung zum DynDNS Server herzustellen M glichkeiten no yes M glichkeiten no yes M glichkeiten synchonized not synchronized synchronized ber das Network Time Protokoll empf ngt der mGuard von einem Zeitserver die aktuelle Uhrzeit Greenwich Zeit not synchronized Der mGuard ist mit keinem Zeitserver verbunden und kann deshalb nicht die aktuel
92. iehe Abschnitt Antivirus gt Datenbank Update e Konfiguration und Aktivierung des Antiviren Schutzes siehe folgende Abschnitte f r die jeweiligen Protokolle Wenn Ihre Antivirus Lizenz abgelaufen ist wird die weitere Aktualisierung der Virensignaturen gesperrt Es erscheint im Men Antivirus Schutz Status gt Da tenbank Update Status der Text locked 45 kavupdater licence expired In diesem Fall k nnen Sie nach dem Einspielen einer neuen Lizenz die Aktualisie rung wieder freischalten indem Sie Unlock Database Update im Men Antivi rus Schutz Status anklicken Die Innominate AG beh lt sich vor nach Ablauf Ihrer Antiviren Lizenz im Zuge eines Software Updates die Virensignaturen zu l schen wenn aus Gr nden der Speicherkapazit t die Notwendigkeit dazu besteht siehe Update running auf Seite 48 Durch die begrenzte Speicherkapazit t des Innominate mGuard ergeben sich ei nige zu beachtende Unterschiede zu blichen Virenfiltern Jede zu berpr fende Datei mu komplett auf die mGuard RAM Disk kopiert werden damit sie durch den Virenfilter dekomprimiert und auf Viren untersucht werden kann Da der Innominate mGuard mehrere Verbindungen gleichzeitig berwacht um z B parallel E Mail Clients und Web Browser nutzen zu k nnen kann es zu Speicher Engp ssen kommen Um diesen Engp ssen vorzubeugen muss im Men die Maximalgr e der zu berpr fenden Dateien festgelegt wer den Mit den voreingestellten Werten f
93. ieht das Ger t nach 2 Sekunden einen Neustart und schaltet sich dabei auf den Stealth Modus Es ist dann wie der unter folgender Adresse zu erreichen https 1 1 1 1 6 3 Flashen der Firmware Ziel Die gesamte Software des mGuard soll neu ins Ger t geladen wer den DO Alle konfigurierten Einstellungen werden gel scht Der mGuard wird in den Auslieferungszustand versetzt M gliche Gr nde zum Flashen der Firmware e Das Administrator und Root Passwort sind verloren gegangen Aktion Gehen Sie wie folgt vor Sie d rfen w hrend der gesamten Flash Prozedur auf keinen Fall die 91 von 103 Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server 92 von 103 Stromversorgung des mGuard unterbrechen Das Ger t k nnte anson sten besch digt werden und nur noch durch den Hersteller reaktiviert werden Voraussetzungen Sie haben die Software des mGuard von der mGuard CD kopiert oder vom Innominate Support bezogen und auf dem Konfigurations Rechner gespei chert DHCP und TFTP Server sind auf einem gemeinsamen Rechner installiert siehe Voraussetzungen zum Flashen der Firmware DHCP und TFTP Ser ver auf Seite 92 Rescue Taste gedr ckt halten bis der Recovery Status wie folgt ein tritt Der mGuard wird neu gestartet nach ca 1 5 Sekunden nach weite ren ca 1 5 Sekunden gelangt der mGuard in den Recovery Status Sp testens 1 Sekunde nach Eintritt des Recovery Status die Rescue
94. ine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert die nicht von den vor anstehenden Regeln erfasst werden Security Appliance ity Technologies AG VPN gt Verbindungen gt Verbindung Nausicaa gt Weitere IKE Einstellungen ISAKMP SA Schliisselaustausch Authentisierungsverfahren 509 Zertifikat v Konfigurieren Verschl sselungsalgorithmus 3DES 168 v Pr fsummenalgorithmus Hash Alle Algorithmen IPsec SA Datenaustausch Verschl sselungsalgorithmus IPsec SA Data Exchange Priifsummenalgorithmus Hash Algorithmen Perfect Forward Secrecy PFS Die Gegenstelle mu den gleichen Eintrag haben und die Aktivierung ist aus Sicherheitsgr nden empfohlen SA Lebensdauer ISAKMP SA Lebensdauer Sekunden IPsec SA Lebensdauer Sekunden 28800 Rekeymargin Sekunden E 5 8 KRIE HIE ki Rekeyfuzz Prozent Keying Versuche 0 bedeutet unbegrenzt Rekey Ja Dead Peer Detection nam Delay Timeout ISAKMP SA Schliisselaustausch Verschliisselungsalgorithmus Vereinbaren Sie mit dem Administrator der Gegenstelle welches Ver
95. inem Un terschied F r den Anschluss ans externe Netzwerk Internet WAN wird wie in Deutschland das PPPoE Protokoll verwendet das von vielen DSL Modems bei DSL Internetzugang verwendet wird Die externe IP Adresse unter der der mGuard von einer entfernten Gegenstelle aus erreichbar ist wird vom Provider festgelegt BO Wird der mGuard im PPPoE Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgateway ist auf die interne IP des mGuard zu setzen Sie he IP Konfiguration bei Windows Clients auf Seite 66 DO Arbeitet der mGuard im PPPoE Modus muss NAT aktiviert werden um Zu 17 von 103 griff auf das Internet zu erhalten siehe Firewall gt NAT auf Seite 29 Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden PPTP Ahnlich dem PPPoE Modus In Osterreich zum Beispiel wird statt des PP PoE Protokolls das PPTP Protokoll zur DSL Anbindung verwendet PPTP ist das Protokoll das urspr nglich von Microsoft f r VPN Verbindun gen benutzt worden ist BO Wird der mGuard im PPTP Modus betrieben muss bei lokal angeschlosse nen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgateway ist auf die interne IP des mGuard zu setzen Sie he IP Konfiguration bei Windows Clients auf Seite 66 E gt Wird der mGuard im PPTP Modus betrieben sollte NAT aktiviert werden um a
96. l Die IP Adresse 0 0 0 0 deaktiviert die Management IP Adresse Netzmaske Die Netzmaske zu obiger IP Adresse Default Gateway Das Default Gateway des Netzes in dem sich der mGuard befindet Verwende Management VLAN Wenn die IP Adresse innerhalb eines VLANs liegen soll ist diese Option auf ja zu setzen Management VLAN ID Eine VLAN ID zwischen 1 und 4095 Hine Erl uterung des Begriffes VLAN findet sich auf Seite 101 Statische Stealth Konfiguration IP Adresse des Clients Die IP Adresse des Clients MAC Adresse des Clients Das ist die physikalische Adresse der Netzwerkkarte des lokalen Rechners an dem der mGuard angeschlossen ist Die MAC Adresse ermitteln Sie wie folgt Auf der DOS Ebene Men Start Alle Programme Zubeh r Eingabeauf forderung folgenden Befehl eingeben ipconfig all Netzwerk gt Router Ha purity Technologies AG Sgt SE pe ae SR SE Security Appliance ate mGuard Netzwerk gt Router Externes Interface i PPPoE Externe Konfiguration per DHCP beziehen Nein v Wenn DHCP auf Nein gesetzt ist werden die folgenden Angaben ben tigt Externe Netzwerke IP Netzmask Verwende VLAN VLAN ID Anti aske gt ven Externe IPs ungesicherter Port e Te Zugang P Eigenschaften Zus tzliche externe Routen P System Default Gateway IP des Default Gateways Voraussetzung Der mGuard ist auf den Netzwerk Modus Router gestellt Externes Interface
97. le Uhrzeit liefern Version der im mGuard installierten Software Laufzeit seit dem letzten Startvorgang des mGuard Aktuell eingestellte Sprache 83 von 103 5 14 Menu System Dienste gt System zeit Security Appliance System gt Systemzeit Virus Systemzeit VPN Aktuelle Systemzeit UTC Sat Jan 1 01 08 00 UTC 2000 bei Aktuelle Systemzeit lokale Zeit Sat Jan 1 01 08 00 UTC 2000 Zeitzone in POSIX A notation Z B MEZ 1 innerhalb der EU oder MEZ 1MESZ M3 5 0 M10 5 0 3 mit automatischem Wechsel von Sommer und Winterzeit Lokale Systemzeit JJJJ MM TT HH MM SS 2000 01 01 01 08 00 _ aa Network Time Protocol NTP Aktiviere NTP Zeitsynchronisation NTP Status disabled rsa San a Systemzeit Aktuelle Systemzeit UTC Anzeige der aktuellen Systemzeit in Universal Time Coordinates UTC Wenn die NTP Zeitsynchronisation noch nicht aktiviert ist s u und Zeit marken im Dateisystem deaktiviert sind beginnt die Uhr mit dem 1 Januar 2000 Aktuelle Systemzeit lokale Zeit Soll die eventuell abweichende aktuelle Ortszeit angezeigt werden miissen Sie unter Zeitzone in POSIX 1 Notation s u den entsprechenden Eintrag machen Zeitzone in POSIX 1 Notation Soll oben unter Aktuelle Systemzeit nicht die mittlere Greenwich Zeit ange zeigt werden sondern Ihre aktuelle Ortszeit abweichend von der mittleren Greenwich Zeit dann tragen Sie hier ein um wieviel Stunden bei Ihnen die Zeit voraus bzw
98. leitung f r Eingehend auf IP mu die externe virtuelle IP konfiguriert werden e MAC Filter Aktiviere Redundanz Redundanz aktivieren deaktivieren Redundanz Start Status Status des mGuards bei Aktivierung der Redundanz Master oder Backup Priorit t Entscheidet welcher mGuard als Master fungiert Sind die Priori ten unterschiedlich gesetzt so arbeitet der mGuard mit der h heren Priorit t als Master solange er nicht ausf llt 67 von 103 68 von 103 Haben beide mGuards die gleiche Priorit t und wird im Fehlerfall der Backup zum Master so arbeitet dieser auch dann als Master weiter wenn der vorhe rige mGuard wieder zur Verf gung steht Werte zwischen 1 und 254 sind m glich Authentifizierungspasswort Das Passwort soll vor Fehlkonfigurationen sch tzen bei denen sich mehrere virtuelle Router gegenseitig st ren Das Passwort muss auf beiden mGuards gleich sein Es wird im Klartext ber mittelt und sollte daher nicht identisch mit anderen sicherheitsrelevanten Passw rtern sein Virtual Router ID Routermodus Externe Virtual Router ID Eine ID zwischen 1 und 255 die auf beiden mGuards gleich sein muss und den virtuellen Router identifiziert Management IP des 2ten Ger tes Routermodus Externe IP des 2ten Ger tes Im Stealthmodus die Management IP des zweiten mGuards im Routermodus die externe IP des zweiten mGuards Router Modus Die folgenden Werte m ssen gesetzt werden wenn die mGuards im Router M
99. liefert dann muss die IP Adresse gegen ber dem PPTP Server angegeben werden als lokale IP Adresse Lokale IP IP Adresse unter der der mGuard vom PPTP Server aus zu erreichen ist Modem IP Das ist die Adresse des PPTP Servers des Internet Service Providers 22 von 103 Netzwerk gt MAU Konfiguration rity Technologies AG EE Security Appliance engen Netzwerk gt MAU Konfiguration E por 7 econ tinkstatus Automatische Konfiguration Manuele Konfiguration Aktuele Betriebsart Router Anschluss 7 10N00 BASE TRJ4S Nicht verbunden pa zi 100 MbiisFDX vj Anschluss 6 10 100 BASE TRJ45 Nicht verbunden Is zi 100 mots Fox Anschluss 5 10N00 BASE TRJ4S Nicht verbunden pa zi ioo mois Fox 2 gt Firewall Anschluss 4 10 00 BASE TRJ45 Verbunden a zl foo Mbtis rm 100 Miss FDX pone EvterniUngesichert 10 100 BASE TRJ45 Nicht verbunden a Imker I P System Konfiguration und Statusanzeige der Ethernetanschl sse Port Name des Ethernetanschlusses auf welchen sich die Zeile bezieht Medientyp Medientyp des Ethernetanschlusses Linkstatus Up Die Verbindung ist aufgebaut Down Die Verbindung ist nicht aufgebaut Automatische Konfiguration Ja Versuche die ben tigte Betriebsart eigenst ndig zu ermitteln Nein Verwende die vorgegebene Betriebsart aus der Spalte Manuelle Kon figuration B gt Beide Netzwerkschnittstellen des mGuard sind zur Verbindung mit einem Rechner konfiguriert Beim Anschlu an
100. llung wirkungs los D h sie wird ignoriert und die Verbindung wird automatisch initi iert wenn der mGuard bemerkt dass die Verbindung genutzt werden soll Weitere IKE Einstellungen Klicken Sie hier auf Konfigurieren wenn Sie nderungen an den Einstellun gen der Verschl sselungsalgorithmen Lebensdauer von Schl ssel oder Dead Peer Detection DPD vornehmen wollen Eine ausf hrliche Erl uterung fin den Sie unter Weitere IKE Einstellungen auf Seite 55 Tunnel Einstellungen Wenn der Verbindungstyp auf Tunnel gesetzt ist m ssen die folgenden Anga ben gemacht werden A x HH HEH Lokales VPN Gateway Netz Netz memel gegen ber gegen ber Die Adresse des lokalen Netzes Hier geben Sie die Adresse des Netzes oder Computers an das lokal an den mGuard angeschlossen ist Die Adresse des gegen berliegenden Netzes Hier geben Sie die Adresse des Netzes oder Computers an das sich hinter dem gegen berliegenden VPN Gateway befindet Die Adresse 0 0 0 0 0 gibt eine Default Route ber das VPN an Das hei t dass s mtlicher Datenverkehr f r den keine anderen Tunnel oder Routen existieren durch diesen VPN Tunnel geleitet werden soll Eine Default Route ber das VPN sollte nur f r einen Tunnel angegeben werden und kann im Stealth Modus nicht verwendet werden 53 von 103 Die virtuelle IP f r den Client im Stealth Modus Virtuelles lokales Netz IPsec Tunnel 5 i ren em we Seet Client
101. lten sicherstellen dass das Profil auf dem Server keine unerw nschten mit GAI_PULL_ beginnenden Variablen enth lt welche die hier vorge nommene Konfiguration berschreiben System gt Neustart Security Appliance Innominate mGuard System gt Neustart P Netzwerk x ie mGuard neu starten Reboot kum Hinweis Bitte geben Sie mGuard etwa 30 Sekunden f r den Neustart P Dienste gt Zugang P Eiger K igurations Profile Konfiguration Holen Ein Neustart Reboot ist erforderlich im Fehlerfall Au erdem kann es erfor derlich sein nach einem Software Update Am Ende des Neustarts erscheint eine Meldung dass man mit der Konfiguration fortfahren kann Ein Reboot kann auch durch aus und wieder einschalten bewirkt werden 87 von 103 System gt Logs rity Technologies AG Security Appliance Nur Anzeige Innominate mGuard uptime 0 days 00 00 05 06535 main listening on dev log starting P Netzwerk uptime 0 days 00 00 05 55185 sshd 160 Server listening on 0 0 0 0 port 22 gt Firewall uptime 0 days 00 00 05 78021 klogd ip_conntrack version 2 1 512 buckets 4096 max 328 bytes per conntrack gt antivirus uptime 0 days 00 00 05 78144 root Using Packages linux_0 4 5 26 default modules kernel net ipv4 netfilter ip_connt gt vpn uptime 0 days 00 00 05 81565 root Using Packages linux_0 4 5 26 default modules kernel net ipvd netfilter ip_connt gt Dienste uptime 0 days 00 00 05 87689
102. m Benutzer die Eingabe eines Domain Namens Gibt der Benut zer den Domain Name gek rzt ein erg nzt der mGuard seine Eingabe um den angegebenen Domain Suffix der hier unter Domain Suchpfad festgelegt wird Benutzte Nameserver M glichkeiten e Root Nameserver e Provider definiert es Nutzer definiert 61 von 103 Root Nameserver Anfragen werden an die Root Nameserver im Internet gerichtet deren IP Adressen im mGuard gespeichert sind Diese Adressen ndern sich selten Provider definiert z B via PPPoE oder DHCP Es wird der Domain Name Server des Internet Service Providers benutzt der den Zugang zum Internet zur Verf gung stellt W hlen Sie diese Einstellung nur wenn der mGuard im PPPoE im PPTP Modus oder im Router Modus mit DHCP arbeitet Nutzer definiert unten stehende Liste Ist diese Einstellung gew hlt nimmt der mGuard mit den Domain Name Ser vern Verbindung auf die in der Liste Nutzer definierte Nameserver aufge f hrt sind Nutzer definierter Nameserver In dieser Liste k nnen Sie die IP Adressen von Domain Name Servern erfas sen Soll einer von diesen vom mGuard benutzt werden w hlen Sie unter Be nutzte Nameserver die Option Nutzer definiert unten stehende Liste fest L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Dienste gt DynDNS berwachung Security Appliance Innominate mGuard Dienste gt DynDNS be
103. m eine mit 3DES vergleichbare Sicherheit zu erzielen sollte die Zeichenfolge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buchstaben sowie Ziffern bestehen Zur ck klicken Pre Shared Secret Key kann nicht mit dynamischen any IP Adres sen verwendet werden nur feste IP Adressen oder Hostnamen auf bei den Seiten werden unterst tzt Verbindungstyp Es stehen zur Auswahl e Tunnel Netz gt Netz Transport Host gt Host e Transport L2TP Microsoft Windows e Transport L2TP SSH Sentinel Tunnel Netz gt Netz Dieser Verbindungstyp eignet sich in jedem Fall und ist der sicherste In die sem Modus werden die zu bertragenen IP Datagramme vollkommen ver schliisselt und mit einem neuen Header versehen zur VPN Gateway der Gegenstelle dem Tunnelende gesendet Dort werden die bertragenen Da tagramme entschliisselt und aus ihnen die urspriinglichen Datagramme wie derhergestellt Diese werden dann zum Zielrechner weitergeleitet Transport Host gt Host Bei diesem Verbindungstyp werden nur die Daten der IP Pakete verschliis selt Die IP Header Informationen bleiben unverschliisselt Transport L2TP Microsoft Windows Transport L2TP SSH Sentinel Ist beim entfernten Rechner der Verbindungstyp IPsec L2TP aktiviert dann setzen Sie den mGuard auch auf Transport L2TP Microsoft Windows f r l tere Microsoft Windows Versionen bzw Transport SSH Sentinel f r den SSH S
104. m utils eicar EICAR COM heruntergeladen wer den kann Anti Virus Schutz f r FTP Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r FTP Verbindungen auf den FTP Proxy angelegt Scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an 42 von 103 Wird diese Grenze berschritten wird eine Fehlermeldung an den Client gesendet oder automatisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an die Client Software des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optio nen e Sie k nnen versuchen den Download zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren Bei Virusdetektion FTP Fehlermeldung Erkennt der Virenfilter einen Virus innerhalb eines Datentransfers vom FTP Server zum FTP Client dann wird eine Fehlermeldung an den FTP Client ge sendet Die Darstellung dieser Fehlermeldung h ngt vom jeweiligen FTP Cli ent ab Bei berschreiten der Gr ssenbegrenzung Daten ungescannt durchlassen Diese Option
105. m was downloaded successfully in 1 seconds 28 42Kb s Update Load uptime 0 days 00 05 58 77296 kavu File eicar arm was downloaded successfully in 1 seconds 1 45Kb s gt ven uptime 0 days 00 05 58 77304 kavu File fa arm was downloaded successfully in 1 seconds 7 79Kb s P Services uptime 0 days 00 05 58 77316 kavu File gen001 arm was downloaded successfully in 1 seconds 14 63Kb s gt Access uptime 0 days 00 05 58 77324 kavu File gen002 arm was downloaded successfully in 1 seconds 17 88Kb s gt Features uptime 0 days 00 05 58 77332 kavu File gen003 arm was downloaded successfully in 1 seconds 5 67Kb s gt Support uptime 0 days 00 05 58 77340 kavu File gen004 arm was downloaded successfully in 1 seconds 8 83Kb s gt system uptime 0 days 00 05 58 77352 kavu File qen999 arm was downloaded successfully in 1 seconds 4 39Kb s Das Update Log enth lt Meldungen ber den Start und Verlauf des Update Pro zesses der Virensignaturdateien 48 von 103 5 9 Menu VPN nur enterprise VPN gt Verbindungen Voraussetzungen fiir eine VPN Verbindung Generelle Voraussetzung f r eine VPN Verbindung ist dass die IP Adressen der VPN Partner bekannt und zug nglich sind e Damit eine IPsec Verbindung erfolgreich aufgebaut werden kann muss die VPN Gegenstelle IPsec mit folgender Konfiguration unterst tzen Authentifizierung ber Pre Shared Key PSK oder X 509 Zertifikate ESP Diffie Hellman Gruppe 2 oder 5
106. mware in seinen Auslie ferungszustand zurtickbringen siehe Flashen der Firm ware auf Seite 91 Voreingestelltes Rootpasswort root Administrator Bietet die Rechte fiir die Konfigurationsoptionen die tiber die webbasierte Administratoroberfl che zug nglich sind Voreingestellter Benutzername admin Voreingestelltes Passwort mGuard Der Benutzername admin kann nicht ge ndert werden Nutzer Rootpasswort Ist ein Nutzerpasswort festgelegt und aktiviert dann muss der Benutzer nach jedem Neustart des mGuard bei Zugriff auf eine beliebige HTTP URL dieses Passwort angeben damit VPN Verbindungen m glich sind Wollen Sie diese Option nutzen legen Sie im entsprechen den Eingabefeld das Nutzerpasswort fest Werksseitig voreingestellt root Wollen Sie das Rootpasswort ndern geben Sie ins Feld Altes Passwort das alte Passwort ein in die beiden Felder darunter das neue gew nschte Pass wort Administratorpasswort Account admin Werksseitig voreingestellt mGuard unver nderbarer Benutzername ad min Aktiviere Nutzerpasswort Nein Ja Werksseitig ist Nutzer Passwortschutz ausgeschaltet 71 von 103 Ist unten ein Nutzerpasswort festgelegt kann der Nutzer Passwortschutz mit diesem Schalter aktiviert bzw deaktiviert werden Nutzerpasswort Werkseitig ist kein Nutzerpasswort voreingestellt Um eines festzulegen ge ben Sie in beide Eingabefelder bereinstimmend das gew nschte Passwort ein
107. n Der Wert 0 bedeutet bei Verbindungen die der mGuard initiieren soll unend lich viele Versuche ansonsten 5 Versuche Rekey Wenn auf Ja dann wird diese Seite versuchen einen neuen Schliissel zu ver einbaren wenn der alte abl uft Dead Peer Detection Wenn die Gegenstelle Dead Peer Detection DPD Protokoll unterst tzt k nnen die jeweiligen Partner erkennen ob die IPsec Verbindung noch g ltig ist oder nicht und evtl neu aufgebaut werden muss Ohne DPD mu je nach Konfiguration bis zum Ablauf der SA Lebensdauer ge wartet werden oder die Verbindung manuell neu initiiert werden Action Bei Hold Halten wird versucht die IPsec Verbindung neu aufzubauen wenn diese f r tod erkl rt wurde Bei Clear L schen wird nicht versucht die Ver bindung erneut aufzubauen Die Werkseinstellung ist Hold Delay Zeitspanne in Sekunden nach welcher DPD Keep Alive Anfragen gesendet werden sollen die testen ob die Gegenstelle noch verf gbar ist Die Werkseinstellung sind 30 Sekunden Timeout Zeitspanne in Sekunden nach der die Gegenstelle die Verbindung f r tod er kl rt werden soll wenn auf die Keep Alive Anfragen keine Antwort erfolgte Die Werkseinstellung sind 120 Sekunden VPN gt Maschinen zertifikat Security Appliance Innominate mGuard Netzwerk VPN gt Maschinen Zertifikat O Innominate security Technologies AG ou support on test4 L2TP Status ema iladdress mhopf innominate com d VPN Logs issuer Dienste
108. n gt Lokales Update aa 79 Eigenschaften gt Online Update nannten eeatinees 79 Eigenschaften gt Tnstalliere Lizenz anseneeel eae one 80 Features gt Softwareinformation EE 80 Eigenschaften gt Lizenzinfornation ee Ee ENEE SEN 81 Eigenschaften gt Hardwareinformation ioc uge beer bie satavapioasedetatavertnavextataeeeiees 81 Men Support EEN taint EELER 82 Support gt Snapshot serisine irii Eeer dee 82 Support X Stat EE 82 Men Systemu creces innia a Mes EREE AE net 84 Dienste EE 84 System gt Konfigurationsprofile e Eege een 85 System gt Konfiguration MG E 86 Syst m gt Neustart eni en e EE 87 System D LO08 EEN 88 CIDR Classless InterDomain Routing seessssssssesssessssssessssssssesssesstesstessesseesseessessseessesssess 89 Inhalt Inhalt S Le WE EE TEE KEE 89 6 Die Rescue Taste f r Neustart Recovery Prozedur und Flashen der Firmware 91 6 1 Nentor durchf hren EE i iden eee ed 91 6 2 Recovery Pr zedur ausf hren visner niea gs 91 63 Elashen der Prmware scsi ea Sie e AA lei 91 Voraussetzungen zum Flashen der Firmware DHCP und TFTP Server 92 6 3 1 DHCP und TFTP Server unter Windows bzw Linux installieren 94 Unter e 94 Unter Lamu KEE 95 7 E ST cisesscecinescecesoascsesanstasesessecesetocncgndedaseateusdnaensedddocsecsscnsseebudendeacsusounesbosesesbiandoctsoapsacsecdesssactaces 96 Asymmetrische Verschl sselung 1 cccicseccstesueteset
109. n Aktivierung SNMP muss der Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bitte beachten Sie Bei aktiviertem SNMP Zugriff werden automatisch eingehende ICMP Pakete akzeptiert Das SNMP Simple Network Management Protokoll wird vorzugsweise in komplexeren Netzwerken benutzt um den Zustand und den Betrieb von Ger ten zu berwachen Das SNMP gibt es in mehreren Entwicklungsstufen SNMPv1 SNMPv2 und SNMPv3 Die lteren Versionen SNMPv1 SNMPv2 benutzen keine Verschl sselung und gelten als nicht sicher Daher ist davon abzuraten SNMPv 1 SNMPV2 zu benut zen SNMPv3 ist unter dem Sicherheitsaspekt deutlich besser wird aber noch nicht von allen Management Konsolen unterst tzt BO SNMP Get oder Walk Anfragen k nnen l nger als eine Sekunde dau ern Dieser Wert entspricht jedoch dem Standard Timeout Wert einiger SNMP Management Applikationen Bitte setzen Sie aus diesem Grund den Timeout Wert Ihrer Management Ap plikation auf Werte zwischen 3 und 5 Sekunden falls Timeout Probleme auf treten sollten Aktiviere SNMPv3 Ja Nein Wollen Sie zulassen dass der mGuard per SNMPv3 berwacht werden kann setzen Sie diesen Schalter auf Ja
110. n Netzes in das externe Netz Im folgenden Beispiel befindet sich der mGuard mit der internen Schnittstelle im Netz 192 168 0 0 24 und mit der externen im Netz 10 0 0 0 24 Durch das 1 1 NAT l t sich der Rechner 192 168 0 8 im externen Netz unter der IP 10 0 0 8 erreichen 29 von 103 192 168 0 8 192 168 0 0 24 10 0 0 0 24 Werkseinstellung Es findet kein 1 1 NAT statt L Das Einfiigen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende Moglichkeiten Lokales Netzwerk Die Netzwerkadresse am lokalen Interface LAN Externes Netzwerk Die Netzwerkadresse am externen Interface WAN Netzmaske Die Netzmaske als Wert zwischen 1 und 32 fiir die lokale und externe Netz werkadresse siehe auch CIDR Classless InterDomain Routing auf Seite 89 Firewall gt MAC Fil ter ity Technologies AG Security Appliance Innominate mGuard Firewall gt MAC Filter P Netzwerk Eingehend ungesicherter Port ES Quel MAC Ziel MAC Ethernet Protokoli E BC el Poren P0 50 DA DE 0A 34 Prany Annehmen v Ausgehend gesicherter Port eg _ OT MAC U MAC U einemet Protokoli Aktion Kommenter el p0 50 DA DE 0A 34 XK CHOC HK Prany Annehmen v Ethernet Protokoll ist entweder any IPv4 ARP Length oder ein hexadezimaler Wert Bitte beachten Sie Diese Regeln gelten nur im Stealthmodus Bitte beachten Sie Management Zugriff auf die
111. n Port Nummer ist diese hinter der IP Adresse anzugeben z B 123 456 789 21 442 BO Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Zugang gt Passworte auf Seite 71 5 4 Arbeiten mit Tabellen Einf gen von Zeilen gt x N gt x ail 1 SL el 2 Op E SL 2 1 Klicken Sie auf den Pfeil unter dem Sie eine neue Zeile einf gen wollen E 2 Die neue Zeile ist eingef gt Verschieben von xX gt lt E gt lt O O Zeilen LL I wl mem lis 077 2 ell 2 gL 3 sD oe OL sL H wl emm I el mme gem SL CC 1 Markieren Sie eine oder mehrere Zeilen die Sie verschieben wollen 2 Klicken Sie auf den Pfeil unter den Sie die markierten Zeilen verschieben wollen E 3 Die Zeilen sind verschoben L schen von Zeilen TR Es EEE Es EEE El l sU Wa 02777 H EEE r x EEE eLo Hl a oe el 4 gL 4 1 Markieren Sie die Zeilen die Sie l schen wollen 2 Klicken Sie auf das Zeichen zum L schen x 3 3 Die Zeilen sind gel scht 15 von 103 5 5 Startseite Drity Technologies AG Security Appliance innominate mGuard Willkommen zur mGuard Administration P Netzwerk gt Firewall WARNUNG DAS ROOT PASSWORD IST NICHT KONFIGURIERT gt gt i ae WARNUNG DAS ADMIN PASSWORD IST NICHT KONFIGURIERT P Dienste gt Zugang P Eigenschaften P Support P System eg WEE o ES Auf der Startseite k nnen Sie ver
112. n durchtf bren secite inesi earet iita rosti hee i 14 523 FEHKONTIEUTAUON En eege EA dree dee 14 Re 14 Fernkonfiguration durchf hren 0 eee eeseceeeeeeeeseecsceeeceeeceseeeaeceaeceseeseeseeeeaaeesaee 14 34 Arbeiten mit Tabellen dees seicees setze See bets secu ben dee EE ee 15 Einf gen von Zeilen e eer scien 22222 BAR tide ae AT a Si 15 Verschieben von Zelen nseries i bath dedeedniatocdeevedenedetechsccetathestecvecetees 15 L schen von Zeilen ern orion talon bate ba eae ERA 15 Dede EE E TER 16 5 6 7 Men Netzwerk cnn nn Agu asian i Ae i a en a ees 16 Netzwerk gt Bastsz eieiei SAAR iert EE 16 Netzwerk S Stealth ei actions Ate SE lies dates teats bisa 19 Netzwerk gt Routers EE 20 Netzwerk gt PPPOE 23 lea ernennen eA 21 Netzwerk PPTR 4 22 e Set rin Ran Ra 22 Netzwerk gt MAU ER RE 23 Netzwerk gt Erweiterte Einstellungen au 23 Netzwerk E EE 24 3 7 Ment Firewalls deiere 25 Firewall gt Birechen DEE 25 Firewall E E He Firewall gt Port Weiterleitung EE 27 Firewall Nee ees A AA E S 29 Firewall gt k INA EE 29 Firewall gt MAC Filtet p etsipe rvenis are nd Gaile aaa saes 30 Firewall gt Erweiterte Einstellungen EE 31 Firewall EE 33 5 8 Men AN VIU S r an ci ian TE en ae la a e Lg 34 Kaspersky Engines an ir ra oa EEEE e eee ae EETA 34 1 von 103 Inhalt 5 9 5 10 5 11 5 12 5 13 5 14 5 15 2 von 103 Unterst tzte Kompressionsformate uuessessssners
113. n nicht abgebrochen werden selbst wenn eine entsprechen de neue Verbindung nicht mehr aufgebaut werden diirfte Werkseitige Voreinstellung der Firewall e Alle eingehenden Verbindungen werden abgewiesen au er VPN e Die Datenpakete aller ausgehenden Verbindungen werden durchgelassen BO VPN Verbindungen unterliegen nicht den unter diesem Men punkt festge legten Firewall Regeln Firewall Regeln f r jede einzelne VPN Verbindung k nnen Sie unter Men VPN gt Verbindungen festlegen BDO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolgend in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert Firewall gt Eingehend Security Appliance Firewall gt Eingehend gro voor vonrot er nchren anton Kommentar ton i elf z p ooon ken koaog fip Annehmen v Nein v leitung P TI d pooon fany p 0 0 00 https Annenmen x J Nein E ree PEN ter pooo fany o 0 00 fip Annehmen xj Nein gt es Log Eintrage f r unbekannte Verbindungsversuche Gel gt zugang Diese Regeln geben an welcher Verkehr von au en nach innen passieren dart P Eigenschaften Bitte beachten Sie Port Angaben werden nur f r TCP und UDP ausgewertet Se Listet die eingerichteten Firewall Regeln auf Sie gelten f r eingehende Daten
114. nd in der Regelliste wei tere Regeln vorhanden sein die auch passen w rden werden diese ignoriert BO Im Stealth Modus ist in den Firewallregeln f r den Client die wirkliche IP Adresse zu verwenden oder aber auf 0 0 0 0 0 zu belassen da nur ein Client durch den Tunnel angesprochen werden kann L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle Von IP Nach IP 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Von Port Nach Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich 54 von 103 Weitere IKE Einstel lungen Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender ke
115. nes der Partner bekannt sein damit diese miteinander Kontakt aufnehmen k nnen Diese Bedingung ist nicht erf llt wenn beide Teilnehmer ihre IP Adressen dynamisch von ihrem Internet Service Provider zugewiesen bekommen In diesem Fall kann aber ein DynDNS Service wie z B DynDNS org oder DNS4BIZ com helfen Bei einem DynDNS Service wird die jeweils g ltige IP Adresse unter einem fes ten Namen registriert Sofern Sie f r einen vom mGuard unterst tzten DynDNS Service registriert sind k nnen Sie in diesem Dialogfeld die entsprechenden Angaben machen Diesen mGuard bei einem DynDNS Server anmelden Ja Nein W hlen Sie Ja wenn Sie beim DynDNS Anbieter entsprechend registriert sind und der mGuard den Service benutzen soll Dann meldet der mGuard die aktuelle IP Adresse die dem eigenen Internet Anschluss vom Internet Ser vice Provider zugewiesen ist an den DynDNS Service Meldeintervall Sekunden Standard 420 Sekunden Immer wenn sich die IP Adresse des eigenen Internet Anschlusses ndert in formiert der mGuard den DynDNS Service ber die neue IP Adresse Aus Zu verl ssigkeitsgr nden erfolgt diese Meldung zus tzlich in dem hier festgelegten Zeitintervall Bei einigen DynDNS Anbietern wie z B DynDNS org hat diese Einstellung keine Wirkung da dort ein zu h ufiges Melden zur L schung des Accounts f hren kann DynDNS Anbieter Die zur Auswahl gestellten Anbieter unterst tzen das Protokoll das auch der mGuard unterst tzt
116. nesnnesnnennennnnnnnnennnesnensennsnennen nn 34 Voraussetzungen Zur Nutzung 00 eee cee este ceseeceeeeeeeeeeceseecaecesueseeseseeaaeceseeeaees 34 Ablauf der Antivirus Lizenz oneer nni innie t eie ai eiie 34 D teigr en begrenzun vernir en i E N lin 34 Antivirus E RN EE 35 Antivirus gt POP3 Einstellungen sanken 37 Antivirus gt HT RE EE EE 40 Antivirus gt PIP Einstelungen une E Eege 42 Antivirus gt Datenbank Updater udn sen 44 Antivirus ELEFANT 46 Antivirus 2 Lizenzanforderins ern nalen Veena ieee ie aoousers 46 Antivirus Lizenzdatei Eeleren 47 A tivir s gt Vir g EE 47 Antiviras Eeer ees dE de eee 48 Men VPN nur enterprise u Eege enee DER ea ee es ae 49 VPN NEE EEN 49 Weitere IKE Einstellungen u a ee 55 KA CEET 57 VPN gt IPsec Satis EE 59 VPN S L TPS EE 60 VPND VPN DOZ Siepe ie ee ne a a e aaea eher 60 Men rDienste es eek Hannes Ea ar Eea 61 Dienste DE EE nanan 61 Dienste gt DynDNS berwachung ccscccessssessssescssescesescssesesnesesessesnsscsesseseeneeees 62 Dienste gt DynDNS Registrierung kl 62 Dienste gt DHCP Intern Exte E 64 Dienste E EE EE 66 Dienste gt Redundanz nur mGuard enterprise XT 67 Dienste gt Remote EE 69 Dienste D gt SNMP EEN nen eier 69 E EA EE 71 Z gang gt PASSW OME tege Eeler 71 Z gang PS PAC EE 72 Zugane RN RE 72 FMS AINE D KT 74 Zugang EE 75 Zugang gt Serieller Port Modem EE 77 Men Figensch ften gie en a Be nahe 79 Eigenschafte
117. nfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt B gt Das Einschalten des SMTP Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Bei den Angaben haben Sie folgende M glichkeiten Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr zu allen SMTP Ser vern wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der 36 von 103 Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports fiir das SMTP Protokoll an Der SMTP Standardport 25 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server ak
118. nweise zur 0 bis Celsius Benutzung max Luftfeuchtigkeit nicht Kondensierend e Anschlusskabel nicht knicken Den Netzwerkstecker nur zum Verbinden mit einem Netzwerk benutzen Schritte zur Um das Ger t in Betrieb zu nehmen f hren Sie folgende Schritte in der angege Inbetriebnahme benen Reihenfolge aus Schritt Ziel Seite 1 Lieferumfang pr fen Release Notes lesen Lieferumfang auf Seite 10 Das Ger t konfigurieren soweit erforderlich Lokale Konfiguration Gehen Sie dazu die einzelnen Men optionen durch die Ihnen Bei Inbetriebnahme auf der mGuard delta mit seiner Konfigurationsoberfl che bietet Seite 11 Lesen Sie deren Erl uterungen in diesem Handbuch um zu entscheiden welche Optionen mit welcher Einstellung f r Ihre Betriebsumgebung erforderlich oder gew nscht wird 4 1 Lieferumfang Zum Liefer geh ren 10 von 103 Pr fen Sie vor Inbetriebnahme die Lieferung auf Vollst ndigkeit umfang e Handbuch im Portable Document Format PDF auf CD e Quick Installation Guide 5 Konfiguration Voraussetzungen e Der mGuard muss an seine Stromversorgung angeschlossen sein e Bei lokaler Konfiguration Der Rechner mit dem Sie die Konfiguration vor nehmen muss entweder am LAN Switch Ethernetbuchse 4 bis 7 des mGuard angeschlossen sein oder er muss ber das lokale Netzerk mit ihm verbunden sein e Bei Fernkonfiguration Der mGuard delta muss so konfiguriert sein dass er eine Fernk
119. o dus betrieben werden Interne Virtual Router ID Eine ID zwischen 1 und 255 die auf beiden mGuards gleich sein muss und den virtuellen Router am internen Interface identifiziert Interne IP des 2ten Ger tes Die interne IP des zweiten mGuards Externe virtuelle IP Virtuelle IP ber die der Verkehr durch den mGuard l uft Wird z B bei NAT als externe IP verwendet Interne virtuelle IP Virtuelle IP ber die der Verkehr durch den mGuard l uft Muss z B als De faultgateway auf den Clients im internen Netzwerk eingestellt werden ICMP Checks ICMP Checks bilden eine zus tzliche M glichkeit der berwachung der Netz werkverbindungen zwischen den mGuards die als virtueller Router zusammen arbeiten F llt nur die interne oder die externe Netzwerkverbindung zwischen Master und Backup aus so wird der Backup zum Master Das vom Guard verwendete Virtual Router Redundancy Protocol VRRP kann den noch funktionierenden Master jedoch nicht dar ber informieren ber die noch funktionierenden Netzwerkver bindung w rden die zwei Master anschlie end miteinander in Konflikt stehen ber die ICMP Checks ICMP Ping kann der Master daher die Verbindung zum Backup berpr fen und sich gegebenenfalls deaktivieren Aktiviere ICMP Checks berwache die Verbindung zum Backup mit Hilfe des ICMP Protokolls Ist der Backup mGuard nicht mehr zu erreichen versucht der Master nachein ander die unter Zu berpr fende Hosts im externen int
120. oder deak tivieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r POP3 Verbindungen auf den POP3 Proxy angelegt BO Tip Bei einer POP3 Verbindung werden durch die meisten E Mail Clients alle E Mails ber eine Verbindung abgerufen so da die neue Einstellung erst gilt wenn die letzte Mail der aktuellen Verbindung von diesem Server abge rufen wurde Um also w hrend eines laufenden E Mail Transfers Einstellun gen zu ver ndern sollte der Transfer zun chst abgebrochen werden Scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreiten der Gr enbegrenzung eine Fehlermeldung an den E Mail Client gesendet und die E Mail nicht empfangen oder automatisch in den Durchla modus geschaltet 37 von 103 38 von 103 Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optio nen e Sie k nnen versuchen das Abholen der E Mail zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vier
121. oll Log auf Nein set zen werksseitige Voreinstellung 73 von 103 Zugang gt SSH Te writy Technologies AG Security Appliance Innominate mGuard Zugang gt SSH P Netzwerk gang gt Firewall P Antivirus Aktiviere SSH Fernzugang Ja sl kum Port fiir SSH Verbindungen nur Fernzugang P Dienste Zugang Firewallregeln zu Freigabe des SSH Zugriffs Passworte Sprache EE vonP wee Anton ____ Kommentar U is HTIPS 0 0 00 extern v Annehmen v Nein SI eh SE E Nein 2 SNMP R Eigenschaften Diese Regeln gestatten es SSH Fernzugriff zu aktivieren Geneck Wichtig Setzen Sie sichere Passworte bevor Sie Fernzugriff erlauben P system Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Fernzugriffs muss der Adressbereich mit entsprechenden Firewallregein freigeschaltet werden Bitte beachten Sie Im Stealth Modus wird eingehender Verkehr auf dem angegebenen Port nicht mehr zum Client geleitet Bitte beachten Sie Im Router Modus mit NAT bzw Portforwarding hat die hier eingestellte Portnummer Priorit t gegen ber Regeln zum Portforwarding Bei eingeschaltetem SSH Fernzugang kann der mGuard von einem entfernten Rechner aus ber die Kommandozeile konfiguriert werden Standardm ig ist diese Option ausgeschaltet WICHTIG Wenn Sie Fernzugriff erm glichen achten Sie darauf dass ein si cheres Root und Administrator Passwort festgelegt ist Um SSH Fernzugang zu erm glichen machen Sie folgende
122. ollten Sie einen anderen Mechanismus verwenden z B xinetd dann informie ren Sie sich bitte in der entsprechenden Dokumentation 95 von 103 7 Glossar Asymmetrische Verschl sselung DES 3DES AES Client Server 96 von 103 Bei der asymmetrischen Verschl sselung werden Daten mit einem Schl ssel ver schl sselt und mit einem zweiten Schl ssel wieder entschl sselt Beide Schl ssel eignen sich zum Ver und Entschl sseln Einer der Schl ssel wird von seinem Ei gent mer geheim gehalten Privater Schl ssel Private Key der andere wird der ffentlichkeit ffentlicher Schl ssel Public Key d h m glichen Kommuni kationspartnern gegeben Eine mit dem ffentlichen Schl ssel verschl sselte Nachricht kann nur von dem Empf nger entschl sselt und gelesen werden der den zugeh rigen privaten Schl ssel hat Eine mit dem privaten Schl ssel verschl sselte Nachricht kann von jedem Empf nger entschl sselt werden der den zugeh rigen ffentlichen Schl ssel hat Die Verschl sselung mit dem privaten Schl ssel zeigt da die Nachricht tats chlich vom Eigent mer des zugeh rigen ffentlichen Schl ssels stammt Daher spricht man auch von digitaler Signatur Unterschrift Assymetrische Verschl sselungsverfahren wie RSA sind jedoch langsam und anf llig f r bestimmte Angriffe weshalb sie oft mit einem symmetrischen Ver fahren kombiniert werden gt symmetrische Verschl sselung Andererseits sind Konzepte m
123. omatisch mit allen um die aktuelle Zeit zu ermit teln Wenn Sie statt einer IP Adresse einen Hostnamen z B pool ntp org angeben muss ein g ltiger DNS Server festgelegt sein siehe Dienste gt DNS auf Seite 61 Arbeitet der mGuard im Router PPPoE oder PPTP Modus stellt er auch den angeschlossenen Rechnern die NTP Zeit zur Verf gung Zeitmarke im Dateisystem 2h Aufl sung Ja Nein Ist dieser Schalter auf Ja gesetzt schreibt der mGuard alle 2 Stunden die ak tuelle Systemzeit in seinen Speicher Folge Wird der mGuard aus und wieder eingeschaltet wird nach dem Ein schalten eine Uhrzeit in diesem 2 Stunden Zeitfenster angezeigt und nicht eine Uhrzeit am 1 Januar 2000 System gt Konfigurations profile AG Security Appliance Innominate mGuard Netzwerk gt Firewall P antivirus gt ven Werkseinstellung Wiederherstellen Download gt Zugang Speichere aktuelle Konfiguration als Profil jf Durchsuchen Hochladen einer Konfiguration als Profil Sie haben die M glichkeit die Einstellungen des mGuard als Konfigurations Profil unter einem beliebigen Namen im mGuard zu speichern Sie K nnen meh rere solcher Konfigurations Profile anlegen so dass Sie nach Bedarf zwischen verschiedenen Profilen wechseln k nnen z B wenn der mGuard in unterschied lichen Umgebungen eingesetzt wird Dar ber hinaus k nnen Sie Konfigurations Profile als Dateien auf ihrem Konfi gurations Rechners abspeichern
124. on Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Siehe auch Netzwerk Beispielskizze auf Seite 89 Default Gateway IP des Default Gateways Wird vom Internet Service Provider ISP vorgegeben wenn der mGuard den Ubergang zum Internet herstellt Wird der mGuard innerhalb des LANs ein gesetzt wird die Route vom Netzwerk Administrator vorgegeben B gt Diese Einstellung wird ignoriert wenn eine lokale Default Route unter Netz werk gt Basis definiert wurde E gt Wenn das lokale Netz dem externen Router nicht bekannt ist z B im Falle einer Konfiguration per DHCP dann sollten Sie unter Firewall gt NAT Ihr lokales Netz angeben also 0 0 0 0 0 siehe Firewall gt NAT auf Seite 29 Netzwerk gt PPPoE Il purity Technologies AG Security Appliance innominate mGuard Netzwerk gt PPPoE Netzwerk Basis sea Se PPPoE Passwort E Es wes I MAU Konfiguration Erweiterte Einstellungen Status gt Zugang P Eigenschaften P Support P System Voraussetzung Der mGuard ist auf den Netzwerk Modus PPPoE gestellt sie 21 von 103 he PPPoE auf Seite 17 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Login Benutzername Login den der Internet Service Provider ISP anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPPoE Passwort Pass
125. onfiguration zul sst e Der mGuard muss angeschlossen sein d h die erforderlichen Verbindungen m ssen funktionieren 5 1 Lokale Konfiguration Bei Inbetriebnahme Erster Zugriff auf den mGuard Der mGuard delta wird per Web Browser konfiguriert der auf dem Konfigurati ons Rechner ausgef hrt wird z B MS Internet Explorer ab Version 5 0 oder Netscape Communicator ab Version 4 0 D Der Web Browser muss SSL d h https unterst tzen Der mGuard ist gem Werkseinstellung unter folgender Adressen erreichbar Werkseinstellung Router Modus Auslieferungszustand https 192 168 1 1 Bei Auslieferung oder nach Zur cksetzen auf die Werkseinstellung oder Flashen des mGuards ist der mGuard ber die LAN Schnittstellen 4 bis 7 unter der IP 192 168 1 1 innerhalb des Netzwerks 192 168 1 0 24 erreichbar F r einen Zu griff auf die Konfigurationsoberfl che kann es daher n tig sein die Konfigurati ons Ihres Computer anzupassen Unter Windows XP klicken Sie dazu Start Systemsteuerung Netzwerkver bindungen e Das Symbol des LAN Adapters mit der rechten Maustaste klikken und e im Kontextmen Eigenschaften klicken e Im Dialogfeld Eigenschaften von LAN Verbindung lokales Netz auf der Registerkarte Allgemein unter Diese Verbindung verwendet folgende Ele mente den Eintrag Internetprotokoll TCP IP markieren und dann e die Schaltfl che Eigenschaften klicken so dass folgendes Dialogfeld ange 11 von 103 zeigt
126. ort P System Mit LLDP Link Layer Discovery Protocol IEEE 802 1AB D13 kann mit ge eigneten Abfragemethoden die Ethernet Netzwerk Infrastruktur automatisch ermittelt werden Auf Ethernet Ebene Layer 2 werden dazu periodisch Multi casts versandt aus denen dann Tabellen der ans Netz angeschlossener Systeme erstellt werden die ber SNMP abgefragt werden k nnen Modus Der LLDP Service bzw Agent kann hier global ein bzw ausgeschaltet wer den MAC 00 OC BE 02 21 2C keine WAN port mguard mdickopp Internes LAN Interface und Externes WAN Interface Ger te ID Eine eindeutige ID des gefundenen Rechners blicherweise eine seiner MAC Adressen IP Adresse IP Adresse des gefundenen Rechners ber welcher er per SNMP administriert werden kann Portbeschreibung Ein Text welcher die Netzwerkschnittstelle beschreibt ber welche der Rechner gefunden wurde Systemname Hostname des gefundenen Rechners 66 von 103 Dienste gt Redun 4 danz 5 ng Technologies AG nur mGuard enterp Innominate mGuard Dienste gt Redundanz rise XL E Semer k ng Security Appliance Aktiviere Redundanz wachung Redundanz Start Status jerung Prioritat Authentifizierungspasswort Virtual Router ID Routermodus Externe Virtual Router ID p P Zugang Stealthmodus Management IP des 2ten Ger tes Routermodus Externe IP des 2ten Ger tes P Eigenschaften Support Router Modus P System Interne Virtual Route
127. phere e Interference proof EN 61000 6 2 2001 e Emitted immunity EN 55022 1998 A1 2000 A2 2003 Class A FCC Note This equipment has been tested and found to comply with the limits for a Class A digital device persuant to part 15 of the FCC Rules These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment This equipment generates uses and can radiate radio frequency energy and if not installed and used in accordance with the instruction manual may cause harmful interference to radio communications Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense 103 von 103
128. port Snapshot Status P system Diese Funktion dient f r Support Zwecke des Innominate Support Erstellt eine komprimierte Datei im tar Format in der alle aktuellen Konfigu rations Einstellungen und Log Eintr ge erfasst sind die zur Fehlerdiagnose re levant sein k nnten Diese Datei enth lt keine privaten Informationen wie z B das private Maschinen Zertifikat oder die Passw rter Eventuell benutzte Pre Shared Keys von VPN Verbindungen sind jedoch in den Snapshots enthalten Um einen Snapshot zu erstellen gehen Sie wie folgt vor 1 Klicken Sie Herunterladen 2 Speichern Sie die Datei unter dem Namen snapshot tar gz Stellen Sie die Datei dem Support zur Verf gung wenn dieser danach fragt Support gt Status ity Technologies AG Nur Anzeige rast Security Appliance Support gt Status Netzwerk Modus router static up Exteme IP 10 1 0 152 Default Gateway 10 1 0 254 VPN Total Used Up arn VPN Nutzeranmeldung NIA DynDNS Anmeldung none HTTPS Femzugang yes SSH Femzugang yes NTP Status disabled Softwareversion 2 2 0 betaD1 default Systemlaufzeit 52 min Sprache auto Zeigt eine Zusammenfassung verschiedener Statusinformationen fiir Support Zwecke Netzwerk Modus Betriebsart des mGuard Stealth Router PPPoE oder PPTP Externe IP Die IP Adresse des mGuard an seinem Anschluss fiir das externe Netz WAN bzw Internet Im Stealth Modus bernimmt der mGuard die Adresse des lokal angesc
129. r ID Interne IP des 2ten Ger tes 92 168 1 1 Externe virtuelle IP 0 0 0 100 Interne virtuelle IP 92 168 1 100 ICMP Checks Aktiviere ICMP Checks Zu berpr fende Hosts im externen Netzwerk Zu berpr fende Hosts im internen Netzwerk la Mit Hilfe der Redunzanzf higkeit ist es m glich zwei mGuards zu einem virtu ellen Router zusammenzufassen Ein zweiter mGuard Backup tibernimmt da bei in einem Fehlerfall die Funktion des ersten mGuards Master Weiterhin wird der Zustand der Statefull Firewall zwischen beiden mGuards fortw hrend synchronisiert so dass bei einem Wechsel bestehende Verbindun gen nicht abgebrochen werden BO Voraussetzung Beide mGuards m ssen entsprechend konfiguriert werden Die Firewalleinstellungen sollten identisch sein damit nach der Umschaltung keine Probleme auftreten B gt Redundanz wird im Router Modus im statischen Stealth Modus mit Manage ment IP und im multi Stealth Modus unterst tzt B gt Bei aktivierter Redundanz d rfen die beiden mGuards nicht als VPN Gate way genutzt werden gt Die interne virtuelle IP mu bei Ger ten die mit dem internen Netzwerk der mGuards verbunden sind als Default Gateway konfiguriert werden Die folgenden Funktionen Dienste k nnen bei aktivierter Redundanz genutzt werden e Eingehende ausgehende Firewall Regeln e NAT IP Masquerading d h ausgehender Netzwerkverkehr wird auf die externe virtuelle IP umgeschrieben e 1 1 NAT e Port Weiter
130. r beim Auftreten von Fehlern wird der E Mail Client des Absenders durch einen Fehlercode benach richtigt und ein Logeintrag im Antivirus Log vorgenommen Der urspr ngliche Empf nger erh lt weder die infizierte Mail noch eine Benachrichtigung Anti Virus Schutz f r SMTP E Mail Versand Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen oder deakti vieren den Filter Auf Nein setzen Bei einer Aktivierung wird eine Port Redirection f r SMTP Verbindungen auf den SMTP Proxy angelegt Scannen bis zur Gr sse von default x MB Hier geben Sie die Maximalgr e der zu berpr fenden Dateien an Wird diese Grenze berschritten wird abh ngig von der Einstellung bei berschreitung der Gr ssenbegrenzung eine Fehlermeldung an den E Mail Client zur ckgegeben und die E Mail nicht gesendet oder automa tisch in den Durchla modus geschaltet Wenn die Speicherkapazit t des mGuard nicht ausreicht um die Datei voll st ndig zu speichern oder zu dekomprimieren wird eine entsprechende Feh lermeldung an den E Mail Client des Benutzers ausgegeben und ein Eintrag im Antivirus Log vorgenommen In diesem Fall haben Sie folgende Optio nen e Sie k nnen versuchen das Versenden zu einem sp teren Zeitpunkt zu wiederholen e Sie k nnen den Virenfilter f r den betreffenden Server kurzzeitig deaktivieren e Sie k nnen die Option f r den automatischen Durchla modus akti vieren Bitte beachten Sie dass die Gr
131. r die Maximalgr e ist in den meisten Szenarien ein problemloser Betrieb des Antivirenfilters m glich deswegen soll ten Sie diese Werte m glichst nicht ndern Sie k nnen im Men ausw hlen ob bei einer berschreitung der Maximalgr e die Nachricht blockiert und eine Fehlermeldung an Sie gesendet werden soll oder ob die Datei ohne Viren berpr fung weitergeleitet werden soll Antivirus gt SMTP Einstellungen Security Appliance innominate mGuard Antivirus gt SMTP Einstellungen P Netzwerk gt Firewall Age r Des pov Se STP a Vrs DT Einstell ngere k z S SE Scannen bis zur Gr sse von default 5MB TTP Erich Er Update Bei berschreiten der Gr ssenbegrenzung E Mail blockieren Antivirus Status Lizenzanforderung Liste der SMTP Server Installiere Lizenz Update Logs poo E bg outtoany Scannen 2 Ee gL pooo 5 MTP out to any Scannen E P Dienste Zugang P Eigenschaften P Support System Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r SMTP muss der zu scannende Adressbereich mit entsprechenden Firewallregein freigeschaltet werden Powered by ANTI VIRUS Das SMTP Protokoll wird von Ihrem E Mail Client oder Mail Transfer Agent MTA zur Versendung von E Mails genutzt Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten Sie Verschl sselungsoptionen wie TLS nicht aktivieren Im Falle des Erkennens eines Virus ode
132. r mit dem Internet verbunden ist hat eine IP Adresse IP Internet Protocol Eine IP Adresse besteht aus 4 maximal dreistelligen Nummern jeweils durch einem Punkt getrennt Ist der Rechner ber die Telefonleitung per Modem per ISDN oder auch per ADSL online wird ihm vom Internet Service Provider dynamisch eine IP Adresse zugeordnet d h die Adresse wechselt von Sitzung zu Sitzung Auch wenn der Rechner z B bei einer Flatrate ber 24 Stunden ununterbrochen online ist wird die IP Adresse zwischendurch gewechselt Soll ein lokaler Rechner ber das Internet erreichbar sein muss er eine Adresse haben die der entfernten Gegenstelle bekannt sein muss Nur so kann diese die Verbindung zum lokalen Rechner aufbauen Wenn die Adresse des lokalen Rechners aber st ndig wechselt ist das nicht m glich Es sei denn der Betreiber des lokalen Rechners hat ein Account bei einem DynamicDNS Anbieter DNS Domain Name Server Dann kann er bei diesem einen Hostnamen festlegen unter dem der Rechner k nftig erreichbar sein soll z B www example com Zudem stellt der Dyna micDNS Anbieter ein kleines Programm zur Verf gung das auf dem betreffen den Rechner installiert und ausgef hrt werden muss Bei jeder Internet Sitzung des lokalen Rechners teilt dieses Tool dem DynamicDNS Anbieter mit welche IP Adresse der Rechner zurzeit hat Dessen Domain Name Server registriert die aktuelle Zuordnung Hostname IP Adresse und teilt diese anderen Domain Name
133. rden im Ste alth Modus ignoriert Als interne IP wird stattdessen die 1 1 1 1 verwendet die vom Client erreichbar ist wenn auch das auf dem Client konfigurierte De faultgateway erreichbar ist mGuard als Router Der mGuard arbeitet auch im PPPoE oder Router Werkseinstellung Befindet sich der mGuard nicht im Stealth Modus arbeitet er als Gateway zwischen verschiedenen Teilnetzen und hat dabei eine externe und eine inter ne IP Adresse PPTP Modus als Router Der mGuard ist ber seine externe Schnittstelle per Ethernet Standleitung ans Internet angeschlossen oder tiber weitere Router ans LAN Ein Netzwerk oder ein Einzelrechner ist ber sein internes Interface ange schlossen Wie auch in den anderen Modi stehen die Sicherheitsfunktionen Firewall und VPN zur Verfiigung BO Wird der mGuard im Router Modus betrieben muss beim lokal angeschlos senen Client Rechnern der mGuard als Defaultgateway festgelegt sein D h die Adresse des Defaultgateway ist auf die interne IP des mGuard zu setzen Siehe IP Konfiguration bei Windows Clients auf Seite 66 BO Wird der mGuard im Router Modus betrieben und stellt die Verbindung zum Internet her sollte NAT aktiviert werden um aus dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Firewall gt NAT auf Seite 29 Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden PPPoE Der PPPoE Modus entspricht dem Router Modus mit DHCP mit e
134. roxy Port wel cher in Ihrem Webbrowser eingestellt ist Gebr uchliche Proxy Portnummern sind 3128 und 8080 DO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt Bei den Angaben haben Sie folgende M glichkeiten 41 von 103 Server 0 0 0 0 0 bedeutet alle Adressen d h der Datenverkehr aller HTTP Server wird gefiltert Um einen Bereich anzugeben benutzen Sie die CIDR Schreib weise siehe CIDR Classless InterDomain Routing auf Seite 89 Da ein Verbindungswunsch zun chst durch den Proxy entgegengenommen wird reagiert die Benutzersoftware bei einer Anfrage an einen nicht existen ten Server z B falsche IP Adresse so als ob die Serververbindung aufge baut wird aber keine Daten gesendet werden Durch die genaue Angabe der Serveradressen in der Liste wird dieses Verhalten verhindert da der Proxy nur Anfragen an die in der Liste angegebenen Adressen entgegennimmt Server Port Hier geben Sie bitte die Nummer des Ports f r das HTTP Protokoll an Der HTTP Standardport 80 ist bereits voreingestellt Kommentar Ein frei w hlbarer Kommentar f r diese Regel Scannen Scannen Der Virenfilter is
135. rt pgp not found 002 Changing to directory etc ipsec d cacerts 002 Warning empty directory 002 Changing to directory etc ipsec d cris 002 Warning empty directory Systemkonfiguration umgeschrieben 58 von 103 VPN gt L2TP rity Technologies AG Security Appliance Innominate mGuard VPN gt LZTP Netzwerk P Firewall P Antivirus Starte L2TP Server f r IPsec 2TP VPN Verbindungen Lokale IP f r L2TP Verbindungen Maschinen Zertifikat tere IPsec Status Zuweisung von IPs f r L2TP Gegenstellen L2TP Status A VPN Logs P Zugang gt Features Bitte beachten Sie Diese Regel gelten nicht im Stealthmodus gt Support P system Start L2TP Server f r IPsec L2TP Ja Nein Wollen Sie IPsec L2TP Verbindungen erm glichen setzen Sie diesen Schal ter auf Ja ber IPsec k nnen dann zum mGuard L2TP Verbindungen aufgebaut wer den ber welche den Clients dynamisch IP Adressen innerhalb des VPNs zu geteilt werden Lokale IP f r L2TP Verbindungen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle mit er habe die Adresse 10 106 106 1 Zuweisung von IPs f r L2TP Gegenstellen Nach dem obigen Screenshot teilt der mGuard der Gegenstelle eine IP Adres se zwischen 10 106 106 2 und 10 106 106 254 mit VPN gt IPsec Status Nur Anzeige Security Appliance Innominate mGuard VPN gt IPsec Status P Netzwerk P Firewall VPN 10 1 0 159 4500 Verbindingen 10 1 0 159 45
136. rwachung P Netzwerk gt Firewall Hostnamen von VPN Gegenstellen berwachen Nein v gt Antivirus Abtrageinteral Sekunden od YDienste SS 2 g a DynDNS Uberwachung BynDiis Registrierung DHCP Intern DHCP Extern LLDP Redundanz Remote Logging SNMP Traps gt zugang P Eigenschaften P Support P System Erl uterung zu DynDNS siehe unten Dienste gt DynDNS Registrierung Hostnamen von VPN Gegenstellen berwachen Ja Nein Ist dem mGuard die Adresse einer VPN Gegenstelle als Hostname angegeben siehe VPN gt Verbindungen auf Seite 49 und ist dieser Hostname bei ei nem DynDNS Service registriert dann kann der mGuard regelm ig berpr fen ob beim betreffenden DynDNS eine nderung erfolgt ist Falls ja wird die VPN Verbindung zu der neuen IP Adresse aufgebaut Abfrageintervall Sekunden Standard 300 Sekunden Dienste gt DynDNS Registrierung 62 von 103 rity Technologies AG Security Appliance Innominate mGuard Dienste gt DynDNS Registrierung Netzwerk gt Firewall Diesen mGuard bei einem DynDNS Server anmelden P Antivirus VPN Meldeintervall Sekunden Dienste DNS DynDNS Anbieter DynDNS Uberwachung BynDNS Registrierung rver DHCP intern monz sa DHCP Extern D DynDNS Login Redundanz Remote Logging DynDNS Passwort SNMP Traps gt Zugang P Eigenschaften DynDNS Hostname gt Support P System es SSCs Zum Aufbau von VPN Verbindungen muss mindestens die IP Adresse ei
137. s Virenfilters Deaktivieren Sie in diesem Fall bitte den Virenfilter f r alle Proto kolle um weiterhin ihren Email Client bzw Webbrowser nutzen zu k nnen Antivirus gt Update Logs ity Technologies AG Security Appliance Innominate mGuard uptime 0 days 00 04 59 71677 kavu kavusv kavupdater supervisor startup check gt Network uptime 0 days 00 05 01 82027 kavu kavusv kavupdater supervisor startup gt Firewall uptime 0 days 00 05 01 93564 kavu kavusv error Anti Virus engine detected corrupt database anti virus uptime 0 days 00 05 01 93571 kavu kavusv info retrying in 30 seconds 1 try SMTP Options uptime 0 days 00 05 31 92983 kavu kavusv info run scheduled retry POPS Options uptime 0 days 00 05 31 92989 kavu kavusv info launching update process HTTP Options uptime 0 days 00 05 31 92992 kavu kavusv info available flash fs capacity for AVP update 6701056 bytes Database Update uptime 0 days 00 05 56 70855 kavu Trying to update from server http anonymous anonymous dowmloads kav innominate cc Anti Virus Status uptime 0 days 00 05 58 77258 kavu Update queue Need to update 97 files summary size is 4211 98kb License Request uptime 0 days 00 05 58 77268 kavu File avp set was downloaded successfully in 1 seconds 1 25Kb s Install Licenses uptime 0 days 00 05 58 77276 kavu File ca arm was downloaded successfully in 1 seconds 9 81Kb s Virus Logs uptime 0 days 00 05 58 77289 kavu File daily ar
138. s Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle 77 von 103 78 von 103 IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 fiir pop3 oder pop3 fiir 110 Aktion Annehmen bedeutet die Datenpakete diirfen passieren Abweisen bedeutet die Datenpakete werden zuriickgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werksseitige Voreinstellung Log Eintr ge f r unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche
139. s Virenfilters e Gefundene Viren mit Angabe von Details Name des Virus Name der Datei bei einer E Mail zus tzlich Absender Datum Betreff e Warnungen bei automatischer Einschaltung des Durchla modus wenn die zu filternde Datei die eingestellte Dateigr e berschreitet und nicht gefiltert wurde e Start und Fehlerausgaben der Kaspersky Scan Engine und des Virenfilters Fehlermeldungen Virus Detection Ein Virus wurde erkannt Die Fehlermeldung umfa t den Namen des Virus den Absender der E Mail das Absendedatum und den Namen der infizierten Datei bzw den Namen der komprimierten Archivdatei und des infizierten Bestandteils dieses Archivs Beispiel einer Virenmeldung mGuard detected a virus The mail could not be delivered found Virus Email Worm Win32 NetSky q From sick example com Date Fri 13 Aug 2004 11 33 53 0200 about_you zip document txt exe 000012a7 00000077 00000000 Message Details From sick example com Subject Private document Date Fri 13 Aug 2004 11 33 53 0200 Exceeded maximum filesize Die eingestellte Begrenzung der Dateigr e wurde berschritten Um die Datei trotzdem bertragen zu k nnen deaktivieren Sie f r den Download den Virenfilter f r den entsprechenden Server oder global Alternativ k nnen Sie den Durchla modus Men punkt bei berschreiten der Gr enbegrenzung im jeweiligen Protokoll aktivieren DO In beiden F llen wird die bertragene Datei nicht nach Vir
140. s virtuelle a wn IP ZN o d Zeen Cliente wirkliche i A IP Internet VPN Gateway Netz gegen ber gegen ber Im Stealth Modus wird das lokale Netz des VPNs durch den mGuard simu liert Innerhalb dieses virtuellen Netzes ist der Client unter einer virtuellen IP bekannt BO Dieser Eintrag wird nur im Stealth Modus ben tigt Firewall eingehend Firewall ausgehend W hrend die unter dem Men punkt Firewall vorgenommenen Einstellungen sich nur auf Nicht VPN Verbindungen beziehen siehe oben unter Firewall gt Eingehend auf Seite 25 beziehen sich die Einstellungen hier ausschlie lich auf die hier definierte VPN Verbindung Das bedeutet praktisch Haben Sie mehrere VPN Verbindungen definiert k nnen Sie f r jede einzelne den Zugriff von au en oder von innen beschr nken Versuche die Beschr nkun gen zu bergehen k nnen Sie ins Log protokollieren lassen BO Gem werksseitiger Voreinstellung ist die VPN Firewall so eingestellt dass f r diese VPN Verbindung alles zugelassen ist F r jede einzelne VPN Verbindung gelten aber unabh ngig voneinander gleichwohl die erweiterten Firewall Einstellungen die weiter oben definiert und erl utert sind siehe Firewall gt Erweiterte Einstellungen auf Seite 31 DO Sind mehrere Firewall Regeln gesetzt werden diese in der Reihenfolge der Eintr ge von oben nach unten abgefragt bis eine passende Regel gefunden wird Diese wird dann angewandt Sollten nachfolge
141. schiedene Informationen eintragen die Ihnen und anderen bei der Administration des mGuards helfen k nnen Hostname Der Hostname dieses mGuards Kontakt Name der Person die diesen mGuard verwaltet und wie man sie erreichen kann Standort Standort an dem sich dieser mGuard befindet B gt Wir empfehlen aus Sicherheitsgr nden bei der ersten Konfiguration das Root und das Administratorpasswort zu ndern siehe Zugang gt Passworte auf Seite 71 Solange dies noch nicht geschehen ist erhalten Sie auf der Startseite einen Hinweis darauf 5 6 Men Netzwerk Netzwerk gt Basis Security Appliance Innominate mGuard Netzwerk Basist Stealth Router PPPOE PPTP MAU Konfiguration Netzmaske Verwende VLAN VLAN ID D Interne IPs gesicherter Port Erweiterte Einstellungen HSC gt Firewall gt Antivirus Zus tzliche interne Routen Netzwerk Gateway Netzwerk gt Basis Die folgenden Einstellungen werden genutzt wenn der Stealth Modus NICHT ausgew hlt ist VPN P Dienste gt Zugang P Eigenschaften gt Support Netzwerk Modus 16 von 103 Der mGuard muss auf den Netzwerk Modus Betriebsart gestellt werden der seiner lokalen Rechner bzw Netzwerk Anbindung entspricht Siehe Typische Anwendungsszenarien auf Seite 6 B gt Beim Wechsel des Netzwerk Modus in oder aus dem Stealth Modus bootet das Ger t automatisch neu B gt Wenn Sie die Adresse des mGuard ndern z B durch
142. sseln Der zugeh rige ffentliche Schl ssel kann an beliebig viele Verbindungspartner vergeben wer den so dass diese verschl sselte Daten senden k nnen In Abh ngigkeit von der Gegenstelle muss das Zertifikat als cer oder pem Da tei dem Bediener der entfernten Gegenstelle zur Verf gung gestellt werden z B durch pers nliche bergabe oder per E Mail Wenn Ihnen kein sicherer bertragungsweg zur Verf gung steht sollten Sie anschlie end den vom mGuard angezeigten Fingerabdruck ber einen sicheren Weg vergleichen Es kann nur eine Zertifikats Datei PKCS 12 Datei ins Ger t importiert wer den Um ein neues Zertifikat zu importieren gehen Sie wie folgt vor Neues Zertifikat Voraussetzung Die Zertifikatsdatei Dateiname p12 oder pfx ist generiert und auf dem an geschlossenen Rechner gespeichert 1 Durchsuchen klicken um die Datei zu selektieren 2 In das Feld Passwort geben Sie das Passwort ein mit dem der private Schl ssel der PKCS 12 Datei gesch tzt ist Importieren klicken 4 Abschlie end OK klicken Nach dem Import erhalten Sie eine Systemmeldung System Message ndere Systemkonfiguration Storing PKCS 12 file MAC verified OK Parsed PKCS 12 file Stored certificate Stored private key 002 forgetting secrets 002 loading secrets from etc ipsec secrets 002 loaded private key file etc ipsec d private this host pem 1675 bytes 002 OpenPGP certificate file etc pgpce
143. t aktuell sein weil der Browser sie aus dem Cache l dt aktualisieren Sie die Anzeige der Seite Dazu in der Browser Symbolleiste das Symbol zum Aktualisieren klicken DO Je nach dem wie Sie den mGuard konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen 5 3 Fernkonfiguration Voraussetzung Fernkonfiguration durchf hren 14 von 103 Der mGuard muss so konfiguriert sein dass er eine Fernkonfiguration zul sst BO Standardm ig ist die M glichkeit zur Fernkonfiguration ausgeschaltet Um die M glichkeit zur Fernkonfiguration einzuschalten siehe Abschnitt Zu gang gt HTTPS auf Seite 72 Um von einem entfernten Rechner aus den mGuard zu konfigurieren stellen Sie von dort die Verbindung zum lokalen mGuard her Gehen Sie wie folgt vor 1 Starten Sie dazu auf dem entfernten Rechner den Web Browser z B Fire fox MS Internet Explorer oder Safari der Web Browser muss SSL d h https unterst tzen 2 Als Adresse geben Sie an Die IP Adresse unter der die Gegenstelle ber das Internet bzw WAN erreichbar ist zus tzlich die Port Nummer Beispiel Ist dieser mGuard ber die Adresse 123 456 789 21 ber das Internet zu errei chen und ist fiir den Fernzugang die Port Nummer 443 festgelegt dann muss bei der entfernten Gegenstelle im Web Browser folgende Adresse angegeben werden 123 456 789 21 Bei einer andere
144. t f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Antivirus gt FTP ate Einstellungen ity Technologies AG Se Se Security Appliance Innominate mGuard Antivirus gt FTP Einstellungen P Netzwerk P Firewall Anti Virus Schutz f r FTP Nein gt Antivirus an Ag Scannen bis zur Gr sse von default 5MB 5MB Bei Virusdetektion FTP Fehlermeldung gt en Bei berschreiten der Gr ssenbegrenzung ET E Lizenzanforderung Installiere Lizenz Liste der FTP Server Virus Logs Update Logs gt lt BE Kommentar _____ scannen kum 0 0 00 1 TP out to an Scannen E P Dienste SE P F Y zi gt Zugang P Eigenschaften ol l4 ase Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r FTP muss der zu scannende Adressbereich mit entsprechenden Firewallregein ye freigeschaltet werden Powered by 5 K ANTI VIRUS Das FTP Protokoll wird zum Down oder Upload von Dateien genutzt Die Weiterleitung einer bertragenen Datei erfolgt erst nachdem sie komplett geladen und berpr ft wurde Deshalb kann es bei gr eren Dateien oder einer langsamen Download Geschwindigkeit zu Verz ge rungen in der Reaktionszeit der Benutzer Software kommen Um den Anti Virus Schutz f r FTP zu testen bietet sich zun chst der ungef hrliche Eicar Testvirus an der eigens f r Testzwecke unter der Adresse ftp ftp kaspersky co
145. t seiner Firewall schiitzen Dazu kann einer der folgenden Netzwerk Modi des mGuard genutzt werden e Router wenn der Internet Anschluss z B ber einen DSL Router oder eine Standleitung erfolgt e PPPoE wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPPoE Protokoll verwendet wird z B in Deutschland e PPTP wenn der Internet Anschluss z B per DSL Modem erfolgt und das PPTP Protokoll verwendet wird z B in sterreich Bei Rechnern im Intranet muss der mGuard als Defaultgateway festgelegt sein Intranet Internet Server Firewall Eine DMZ Demilitarized Zone deutsch entmilitarisierte Zone ist ein gesch tz tes Netzwerk das zwischen zwei anderen Netzen liegt Z B kann sich die Web pr senz einer Firma so in der DMZ befinden dass nur aus dem Intranet heraus mittels FTP neue Seiten auf den Server kopieret werden k nnen der lesende Zugriff per HTTP auf die Seiten jedoch auch aus dem Internet heraus m glich ist VPN Gateway WLAN ber VPN Die IP Adressen innerhalb der DMZ k nnen ffentlich sein oder aber privat wobei der mit dem Internet verbundene mGuard die Verbindungen mittels Port forwarding an die privaten Adressen innerhalb der DMZ weiterleitet AuBenstelle Internet HQ Mitarbeitern einer Firma soll ein verschliisselter Zugang zum Firmennetz von zu Hause oder von unterwegs aus zur Verf gung gestellt werden
146. te Dokumentennummer 513108 173 Inhalt Inhalt Dy EAM OU E 4 Netzwerk Feat res ans ANEREN EES NEES EE 4 Firewall Features 2 52 Den Ba nase Na alas E cakes eats 4 Anti Vir s Features ent EAR sett codes deed EE e 4 VPN Fe tures iis ebe E tao eae a aes eens 4 Weitere ERT 4 SUpport ea i a a a E R A E E A A A E E TEER 5 2 Typische Anwendungsszenarien eesesssccescescoescecooessocescsssessccesecesocscossosesosesosesosssecsocesocesocesoesso 6 E gue EE 6 Netzwerktoufer TE 6 RRE 6 VEN Gale Way eneon peen a e tee een H WEAN Ober VPN ege eege ei AE AE AE sade bin in H 3 Bedienelemente und Anzeigen sccccccsssssssssssssscsssccssscsssccssssssssssssssscssssssssssssccssessssssssssssssessees 9 A Ver 10 4 1 Lieferimf ng n a aan sesiienn Ran Halkliipn Bhf 10 5 Konfiguration ssisssisissscnassssngstsnnsekinsssssngenssessnesch setcsnasseceesuvedsetesdeesysbasdensdencnesdnceshbedecedsontsesteseness 11 Vor ussetzungen a NENNEN 11 5 1 Lokale Konfiguration Bei Inbetriebnahme AAA 11 Erster Zugriff auf den MGUard cee ee cecsceeseecececesceceeeeeeeeeeeseceeaeceeaeeceaeeceeeeeeaeees 11 5 2 Lokale Konfigurationsverbindung herstellen eee ceeceeeeeeeeseceseceseeeeeeeeeeaaecneeeeeaes 12 Web basierte Administratoroberfl che 0 0 00 ecccceeseceseceeeeeeceeeeenaecesaeceaaeceeaeeeteeeees 12 Bei erfolgreichem Verbindungsaufbau ce eeeeeeesseeseceseceeeeeseeaeceseeseeeeeeesaeeseens 13 Konfiguratio
147. tem Update ein Reboot erforderlich sein wird das angezeigt Eigenschaften gt Online Update rity Technologies AG Security Appliance EE Eigenschaften gt Online Update Netzwerk gt Firewall z gt Antivirus Installiere von Update Server VPN Fame Bene C amp gt Zugan Vegenschaften Installiere Package Set Lokales Update SC i aie pdate Server S formation Instaliere Lizenz inate innominate com 1 Lizenzinformation rp n ipdate innominate com Hardwareinformation P Support P system Voraussetzung Sie haben ein aktuelles Software Paket tiber einen entfernten Server zur Verfiigung gestellt bekommen Ob und auf welche Weise Sie an ein Software Update gelangen k nnen er fragen Sie bei Ihrem Distributor Sie d rfen w hrend des Updates auf keinen Fall die Stromversorgung des mGuard unterbrechen Das Ger t k nnte ansonsten besch digt wer den und nur noch durch den Hersteller reaktiviert werden Gehen Sie wie folgt vor 1 Schreiben Sie den Dateinamen in das Feld Package Set Name 2 Installiere Package Set klicken um sie in das Ger t zu laden Dieser Vorgang kann je nach Gr e des Updates mehrere Minuten dauern Sollte nach dem System Update ein Reboot erforderlich sein wird das angezeigt Update Server Geben Sie hier die Server an von denen sich der mGuard seine Updates holen 79 von 103 soll Protokoll Die Updatedateien kann entweder per HTTP oder HTTPS auf den mGuard
148. ters in den Durchla modus wenn die eingestellte Dateigr e berschritten wird H In diesem Fall wird nicht auf Viren berpr ft Daten blockieren Diese Option bewirkt den Abbruch des Downloads und die Ausgabe eines Fehlercodes an die Client Software Liste der HTTP Server Sie k nnen die Server ausw hlen deren Datenverkehr gefiltert werden soll und f r jede IP explizit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r HTTP 0 see soneron Kommen scannen P TT anon fo fie ausgehenden Verbindun Scannen xj Scan eines Subnetzes Ausklammerung eines trusted HTTP Servers gt lt sene sererpet Kommentar scannen P IT fis2 168 25 po ungesichertes HTTP Nicht Scannen vf P fis2 168 2 0 24 ko Besichertes HTTP Scannen Scan eines einzelnen untrusted HTTP Servers in einem Subnetz PSY ser Serverrort Kommen scannen P f fis2 168 25 fo esichertes HTTP Scannen h92 168 2 0724 ko ungesichertes HTTP Nicht Scannen v L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben B gt Um den Anti Virus Schutz f r HTTP bzw FTP over HTTP Datenverkehr ber einen Proxy zu aktivieren f gen Sie eine neue Zeile in die Liste der Ser ver ein und ersetzen den voreingestellten Port 80 durch den P
149. tiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Antivirus gt POP3 Einstellungen ity Technologies AG Security Appliance Innominate mGuard Antivirus gt POP3 Einstellungen P Netzwerk P Firewall z x SMTP Einstellungen S z POPS Einstelunget Scannen bis zur Gr sse von default 5MB ap HTTP I Sc Update Bei Virusdetektion Fehlermeldung an den E Mail Client v Antivirus Status a Lizenzenforderung Bei Uberschreiten der Grossenbegrenzung E Mail blockieren E Installiere Lizenz Virus Logs Liste der POP3 Server Update Logs Kn SS WE Kommentar scannen gt Dienste baang fo o Sg Scannen I Ken gL ILL 10 OP3 out to any Scannen P Eigenschaften gt Support P System i Bitte beachten Sie Zus tzlich zur globalen Aktivierung des Virenschutzes f r POP3 muss der zu scannende Adressbereich mit entsprechenden Firewallregeln freigeschaltet werden a Powered by ANTI VIRUS Das POP3 Protokoll wird von Ihrem E Mail Client zum Empfang von E Mails genutzt Der Virenfilter kann nur unverschl sselte Daten auf Viren untersuchen Deshalb sollten Sie Verschl sselungsoptionen wie STLS oder SSL nicht aktivieren Die verschl sselte Authentifizierung mittels AUTH ist dage gen nutzbar da die eigentliche bertragung der E Mail unverschl sselt erfolgt Anti Virus Schutz f r POP3 E Mail Abholung Mit dieser Option aktivieren Sie den Virenfilter Auf Ja setzen
150. tokolle HTTP POP3 und SMTP versendet werden Die bertragenen Datenbl cke einer E Mail oder einer HTTP Verbindung wer den aus dem Datentransfer ausgefiltert falls notwendig dekomprimiert und durch den Kaspersky Virenfilter berpr ft Dazu wird f r jedes unterst tzte Protokoll eine Port Redirection Regel in die Fi rewall eingef gt die eine interne Umleitung der Verbindung zu einem transpa renten Proxy bewirkt Im Falle eines erkannten Virus wird je nach Protokoll entweder eine Fehlermel dung als E Mail an den Nutzer gesendet eine Protokollfehlermeldung generiert bzw ein Eintrag im Antivirus Log vorgenommen Falls der Virenfilter keinen Virus findet wird der Datenblock vom Proxy unver ndert weitergesendet Details erfahren Sie in den folgenden Abschnitten zu den jeweiligen Protokollen Der Virenfilter kann folgende Formate dekomprimieren e ZIP e RAR e Mail e Embedded RFC822 MIME Anh nge an E Mails MS OLE inklusive gzip ped embedded Skripte e GZIP e Compress Die Unterst tzung weiterer Formate Trap UPX ist in Vorbereitung Folgende Voraussetzungen m ssen f r die Nutzung des Virenfilters erf llt sein e Installierte Antiviren Lizenz Nur mit installierter Lizenz ist das Men Antivirus aktiviert Die Anleitung wie Sie eine Lizenz anfordern und installieren finden Sie im Abschnitt Antivirus gt Lizenzanforderung e Zugriff auf einen Update Server mit den aktuellen Versionen der Virensigna turen s
151. ttels PPTP zu externen Rechner aufgebaut werden k nnen sollen Werkseitig ist dieser Schalter auf Nein gesetzt Aktiviere TCP UDP ICMP Konsistenzpr fung Wenn auf Ja gesetzt f hrt der mGuard eine Reihe von Tests auf falsche Pr f summen Paketgr en usw durch und verwirft diese Pakete Werkseitig ist dieser Schalter auf Ja gesetzt Nur Stealth Modus Jeweils maximale Zahl ausgehender ARP Requests Jeweils maximale Zahl eingehender ARP Requests Diese beiden Eintr ge legen Maximalwerte f r die zugelassenen ein und aus gehenden ARP Requests pro Sekunde fest Diese sind so gew hlt dass sie bei normalem praktischen Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforde rungen vorliegen dann k nnen Sie die Werte erh hen Erlaube Weiterleitung von GVRP Paketen Das GARP VLAN Registration Protocol GVRP wird von GVRP f higen Switches verwendet um Konfigurationsinformationen miteinander auszutau schen Ist dieser Schalter auf Ja gesetzt dann k nnen GVRP Pakete den mGuard im Stealth Modus passieren Erlaube Weiterleitung von STP Paketen Das Spawning Tree Protocol STP 802 1d wird von Bridges und Switches verwendet um Schleifen in der Verkabelung zu entdecken und zu ber cksich tigen Ist dieser Schalter auf Ja gesetzt dann k nnen STP Pakete den mGuard im Stealth Mo
152. u_management idp H 2004 07 15115 40 20 000c00083f25db66 123TEST8 000007dc 082 51021 10 1 1 Innominate mGuard enterprise 1 1 1 Listet die erworbenen Lizenzen auf Die entsprechenden Lizenzdateien sind im mGuard installiert Siehe Eigenschaften gt Installiere Lizenz auf Seite 80 Eigenschaften gt Hardware information Nur Anzeige Innominate mGuard P Netzwerk P Firewall P Antivirus VEigenschaften Lokales Update Online Update Softwareinformation Lizenzanforderung Installiere Lizenz gt Support P System ity Technologies AG Hardware CPU CPU Familie CPU Stepping CPU Kernfrequenz Systemlaufzeit Anwendungsspeicher MAC 1 MAC 2 Produktname OEM Name OEM Seriennummer Seriennummer Flash ID Hardware Version Version Parametersatz ate Security Appliance Eigenschaften gt Hardwareinformation innominate mGuard XScale IXP4xxMXC11xx rev 1 vSb IXP4XX B0 533 MHz 1 day 5 33 63256 kB 00 0c be 01 01 0a 00 0c be 01 01 0b Innominate mGuard Innominate 123TEST8 SVP SS 137412 000c00083125db66 000007dc 2 F r erfahrene Systemadministratoren Support 81 von 103 5 13 Menu Support Support gt Snapshot ity Technologies AG Security Appliance Innominate mGuard Support gt Snapshot P Firewall lt i Se Eee See gt Dienste Hiermit wird eine Zusammentassung des mGuard Zustands f r Supportzwecke erstelt P Zugang P Features Sup
153. us dem lokalen Netz heraus Zugriff auf das Internet zu erhalten siehe Firewall gt NAT auf Seite 29 Ist NAT nicht aktiviert k nnen nur VPN Verbindungen genutzt werden Interne IPs gesicherter Port Interne IP ist die IP Adresse unter der der mGuard von Ger ten des lokal ange schlossenen lokalen Netzes erreichbar ist Im Stealth Modus lautet diese immer IP Adresse 1 1 1 1 Im Router PPPoE PPTP Modus ist werksseitig voreingestellt IP Adresse 192 168 1 1 Lokale Netzmaske 255 255 255 0 Sie k nnen weitere Adressen festlegen unter der der mGuard von Ger ten des lokal angeschlossenen Netzes angesprochen werden kann Das ist zum Beispiel dann hilfreich wenn das lokal angeschlossene Netz in Subnetze unterteilt wird Dann k nnen mehrere Ger te aus verschiedenen Subnetzen den mGuard unter unterschiedlichen Adressen erreichen IP IP Adresse unter welcher der mGuard am internen Interface erreichbar sein soll Netzmaske Die Netzmaske des am internen Interface angeschlossenen Netzes Verwende VLAN Wenn die IP Adresse innerhalb eines VLANs liegen soll ist diese Option auf ja zu setzen VLANID Eine VLAN ID zwischen 1 und 4095 Eine Erl uterung des Begriffes VLAN findet sich auf Seite 101 L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Die erste IP Adresse in der Liste kann nicht gel scht werden BO Weitere festgelegt
154. usch erneuert Mit PFS werden dabei mit der Gegenstelle neue Zufallszahlen ausgehandelt anstatt sie aus zuvor verabredeten Zufallszahlen abzuleiten Nur wenn die Gegenstelle PFS unterst tzt w hlen Sie Ja Bei Auswahl des Verbindungstyps Transport L2TP Microsoft Windows set zen Sie Perfect Forward Secrecy PFS auf Nein SA Lebensdauer Die Schl ssel einer IPsec Verbindung werden in bestimmten Abst nden erneuert um die Kosten eines Angriffs auf eine IPsec Verbindung zu erh hen ISAKMP SA Lebensdauer Lebensdauer der f r die ISAKMP SA vereinbarten Schl ssel in Sekunden Die Werkseinstellung sind 3600 Sekunden 1 Stunde Das erlaubte Maxi mum sind 28800 Sekunden 8 Stunden IPsec SA Lebensdauer Lebensdauer der f r die IPsec SA vereinbarten Schl ssel in Sekunden Die Werkseinstellung sind 28800 Sekunden 8 Stunden Das erlaubte Maxi mum sind 86400 Sekunden 24 Stunden Rekey Margin Minimale Zeitspanne vor Ablauf der alten Schl ssel innerhalb der ein neuer Schl ssel erzeugt werden soll Die Werkseinstellung sind 540 Sekunden 9 Minuten Rekeyfuzz Maximum in Prozent um das Rekey Margin zuf llig vergr ert werden soll Dies dient dazu den Schl sselaustausch auf Maschinen mit vielen VPN Ver bindungen zu zeitversetzt stattfinden zu lassen Die Werkseinstellung sind 100 Prozent 56 von 103 Keying Versuche Anzahl der Versuche die unternommen werden sollen neue Schliissel mit der Gegenstelle zu vereinbare
155. uss auf dem lokal angeschlossenen Rechner bzw Netzwerk Rechner ein DHCP und TFTP Server installiert sein DHCP Dynamic Host Configuration Protocol TFTP Trivial File Transfer Protocol Installieren Sie den DHCP und TFTP Server falls notwendig siehe unten B gt Falls Sie einen zweiten DHCP Server in einem Netzwerk installieren k nnte dadurch die Konfiguration des gesamten Netzwerks beeinflusst werden 93 von 103 6 3 1 DHCP und TFTP Server unter Windows bzw Linux installieren Unter Windows Installieren Sie das Programm das sich auf der CD befindet Gehen Sie dazu wie folgt vor 1 Ist der Windows Rechner an einem Netzwerk angeschlossen trennen Sie ihn von diesem 2 Kopieren Sie die Software in einen beliebigen leeren Ordner des Windows Rechners Starten Sie das Programm TFTPD32 EXE 3 Die festzulegende Host IP lautet 192 168 10 1 Das muss auch die Adresse fiir die Netzwerkkarte sein Klicken Sie die Schaltflache Browse um auf den Ordner zu wechseln wo die mGuard Imagedateien gespeichert sind install p7s jffs2 img p7s Die Image Dateien be finden sich auch auf der Curent Directoy Ein Browse CD die zum Lieferum 8 Server interface 192 168 10 1 v Show Dir fang geh rt Titp Server DHCP server Revd DHCP Discover Msg for IP 0 0 0 0 Mac 00 0C BE 01 00 EB 26 11 09 41 19 694 DHCP proposed address 192 168 10 200 26 11 09 41 19 694 Revd DHCP Rast Msg for IP 0 0 0 0 Mac 00 0C BE 01
156. vceseneescseneccersesecabosecedunessenseneds 96 DESY EE tee 2 Ee tee lee eer 96 EE geleed ck dates Ae a Set erte EES EE 96 CHEN Serv Gti contest tine ast dE anv Ee canine annie eens 96 Dat gtamn nr sn rennen ins raea aaae E oE a n Eo SEEE 97 ESO KKK EE 97 IP Adressen re rare he 98 STEE 99 NAT Network Address Translapon nennen 99 Ier Ge Uu EE 99 PPPOE nee er EE ee Leg 99 PPTP edeivesacntiusadeten sesions ooo csaventdoam ao ae ito e E aa e ites 100 KN nenn EA E A E 100 Protokoll Ubertragsungesprotokoll 100 Service Provider oe enr ir EE a EEE AR AET ERA E A e ee ea e a 100 Spoohing DROE narren neusten E E 100 Symmetrische Verschl sselung ee ceeeeseeseceseceseeeeeeeecaececeseceseeeseesaeeaeeneeeeaes 101 TCP IP Transmission Control Protocol Internet Protocol 101 WIA EE 101 VPN Virtuelles Privates Netzwerk t nennen 101 SN KO ER E 102 3 von 103 1 Einleitung Der mGuard delta sichert IP Datenverbindungen Dazu vereinigt das Ger t fol gende Funktionen Switch VPN Router VPN Virtuelles Privates Netzwerk f r sichere Daten bertra gung ber ffentliche Netze hardwarebasierte DES 3DES und AES Ver schl sselung IPsec Protokoll Konfigurierbare Firewall f r den Schutz vor unberechtigtem Zugriff Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs und Zieladresse und blockiert unerw nschten Datenverkehr Kaspersky Virenschutz mit Unterst tzung f r die Protokolle HTTP
157. verbindungen die von extern initiiert wurden Ist keine Regel gesetzt werden alle eingehenden Verbindungen au er VPN verworfen Werkseinstellung L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Durch die Aktivierung der Antivirusfunktion siehe Men Antivirus auf Seite 34 werden implizit Firewallregeln f r die Protokolle HTTP SMTP und POP3 eingerichtet die nicht in der Liste der Firewall Regeln erscheinen Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port 25 von 103 startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie wer
158. von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben Bei den Angaben haben Sie folgende M glichkeiten Protokoll Alle bedeutet TCP UDP ICMP und andere IP Protokolle IP Adresse 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe CIDR Classless InterDomain Routing auf Seite 89 Port wird nur ausgewertet bei den Protokollen TCP und UDP any bezeichnet jeden beliebigen Port startport endport z B 110 120 bezeichnet einen Portbereich Einzelne Ports k nnen Sie entweder mit der Port Nummer oder mit dem ent sprechenden Servicenamen angegeben z B 110 f r pop3 oder pop3 f r 110 Aktion Annehmen bedeutet die Datenpakete d rfen passieren Abweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Im Stealth Mo dus hat Abweisen dieselbe Wirkung wie Verwerfen s u Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden ver schluckt so dass der Absender keine Information erh lt ber deren Verbleib BO Im Stealth Modus entspricht Abweisen aus der Aktion Verwerfen Kommentar Ein frei w hlbarer Kommentar f r diese Regel Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Re gel e das Ereignis protokolliert werden soll Log auf Ja setzen e oder das Ereignis nicht protokolliert werden soll Log auf Nein set zen werks
159. wort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Netzwerk gt PPTP rity Technologies AG Security Appliance ate mGuard Netzwerk gt PPTP Se PPTP Login ser provider exemple net PPTP Passwort MAU Konfiguration A A eiterte Einstellungen Setze lokale IP statisch folgendes Feld Status P Firewall Lokale IP 0 0 0 140 gt Antivirus P VPN Modem IP 0 0 0138 PDienste Zugang P Eigenschaften gt Support System Voraussetzung Der mGuard ist auf den Netzwerk Modus PPTP gestellt siehe PPTP auf Seite 18 Benutzername Login und Passwort werden vom Internet Service Provider ISP abfragt wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Login Benutzername Login den der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen PPTP Passwort Passwort das der Internet Service Provider anzugeben fordert wenn Sie eine Verbindung ins Internet herstellen wollen Setze lokale IP ber DHCP Werden die Adressdaten f r den Zugang zum PPTP Server vom Internet Ser vice Provider per DHCP geliefert w hlen Sie ber DHCP Dann ist kein Eintrag unter Lokale IP zu machen Modem IP Das ist die Adresse des PPTP Servers des Internet Service Pro viders Statisch folgendes Feld Werden die Adressdaten f r den Zugang zum PPTP Server nicht per DHCP vom Internet Service Provider ge
160. ylon Management VLAN D ee Statische Stealth Konfiguration Wenn Sie Steaith Konfiguration auf statisch gestellt haben werden die folgenden Werte ben tigt MAC Adresse des Clients 0 0 0 0 0 0 Voraussetzung Der mGuard ist auf den Netzwerk Modus Stealth gestellt Stealth Konfiguration automatisch Standard Der mGuard analysiert den Netzwerkverkehr der ber ihn l uft und konfiguriert dementsprechend seine Netzwerkanbindung eigenst ndig und arbeitet transparent statisch Wenn der mGuard keinen ber ihn laufenden Netzwerkverkehr analysieren kann z B weil zum lokal angeschlossenen Rechner nur Daten ein aber nicht ausgehen dann muss die Stealth Konfiguration auf statisch gesetzt werden mehrere Clients Wie bei automatisch es k nnen jedoch mehr als nur einen Rechner bzw mehrere IP Adressen am internen Interface gesicherter Port des mGuard verwendet werden In diesem Modus ist die VPN Funktionalit t des mGuard aus technischen Gr nden deaktiviert Management IP Adresse Hier k nnen Sie eine weitere IP Adresse angeben ber welche der mGuard ad 19 von 103 ministriert werden kann Wenn e unter Stealth Konfiguration die Option mehrere Clients gew hlt ist oder der Client ARP Anfragen nicht beantwortet oder e kein Client vorhanden ist dann ist der Fernzugang ber HTTPS SNMP und SSH nur ber diese Adresse m glich IP Adresse Die zus tzliche IP Adresse unter welcher der mGuard erreichbar sein sol
161. zit angeben ob der Antivirus Schutz aktiviert werden soll oder nicht Dadurch ist auch die Angabe von trusted Servern m glich Beispiele Globale Aktivierung des Antivirus Schutzes f r POP3 EA see soneron kommentar scannen P TT an og ng file ausgehenden Verbindun Scannen Scan eines Subnetzes Ausklammerung eines trusted POP3 Servers RER RE Kommentar scannen fis2 168 25 fito Jungesichertes POP3 Nicht Scannen v fig2 168 2 0724 fito Besichertes POP3 Scannen Scan eines einzelnen untrusted POP3 Servers in einem Subnetz I see eero Kommen sm P fi82 168 25 ng esichertes POP3 Scannen xi E h92 168 2 0724 f1o Jungesichertes POP3 Nicht Scannen v L Das Einf gen Verschieben und L schen von Zeilen ist unter Arbeiten mit Tabellen auf Seite 15 beschrieben BO Der Regelsatz wird wie bei der Angabe der Firewallregeln von oben nach un ten abgearbeitet die Reihenfolge der Regeln ist also ausschlaggebend f r das Ergebnis BO Der Virenfilter kann parallel nur eine begrenzte Anzahl gleichzeitiger Verbin dungen zu Mail HTTP und FTP Servern verarbeiten Wird diese Zahl ber schritten dann wird jeder weitere Verbindungsversuch abgelehnt B gt Das Einschalten des POP3 Virenfilters ffnet die Firewall f r die entspre chenden Ports unabh ngig von zus tzlichen anderslautenden Firewall Re geln Bei den Angaben haben Sie folgende M glichkeiten Server 0 0
162. zu installieren Antivirus gt Virus Logs Security Appliance Innominate mGuard uptime 0 days 00 04 59 74705 contentfilter AVP runit contentfilter startup twor uptime 0 days 00 06 02 52080 contentfilter AVP error 2 vscan init error after 4 tries giving up P Firewall uptime 0 days 00 06 12 59004 contentfilter AVP error 4 vscan init error after 4 tries giving up anti virus uptime 0 days 00 07 20 70960 contentfilter AVP error 8 vscan init error after 4 tries giving up SMTP Options uptime 0 days 00 21 04 98979 contentfilter AVP http warning 62 mOuard Virus Scanner virus detected found Virus EI POP3 Options uptime 0 days 00 21 13 27201 contentfilter AVP http warning 65 mGuard Virus Scanner virus detected found Virus EI HTTP Options uptime 0 days 00 21 17 39699 contentfilter AVP http warning 67 mGuard Virus Scanner virus detected found Virus EI Database Update uptime 0 days 00 21 21 84975 contentfilter AVP http warning 68 mGuard Virus Scanner virus detected found Virus EI Anti Virus Status uptime 0 days 00 26 32 07676 contentfilter AVP smtp warning 86 mOuard Virus Scanner found Virus EICAR Test File License Request uptime 0 days 00 26 32 63704 contentfilter AVP smtp warning 87 mGuard Virus Scanner found Virus EICAR Test File Install Licenses Vos Togs Update Logs DvPn P Services P Access gt Features gt support P system Das Virus Log enth lt folgende Meldungen de
163. zus tzlichen anderslautenden Firewall Regeln Scannen Scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server aktiviert Nicht scannen Der Virenfilter ist f r die in dieser Regel angegebenen Server deaktiviert Antivirus gt Daten bank Update 44 von 103 Security Appliance Antivirus gt Datenbank Update Update Intervall Nie z AVP Update Server Liste nz RRC REENERT P IT mn d Jlownloads kav innominate c anonymous F Ge Proxy Einstellungen fiir AVP Datenbank Updates Passwort Powered by a ANTI VIRUS Die Virensignaturdateien k nnen durch einen einstellbaren Update Server in ei nem nutzerdefinierten Intervall aktualisiert werden Das Update geschieht paral lel zur Nutzung des Antivirenfilters Im Auslieferungszustand befinden sich keine Virensignaturen auf dem mGuard Deshalb sollte nach dem Aktivieren des Antiviren Schutzes mit der entsprechenden Lizenz auch das Update Intervall eingestellt werden Der Verlauf des Updates kann im Antivirus Update Log ver folgt werden Update Intervall Mit dieser Option w hlen Sie das Aktualisierungsintervall der Signaturdatei en Die Gr e der Datei betr gt z Zt etwa 3 MByte Es werden nur die auf dem Update Server aktualisierten Dateien nachgeladen AVP Update Server Liste Sie k nnen die Server ausw hlen von denen der Update der Virensignaturda tei geladen werden soll Ein Standardserver ist bereits voreingetragen
Download Pdf Manuals
Related Search